검색
김앤장

클라우드 서비스 2019년도 주요정보통신기반시설로 지정 계획

[ 2019.11.22. ] 


국가 사이버 안보를 강화하기 위한 목적으로 2019. 9. 3. 과학기술정보통신부(“과기정통부”), 국정원, 국방부 등 9개 기관이 합동으로 발표한 ‘국가사이버안보 기본계획’에 올해 안에 클라우드 서비스에 관한 주요 기반 설비(데이터센터 등)를 ‘정보통신기반 보호법’상 주요정보통신기반시설(Critical Information Infrastructure, “CII”)로 지정하겠다는 계획이 포함되었습니다.


이에 따라, 현재 과기정통부 및 한국정보통신진흥협회(KAIT) 담당 조사반이 클라우드 서비스용 데이터센터의 주요정보통신기반시설 지정 필요성에 대해 주요 클라우드 서비스 제공자 등을 대상으로 서면조사 및 현장조사를 진행하고 있는 것으로 파악되며, 이를 바탕으로 과기정통부가 연말 내 주요정보통신기반시설 지정 대상 후보 사업자를 선정할 계획으로 보입니다.


‘주요정보통신기반시설’이란 정보통신기반 보호법에 따라 국가 사이버 안보 등을 고려하여 정보통신기반시설 중 전자적 침해 행위로부터의 보호 등이 필요하다고 인정되어 정부에서 특별히 지정한 시설을 의미합니다. 소관 중앙행정기관(과기정통부 등)의 장이 특정 정보통신시설을 주요정보통신기반시설로 지정할 것을 권고하면, 국무총리실 소속 정보통신기반보호위원회(“위원회”)의 심의를 거쳐 중앙행정기관의 장이 이를 지정하게 됩니다. 


한편, 위원회 심의 등을 통해 주요정보통신기반시설로 지정되면 정보통신기반 보호법에 따라 시설을 관리하는 기관에게 다음과 같은 의무가 발생합니다.


- 주요정보통신기반시설 및 관리 정보를 안전하게 보호하기 위한 물리적·기술적 대책을 포함한 관리대책을 수립·시행하여, 관할 중앙행정기관에 제출할 의무

- 주요정보통신기반시설의 보호에 관한 업무를 총괄하는 자인 ‘정보보호책임자’를 지정할 의무

- 정기적으로(매년 또는 그 이하) 소관 주요정보통신기반시설의 취약점을 분석·평가할 의무

- 침해사고 발생 시 관계 행정기관, 수사기관 또는 인터넷진흥원에 그 사실을 통지하고 신속한 복구 조치를 취할 의무


이와 같이, 주요정보통신기반시설로 지정될 경우 다양한 법적 의무가 부과되며, 중앙행정기관의 장이 보호대책 및 그 이행 여부를 검토하여 부과할 수 있는 별도의 보호조치 명령을 위반할 경우 1,000만 원 이하의 과태료가 부과되는 등 시설 관리 기관의 법적 부담이 가중될 우려가 있음을 유의할 필요가 있습니다.

 

 

김인상 변호사 (iskim@kimchang.com)

박민철 변호사 (minchul.park@kimchang.com)

방성현 변호사 (shbang@kimchang.com)

강재웅 변호사 (jaewoong.kang@kimchang.com)

관련 법조인

리걸에듀