신구법 비교: 정보통신기반 보호법
현행법
공포일: 2024년 1월 23일 | 20068
제1장 총칙
제1조(목적) 이 법은 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 수립ㆍ시행함으로써 동 시설을 안정적으로 운용하도록 하여 국가의 안전과 국민생활의 안정을 보장하는 것을 목적으로 한다.
제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다. <개정 2007.12.21, 2020.6.9>
제2장 주요정보통신기반시설의 보호체계
제3조(정보통신기반보호위원회)
①제8조에 따라 지정된 주요정보통신기반시설(이하 "주요정보통신기반시설"이라 한다)의 보호에 관한 사항을 심의하기 위하여 국무총리 소속하에 정보통신기반보호위원회(이하 "위원회"라 한다)를 둔다. <개정 2020.6.9>
②위원회의 위원은 위원장 1인을 포함한 25인 이내의 위원으로 구성한다.
③위원회의 위원장은 국무조정실장이 되고, 위원회의 위원은 대통령령으로 정하는 중앙행정기관의 차관급 공무원과 위원장이 위촉하는 사람으로 한다. <개정 2007.12.21, 2008.2.29, 2013.3.23, 2020.6.9>
④위원회의 효율적인 운영을 위하여 위원회에 공공분야와 민간분야를 각각 담당하는 실무위원회를 둔다. <개정 2007.12.21>
⑤위원회 및 실무위원회의 구성ㆍ운영 등에 관하여 필요한 사항은 대통령령으로 정한다.
제4조(위원회의 기능) 위원회는 다음 각호의 사항을 심의한다. <개정 2007.12.21, 2018.2.21, 2020.6.9>
제5조(주요정보통신기반시설보호대책의 수립 등)
①주요정보통신기반시설을 관리하는 기관(이하 "관리기관"이라 한다)의 장은 제9조제1항 또는 제2항에 따른 취약점 분석ㆍ평가의 결과에 따라 소관 주요정보통신기반시설 및 관리 정보를 안전하게 보호하기 위한 예방, 백업, 복구 등 물리적ㆍ기술적 대책을 포함한 관리대책(이하 "주요정보통신기반시설보호대책"이라 한다)을 수립ㆍ시행하여야 한다. <개정 2015.1.20, 2019.12.10>
②관리기관의 장은 제1항에 따라 주요정보통신기반시설보호대책을 수립한 때에는 이를 주요정보통신기반시설을 관할하는 중앙행정기관(이하 "관계중앙행정기관"이라 한다)의 장에게 제출하여야 한다. 다만, 관리기관의 장이 관계중앙행정기관의 장인 경우에는 그러하지 아니하다. <개정 2020.6.9>
③지방자치단체의 장이 관리ㆍ감독하는 관리기관의 주요정보통신기반시설보호대책은 지방자치단체의 장이 행정안전부장관에게 제출하여야 한다. <개정 2008.2.29, 2013.3.23, 2014.11.19, 2017.7.26>
④관리기관의 장은 소관 주요정보통신기반시설의 보호에 관한 업무를 총괄하는 자(이하 "정보보호책임자"라 한다)를 지정하여야 한다. 다만, 관리기관의 장이 관계중앙행정기관의 장인 경우에는 그러하지 아니하다.
⑤정보보호책임자의 지정 및 업무 등에 관하여 필요한 사항은 대통령령으로 정한다.
