제안이유
현행법은 이동통신서비스의 급속한 발전과 보편화에도 불구하고 이동통신망 및 관련 정보시스템의 보안을 체계적으로 규율하는 통합적인 법적 근거를 마련하지 못하고 있음. 「전기통신사업법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 개별 법령에서 부분적으로 다루고 있으나, 이동통신 분야의 특수성을 반영한 종합적인 보안체계는 부재한 상황임.
이동통신망은 최근 수년간 국가기반시설로서 중요성이 급격히 증대하였으나, 해킹ㆍ바이러스ㆍ서비스거부 공격 등 사이버 침해행위가 지속적으로 증가하고 있음. 특히 이동통신사업자는 막대한 개인정보와 통신정보를 보유하고 있어 침해사고 발생 시 대규모 피해로 이어질 수 있음에도, 보안조치 의무가 명확하지 않고 침해사고 대응체계가 미흡하여 국민의 피해가 가중되고 있음. 또한 침해사고로 인한 피해이용자의 구제절차가 복잡하고 입증책임 문제로 실질적인 보상을 받기 어려운 실정임.
이에 이동통신보안 강화를 위한 체계적인 규율을 마련하기 위하여 주요이동통신장비 인증제도를 도입하고, 이동통신사업자에게 위험식별검사ㆍ보안계획 수립 등 보안의무를 부과하며, 침해사고 발생 시 신속한 대응 및 피해구제 체계를 구축함으로써 국가안전과 국민의 이익 보호에 이바지하고자 함.
주요내용
가. 이동통신에 관한 보안을 강화하고 침해사고로 인한 피해 등을 신속하게 보상함으로써 국가의 안전 보장 및 국민의 이익 보호에 이바지함을 목적으로 함(안 제1조).
나. 정부 및 이동통신사업자는 침해사고 발생을 예방하고 침해사고로부터 이용자를 보호하며, 국가는 매년 이동통신보안에 대한 위험도를 평가하여 그 결과를 공개하여야 함(안 제3조).
다. 과학기술정보통신부장관은 이동통신보안을 강화하고 이동통신 품질을 혁신하기 위하여 주요이동통신장비에 대하여 인증을 할 수 있으며, 인증에 필요한 비용은 국가가 부담함(안 제5조 및 제6조).
라. 이동통신사업자는 이동통신망의 안정성 및 이동통신보안 확보와 침해사고 예방을 위한 보안조치를 하여야 하며, 매년 1회 이상 위험식별검사를 실시하여야 함(안 제7조 및 제8조).
마. 이동통신사업자는 위험식별검사 결과에 따라 이동통신보안계획을 수립ㆍ시행하여야 하며, 과학기술정보통신부장관은 이동통신보안계획의 이행 여부를 검사할 수 있음(안 제9조 및 제10조).
바. 과학기술정보통신부장관은 매년 주요이동통신사업자를 지정하여 고시하며, 주요이동통신사업자는 주요이동통신보안지침을 준수하고 이동통신 보안책임자를 지정하여야 함(안 제13조 및 제14조).
사. 주요이동통신사업자는 인증장비를 우선적으로 사용하여야 하며, 매년 1회 이상 위험식별검사를 실시하고 그 결과를 10년간 보관하여야 함(안 제15조 및 제16조).
아. 이동통신사업자는 침해행위 또는 침해사고가 발생한 경우 즉시 과학기술정보통신부장관에게 신고하고 이용자에게 통지하여야 하며, 침해사고의 원인과 피해규모를 분석하여 필요한 조치를 하여야 함(안 제21조, 제23조 및 제25조).
자. 과학기술정보통신부장관은 보안조치의 적절성 및 침해사고의 원인 등을 분석하기 위하여 보안조사를 시행할 수 있으며, 이를 위하여 보안조사단을 구성할 수 있음(안 제27조 및 제28조).
차. 이용자는 침해사고로 인하여 입은 손해의 배상을 이동통신사업자에게 청구할 수 있으며, 침해사고가 발생한 경우 이동통신사업자는 과실이 있는 것으로 추정함(안 제35조).
카. 침해사고 등으로 인한 분쟁을 조정하기 위하여 과학기술정보통신부에 침해사고 분쟁조정위원회를 두며, 집단분쟁조정을 의뢰 또는 신청할 수 있도록 함(안 제39조 및 제40조).
타. 소비자단체 등은 이동통신사업자가 집단분쟁조정을 거부하거나 조정결과를 수락하지 아니한 경우 법원에 권리침해 행위의 금지ㆍ중지를 구하는 단체소송을 제기할 수 있음(안 제42조).
파. 과학기술정보통신부장관은 이 법을 위반한 이동통신사업자에게 지난 3년간 평균 매출액의 100분의 3 이하의 과징금을 부과할 수 있음(안 제49조).