제5조의2(주요정보통신기반시설보호대책 이행 여부의 확인)
① 과학기술정보통신부장관과 국가정보원장 등 대통령령으로 정하는 국가기관의 장(이하 "국가정보원장등" 이라 한다)은 관리기관에 대하여 주요정보통신기반시설보호대책의 이행 여부를 확인할 수 있다. <개정 2008.2.29, 2013.3.23, 2017.7.26>
② 과학기술정보통신부장관과 국가정보원장등은 제1항에 따른 확인을 위하여 필요한 경우 관계중앙행정기관의 장에게 제5조제2항에 따라 제출받은 주요정보통신기반시설보호대책 등의 자료 제출을 요청할 수 있다. <개정 2008.2.29, 2013.3.23, 2017.7.26>
③ 과학기술정보통신부장관과 국가정보원장등은 제1항에 따라 확인한 주요정보통신기반시설보호대책의 이행 여부를 관계중앙행정기관의 장에게 통보할 수 있다. <개정 2008.2.29, 2013.3.23, 2017.7.26>
④ 제1항에 따른 주요정보통신기반시설보호대책 이행 여부의 확인절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
제6조(주요정보통신기반시설보호계획의 수립 등)
①관계중앙행정기관의 장은 제5조제2항에 따라 제출받은 주요정보통신기반시설보호대책을 종합ㆍ조정하여 소관분야에 대한 주요정보통신기반시설에 관한 보호계획(이하 "주요정보통신기반시설보호계획"이라 한다)을 수립ㆍ시행하여야 한다. <개정 2020.6.9>
②관계중앙행정기관의 장은 전년도 주요정보통신기반시설보호계획의 추진실적과 다음 연도의 주요정보통신기반시설보호계획을 위원회에 제출하여 그 심의를 받아야 한다. 다만, 위원회의 위원장이 보안이 요구된다고 인정하는 사항에 대하여는 그러하지 아니하다.
③주요정보통신기반시설보호계획에는 다음 각호의 사항이 포함되어야 한다. <개정 2015.1.20>
④과학기술정보통신부장관과 국가정보원장은 협의하여 주요정보통신기반시설보호대책 및 주요정보통신기반시설보호계획의 수립지침을 정하여 이를 관계중앙행정기관의 장에게 통보할 수 있다. <개정 2007.12.21, 2008.2.29, 2013.3.23, 2017.7.26>
⑤관계중앙행정기관의 장은 소관분야의 주요정보통신기반시설의 보호에 관한 업무를 총괄하는 자(이하 "정보보호책임관"이라 한다)를 지정하여야 한다.
⑥주요정보통신기반시설보호계획의 수립ㆍ시행에 관한 사항과 정보보호책임관의 지정 및 업무 등에 관하여 필요한 사항은 대통령령으로 정한다.
제7조(주요정보통신기반시설의 보호지원)
①관리기관의 장이 필요하다고 인정하거나 위원회의 위원장이 특정 관리기관의 주요정보통신기반시설보호대책의 미흡으로 국가안전보장이나 경제사회전반에 피해가 우려된다고 판단하여 그 보완을 명하는 경우 해당 관리기관의 장은 과학기술정보통신부장관과 국가정보원장등 또는 필요한 경우 대통령령으로 정하는 전문기관의 장에게 다음 각 호의 업무에 대한 기술적 지원을 요청할 수 있다. <개정 2007.12.21, 2008.2.29, 2013.3.23, 2017.7.26, 2020.6.9, 2024.1.23>
②국가안전보장에 중대한 영향을 미치는 다음 각 호의 주요정보통신기반시설에 대한 관리기관의 장이 제1항에 따라 기술적 지원을 요청하는 경우 국가정보원장에게 우선적으로 그 지원을 요청하여야 한다. 다만, 국가안전보장에 현저하고 급박한 위험이 있고, 관리기관의 장이 요청할 때까지 기다릴 경우 그 피해를 회복할 수 없을 때에는 국가정보원장은 관계중앙행정기관의 장과 협의하여 그 지원을 할 수 있다. <개정 2007.12.21>
③국가정보원장은 제1항 및 제2항에도 불구하고 금융 정보통신기반시설 등 개인정보가 저장된 모든 정보통신기반시설에 대하여 기술적 지원을 수행하여서는 아니된다. <개정 2007.12.21, 2020.6.9>
제3장 주요정보통신기반시설의 지정 및 취약점 분석
제8조(주요정보통신기반시설의 지정 등)
①중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음 각호의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다. <개정 2019.12.10, 2020.6.9>
②중앙행정기관의 장은 제1항에 따른 지정 여부를 결정하기 위하여 필요한 자료의 제출을 해당 관리기관에 요구할 수 있다. <개정 2020.6.9>
③관계중앙행정기관의 장은 관리기관이 해당 업무를 폐지ㆍ정지 또는 변경하는 경우에는 직권 또는 해당 관리기관의 신청에 의하여 주요정보통신기반시설의 지정을 취소할 수 있다.
④지방자치단체의 장이 관리ㆍ감독하는 기관의 정보통신기반시설에 대하여는 행정안전부장관이 지방자치단체의 장과 협의하여 주요정보통신기반시설로 지정하거나 그 지정을 취소할 수 있다. <개정 2008.2.29, 2013.3.23, 2014.11.19, 2017.7.26>
⑤중앙행정기관의 장이 제1항 및 제3항에 따라 지정 또는 지정 취소를 하고자 하는 경우에는 위원회의 심의를 받아야 한다. 이 경우 위원회는 제1항 및 제3항에 따라 지정 또는 지정취소의 대상이 되는 관리기관의 장을 위원회에 출석하게 하여 그 의견을 들을 수 있다. <개정 2020.6.9>
⑥중앙행정기관의 장은 제1항 및 제3항에 따라 주요정보통신기반시설을 지정 또는 지정 취소한 때에는 이를 고시하여야 한다. 다만, 국가안전보장을 위하여 필요한 경우에는 위원회의 심의를 받아 이를 고시하지 아니할 수 있다. <개정 2020.6.9>
⑦주요정보통신기반시설의 지정 및 지정취소 등에 관하여 필요한 사항은 이를 대통령령으로 정한다.
제8조의2(주요정보통신기반시설의 지정 권고)
① 과학기술정보통신부장관과 국가정보원장등은 특정한 정보통신기반시설을 주요정보통신기반시설로 지정할 필요가 있다고 판단되는 경우에는 중앙행정기관의 장에게 해당 정보통신기반시설을 주요정보통신기반시설로 지정하도록 권고할 수 있다. 이 경우 지정 권고를 받은 중앙행정기관의 장은 위원회의 심의를 거쳐 지정 여부를 결정하여야 한다. <개정 2008.2.29, 2013.3.23, 2017.7.26, 2018.2.21>
② 과학기술정보통신부장관과 국가정보원장등은 제1항에 따른 권고를 위하여 필요한 경우에는 중앙행정기관의 장에게 해당 정보통신기반시설에 관한 자료를 요청할 수 있다. <개정 2008.2.29, 2013.3.23, 2017.7.26>
③ 제1항에 따른 주요정보통신기반시설의 지정 권고 절차, 그 밖에 필요한 사항은 대통령령으로 정한다.
제9조(취약점의 분석ㆍ평가)
①관리기관의 장은 대통령령으로 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하여야 한다. <개정 2020.6.9>
② 중앙행정기관의 장은 다음 각 호의 어느 하나에 해당하는 경우 해당 관리기관의 장에게 주요정보통신기반시설의 취약점을 분석ㆍ평가하도록 명령할 수 있다. <신설 2019.12.10>
③관리기관의 장은 제1항 또는 제2항에 따라 취약점을 분석ㆍ평가하고자 하는 경우에는 대통령령이 정하는 바에 따라 취약점을 분석ㆍ평가하는 전담반을 구성하여야 한다. <개정 2019.12.10>
④관리기관의 장은 제1항 또는 제2항에 따라 취약점을 분석ㆍ평가하고자 하는 경우에는 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하게 할 수 있다. 다만, 이 경우 제3항에 따른 전담반을 구성하지 아니할 수 있다. <개정 2002.12.18, 2007.12.21, 2009.5.22, 2013.3.23, 2015.6.22, 2019.12.10>
⑤과학기술정보통신부장관은 관계중앙행정기관의 장 및 국가정보원장과 협의하여 제1항 및 제2항에 따른 취약점 분석ㆍ평가에 관한 기준을 정하고 이를 관계중앙행정기관의 장에게 통보하여야 한다. <개정 2008.2.29, 2013.3.23, 2017.7.26, 2019.12.10>
⑥주요정보통신기반시설의 취약점 분석ㆍ평가의 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. <개정 2019.12.10>
제4장 주요정보통신기반시설의 보호 및 침해사고의 대응
제10조(보호지침)
①관계중앙행정기관의 장은 소관분야의 주요정보통신기반시설에 대하여 보호지침을 제정하고 해당분야의 관리기관의 장에게 이를 지키도록 명령할 수 있다. <개정 2024.1.23>
② 제1항에 따른 명령을 받은 관리기관의 장은 이를 이행하여야 한다. <신설 2024.1.23>
③관계중앙행정기관의 장은 기술의 발전 등을 고려하여 제1항에 따른 보호지침을 주기적으로 수정ㆍ보완하여야 한다. <개정 2020.6.9, 2024.1.23>
제11조(보호조치 명령)
① 관계중앙행정기관의 장은 다음 각 호의 어느 하나에 해당하는 경우 해당 관리기관의 장에게 주요정보통신기반시설의 보호에 필요한 조치를 하도록 명령할 수 있다. <개정 2024.1.23>
② 제1항에도 불구하고 관계중앙행정기관의 장이 보호조치 명령을 하지 아니하는 경우에는 과학기술정보통신부장관과 국가정보원장등이 관계중앙행정기관의 장을 대신하여 해당 관리기관의 장에게 주요정보통신기반시설의 보호에 필요한 조치를 하도록 명령할 수 있다. <신설 2024.1.23>
제12조(주요정보통신기반시설 침해행위 등의 금지) 누구든지 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니된다. <개정 2020.6.9>
제13조(침해사고의 통지)
①관리기관의 장은 침해사고가 발생하여 소관 주요정보통신기반시설이 교란ㆍ마비 또는 파괴된 사실을 인지한 때에는 관계 행정기관, 수사기관 또는 인터넷진흥원(이하 "관계기관등"이라 한다)에 그 사실을 통지하여야 한다. 이 경우 관계기관등은 침해사고의 피해확산 방지와 신속한 대응을 위하여 필요한 조치를 취하여야 한다. <개정 2013.3.23>
②정부는 제1항에 따라 침해사고를 통지함으로써 피해확산의 방지에 기여한 관리기관에 예산의 범위안에서 복구비 등 재정적 지원을 할 수 있다. <개정 2020.6.9>
제14조(복구조치)
①관리기관의 장은 소관 주요정보통신기반시설에 대한 침해사고가 발생한 때에는 해당 정보통신기반시설의 복구 및 보호에 필요한 조치를 신속히 취하여야 한다.
② 관계중앙행정기관의 장은 주요정보통신기반시설에 대한 침해사고가 발생한 때에는 해당 관리기관의 장에게 해당 정보통신기반시설의 복구 및 보호에 필요한 조치를 하도록 명령할 수 있다. <개정 2024.1.23>
③ 제2항에도 불구하고 관계중앙행정기관의 장이 복구 및 보호조치 명령을 하지 아니하는 경우에는 과학기술정보통신부장관과 국가정보원장등이 관계중앙행정기관의 장을 대신하여 해당 관리기관의 장에게 해당 정보통신기반시설의 복구 및 보호에 필요한 조치를 하도록 명령할 수 있다. <개정 2024.1.23>
④ 관리기관의 장은 제1항부터 제3항까지에 따른 복구 및 보호조치를 위하여 필요한 경우 관계중앙행정기관의 장 또는 인터넷진흥원의 장에게 지원을 요청할 수 있다. 다만, 제7조제2항에 해당하는 경우에는 그러하지 아니하다. <신설 2024.1.23>
⑤ 관계중앙행정기관의 장 또는 인터넷진흥원의 장은 제4항에 따른 지원요청을 받은 때에는 피해복구가 신속히 이루어질 수 있도록 기술지원 등 필요한 지원을 하여야 하고, 피해확산을 방지할 수 있도록 관리기관의 장과 함께 적절한 조치를 취하여야 한다. <신설 2024.1.23>
제15조(대책본부의 구성등)
①위원회의 위원장은 주요정보통신기반시설에 대하여 침해사고가 광범위하게 발생한 경우 그에 필요한 응급대책, 기술지원 및 피해복구 등을 수행하기 위한 기간을 정하여 위원회에 정보통신기반침해사고대책본부(이하 "대책본부"라 한다)를 둘 수 있다.
②위원회의 위원장은 대책본부의 업무와 관련 있는 공무원의 파견을 관계 행정기관의 장에게 요청할 수 있다.
③위원회의 위원장은 침해사고가 발생한 정보통신기반시설을 관할하는 중앙행정기관의 장과 협의하여 대책본부장을 임명한다.
④대책본부장은 관계 행정기관의 장, 관리기관의 장 및 인터넷진흥원의 장에게 주요정보통신기반시설 침해사고의 대응을 위한 협력과 지원을 요청할 수 있다. <개정 2013.3.23>
⑤제4항에 따라 협력과 지원을 요청받은 관계 행정기관의 장등은 특별한 사유가 없으면 그 요청에 따라야 한다. <개정 2020.6.9>
⑥대책본부의 구성ㆍ운영 등에 관하여 필요한 사항은 대통령령으로 정한다.
제16조(정보공유ㆍ분석센터)
①금융ㆍ통신 등 분야별 정보통신기반시설을 보호하기 위하여 다음 각호의 업무를 수행하고자 하는 자는 정보공유ㆍ분석센터를 구축ㆍ운영할 수 있다.
② 삭제 <2015.12.22>
③ 삭제 <2015.12.22>
④정부는 제1항 각호의 업무를 수행하는 정보공유ㆍ분석센터의 구축을 장려하고 그에 대한 재정적ㆍ기술적 지원을 할 수 있다. <개정 2015.12.22>
⑤ 삭제 <2015.12.22>
제5장 삭제 <2009.5.22>
제17조 삭제 <2009.5.22>
제18조 삭제 <2009.5.22>
제19조 삭제 <2009.5.22>
제20조 삭제 <2009.5.22>
제21조 삭제 <2009.5.22>
제22조 삭제 <2009.5.22>
제23조 삭제 <2009.5.22>
제6장 기술지원 및 민간협력 등
제24조(기술개발 등)
①정부는 정보통신기반시설을 보호하기 위하여 필요한 기술의 개발 및 전문인력 양성에 관한 시책을 강구할 수 있다.
②정부는 정보통신기반시설의 보호에 필요한 기술개발을 효율적으로 추진하기 위하여 필요한 때에는 정보보호 기술개발과 관련된 연구기관 및 민간단체로 하여금 이를 대행하게 할 수 있다. 이 경우 이에 소요되는 비용의 전부 또는 일부를 지원할 수 있다.
제25조(관리기관에 대한 지원) 정부는 관리기관에 대하여 주요정보통신기반시설을 보호하기 위하여 필요한 기술의 이전, 장비의 제공 그 밖의 필요한 지원을 할 수있다.
제26조(국제협력)
①정부는 정보통신기반시설의 보호에 관한 국제적 동향을 파악하고 국제협력을 추진하여야 한다.
②정부는 정보통신기반시설의 보호에 관한 국제협력을 촉진하기 위하여 관련기술 및 인력의 국제교류와 국제표준화 및 국제공동연구개발 등에 관한 사업을 지원할 수 있다.
제27조(비밀유지의무) 다음 각 호의 어느 하나에 해당하는 기관에 종사하는 사람 또는 종사하였던 사람은 그 직무상 알게된 비밀을 누설하여서는 아니된다. 다만, 다른 법률에 특별한 규정이 있는 경우에는 그러하지 아니하다. <개정 2007.12.21, 2019.12.10, 2020.6.9>
제7장 벌칙
제28조(벌칙)
①제12조의 규정을 위반하여 주요정보통신기반시설을 교란ㆍ마비 또는 파괴한 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
②제1항의 미수범은 처벌한다.
제29조(벌칙) 제27조의 규정을 위반하여 비밀을 누설한 자는 5년 이하의 징역, 10년 이하의 자격정지 또는 5천만원 이하의 벌금에 처한다.
제30조(과태료)
① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다. <신설 2024.1.23>
②다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다. <개정 2007.12.21, 2020.6.9, 2022.6.10, 2024.1.23>
③ 다음 각 호의 어느 하나에 해당하는 자에게는 500만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다. <신설 2022.6.10, 2024.1.23>
④ 삭제 <2017.3.14>
⑤ 삭제 <2017.3.14>
⑥ 삭제 <2017.3.14>
⑦제1항부터 제3항까지에 따른 과태료는 대통령령으로 정하는 바에 따라 관계중앙행정기관의 장 또는 과학기술정보통신부장관이 부과ㆍ징수한다. <개정 2008.2.29, 2009.5.22, 2013.3.23, 2017.7.26, 2020.6.9, 2022.6.10, 2024.1.23>
구법
공포일: 2022년 6월 10일 | 18870
제1장 총칙
제1조(목적) 이 법은 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 수립ㆍ시행함으로써 동 시설을 안정적으로 운용하도록 하여 국가의 안전과 국민생활의 안정을 보장하는 것을 목적으로 한다.
제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다. <개정 2007.12.21, 2020.6.9>
제2장 주요정보통신기반시설의 보호체계
제3조(정보통신기반보호위원회)
①제8조에 따라 지정된 주요정보통신기반시설(이하 "주요정보통신기반시설"이라 한다)의 보호에 관한 사항을 심의하기 위하여 국무총리 소속하에 정보통신기반보호위원회(이하 "위원회"라 한다)를 둔다. <개정 2020.6.9>
②위원회의 위원은 위원장 1인을 포함한 25인 이내의 위원으로 구성한다.
③위원회의 위원장은 국무조정실장이 되고, 위원회의 위원은 대통령령으로 정하는 중앙행정기관의 차관급 공무원과 위원장이 위촉하는 사람으로 한다. <개정 2007.12.21, 2008.2.29, 2013.3.23, 2020.6.9>
④위원회의 효율적인 운영을 위하여 위원회에 공공분야와 민간분야를 각각 담당하는 실무위원회를 둔다. <개정 2007.12.21>
⑤위원회 및 실무위원회의 구성ㆍ운영 등에 관하여 필요한 사항은 대통령령으로 정한다.
제4조(위원회의 기능) 위원회는 다음 각호의 사항을 심의한다. <개정 2007.12.21, 2018.2.21, 2020.6.9>
제5조(주요정보통신기반시설보호대책의 수립 등)
①주요정보통신기반시설을 관리하는 기관(이하 "관리기관"이라 한다)의 장은 제9조제1항 또는 제2항에 따른 취약점 분석ㆍ평가의 결과에 따라 소관 주요정보통신기반시설 및 관리 정보를 안전하게 보호하기 위한 예방, 백업, 복구 등 물리적ㆍ기술적 대책을 포함한 관리대책(이하 "주요정보통신기반시설보호대책"이라 한다)을 수립ㆍ시행하여야 한다. <개정 2015.1.20, 2019.12.10>
②관리기관의 장은 제1항에 따라 주요정보통신기반시설보호대책을 수립한 때에는 이를 주요정보통신기반시설을 관할하는 중앙행정기관(이하 "관계중앙행정기관"이라 한다)의 장에게 제출하여야 한다. 다만, 관리기관의 장이 관계중앙행정기관의 장인 경우에는 그러하지 아니하다. <개정 2020.6.9>
③지방자치단체의 장이 관리ㆍ감독하는 관리기관의 주요정보통신기반시설보호대책은 지방자치단체의 장이 행정안전부장관에게 제출하여야 한다. <개정 2008.2.29, 2013.3.23, 2014.11.19, 2017.7.26>
④관리기관의 장은 소관 주요정보통신기반시설의 보호에 관한 업무를 총괄하는 자(이하 "정보보호책임자"라 한다)를 지정하여야 한다. 다만, 관리기관의 장이 관계중앙행정기관의 장인 경우에는 그러하지 아니하다.
⑤정보보호책임자의 지정 및 업무 등에 관하여 필요한 사항은 대통령령으로 정한다.
제5조의2(주요정보통신기반시설보호대책 이행 여부의 확인)
① 과학기술정보통신부장관과 국가정보원장 등 대통령령으로 정하는 국가기관의 장(이하 "국가정보원장등" 이라 한다)은 관리기관에 대하여 주요정보통신기반시설보호대책의 이행 여부를 확인할 수 있다. <개정 2008.2.29, 2013.3.23, 2017.7.26>
② 과학기술정보통신부장관과 국가정보원장등은 제1항에 따른 확인을 위하여 필요한 경우 관계중앙행정기관의 장에게 제5조제2항에 따라 제출받은 주요정보통신기반시설보호대책 등의 자료 제출을 요청할 수 있다. <개정 2008.2.29, 2013.3.23, 2017.7.26>
③ 과학기술정보통신부장관과 국가정보원장등은 제1항에 따라 확인한 주요정보통신기반시설보호대책의 이행 여부를 관계중앙행정기관의 장에게 통보할 수 있다. <개정 2008.2.29, 2013.3.23, 2017.7.26>
④ 제1항에 따른 주요정보통신기반시설보호대책 이행 여부의 확인절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
제6조(주요정보통신기반시설보호계획의 수립 등)
①관계중앙행정기관의 장은 제5조제2항에 따라 제출받은 주요정보통신기반시설보호대책을 종합ㆍ조정하여 소관분야에 대한 주요정보통신기반시설에 관한 보호계획(이하 "주요정보통신기반시설보호계획"이라 한다)을 수립ㆍ시행하여야 한다. <개정 2020.6.9>
②관계중앙행정기관의 장은 전년도 주요정보통신기반시설보호계획의 추진실적과 다음 연도의 주요정보통신기반시설보호계획을 위원회에 제출하여 그 심의를 받아야 한다. 다만, 위원회의 위원장이 보안이 요구된다고 인정하는 사항에 대하여는 그러하지 아니하다.
③주요정보통신기반시설보호계획에는 다음 각호의 사항이 포함되어야 한다. <개정 2015.1.20>
④과학기술정보통신부장관과 국가정보원장은 협의하여 주요정보통신기반시설보호대책 및 주요정보통신기반시설보호계획의 수립지침을 정하여 이를 관계중앙행정기관의 장에게 통보할 수 있다. <개정 2007.12.21, 2008.2.29, 2013.3.23, 2017.7.26>
⑤관계중앙행정기관의 장은 소관분야의 주요정보통신기반시설의 보호에 관한 업무를 총괄하는 자(이하 "정보보호책임관"이라 한다)를 지정하여야 한다.
⑥주요정보통신기반시설보호계획의 수립ㆍ시행에 관한 사항과 정보보호책임관의 지정 및 업무 등에 관하여 필요한 사항은 대통령령으로 정한다.
제7조(주요정보통신기반시설의 보호지원)
①관리기관의 장이 필요하다고 인정하거나 위원회의 위원장이 특정 관리기관의 주요정보통신기반시설보호대책의 미흡으로 국가안전보장이나 경제사회전반에 피해가 우려된다고 판단하여 그 보완을 명하는 경우 해당 관리기관의 장은 과학기술정보통신부장관과 국가정보원장등 또는 필요한 경우 대통령령으로 정하는 전문기관의 장에게 다음 각 호의 업무에 대한 기술적 지원을 요청할 수 있다. <개정 2007.12.21, 2008.2.29, 2013.3.23, 2017.7.26, 2020.6.9, 2024.1.23>
②국가안전보장에 중대한 영향을 미치는 다음 각 호의 주요정보통신기반시설에 대한 관리기관의 장이 제1항에 따라 기술적 지원을 요청하는 경우 국가정보원장에게 우선적으로 그 지원을 요청하여야 한다. 다만, 국가안전보장에 현저하고 급박한 위험이 있고, 관리기관의 장이 요청할 때까지 기다릴 경우 그 피해를 회복할 수 없을 때에는 국가정보원장은 관계중앙행정기관의 장과 협의하여 그 지원을 할 수 있다. <개정 2007.12.21>
③국가정보원장은 제1항 및 제2항에도 불구하고 금융 정보통신기반시설 등 개인정보가 저장된 모든 정보통신기반시설에 대하여 기술적 지원을 수행하여서는 아니된다. <개정 2007.12.21, 2020.6.9>
제3장 주요정보통신기반시설의 지정 및 취약점 분석
제8조(주요정보통신기반시설의 지정 등)
①중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음 각호의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다. <개정 2019.12.10, 2020.6.9>
②중앙행정기관의 장은 제1항에 따른 지정 여부를 결정하기 위하여 필요한 자료의 제출을 해당 관리기관에 요구할 수 있다. <개정 2020.6.9>
③관계중앙행정기관의 장은 관리기관이 해당 업무를 폐지ㆍ정지 또는 변경하는 경우에는 직권 또는 해당 관리기관의 신청에 의하여 주요정보통신기반시설의 지정을 취소할 수 있다.
④지방자치단체의 장이 관리ㆍ감독하는 기관의 정보통신기반시설에 대하여는 행정안전부장관이 지방자치단체의 장과 협의하여 주요정보통신기반시설로 지정하거나 그 지정을 취소할 수 있다. <개정 2008.2.29, 2013.3.23, 2014.11.19, 2017.7.26>
⑤중앙행정기관의 장이 제1항 및 제3항에 따라 지정 또는 지정 취소를 하고자 하는 경우에는 위원회의 심의를 받아야 한다. 이 경우 위원회는 제1항 및 제3항에 따라 지정 또는 지정취소의 대상이 되는 관리기관의 장을 위원회에 출석하게 하여 그 의견을 들을 수 있다. <개정 2020.6.9>
⑥중앙행정기관의 장은 제1항 및 제3항에 따라 주요정보통신기반시설을 지정 또는 지정 취소한 때에는 이를 고시하여야 한다. 다만, 국가안전보장을 위하여 필요한 경우에는 위원회의 심의를 받아 이를 고시하지 아니할 수 있다. <개정 2020.6.9>
⑦주요정보통신기반시설의 지정 및 지정취소 등에 관하여 필요한 사항은 이를 대통령령으로 정한다.
제8조의2(주요정보통신기반시설의 지정 권고)
① 과학기술정보통신부장관과 국가정보원장등은 특정한 정보통신기반시설을 주요정보통신기반시설로 지정할 필요가 있다고 판단되는 경우에는 중앙행정기관의 장에게 해당 정보통신기반시설을 주요정보통신기반시설로 지정하도록 권고할 수 있다. 이 경우 지정 권고를 받은 중앙행정기관의 장은 위원회의 심의를 거쳐 지정 여부를 결정하여야 한다. <개정 2008.2.29, 2013.3.23, 2017.7.26, 2018.2.21>
② 과학기술정보통신부장관과 국가정보원장등은 제1항에 따른 권고를 위하여 필요한 경우에는 중앙행정기관의 장에게 해당 정보통신기반시설에 관한 자료를 요청할 수 있다. <개정 2008.2.29, 2013.3.23, 2017.7.26>
③ 제1항에 따른 주요정보통신기반시설의 지정 권고 절차, 그 밖에 필요한 사항은 대통령령으로 정한다.
제9조(취약점의 분석ㆍ평가)
①관리기관의 장은 대통령령으로 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하여야 한다. <개정 2020.6.9>
② 중앙행정기관의 장은 다음 각 호의 어느 하나에 해당하는 경우 해당 관리기관의 장에게 주요정보통신기반시설의 취약점을 분석ㆍ평가하도록 명령할 수 있다. <신설 2019.12.10>
③관리기관의 장은 제1항 또는 제2항에 따라 취약점을 분석ㆍ평가하고자 하는 경우에는 대통령령이 정하는 바에 따라 취약점을 분석ㆍ평가하는 전담반을 구성하여야 한다. <개정 2019.12.10>
④관리기관의 장은 제1항 또는 제2항에 따라 취약점을 분석ㆍ평가하고자 하는 경우에는 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하게 할 수 있다. 다만, 이 경우 제3항에 따른 전담반을 구성하지 아니할 수 있다. <개정 2002.12.18, 2007.12.21, 2009.5.22, 2013.3.23, 2015.6.22, 2019.12.10>
⑤과학기술정보통신부장관은 관계중앙행정기관의 장 및 국가정보원장과 협의하여 제1항 및 제2항에 따른 취약점 분석ㆍ평가에 관한 기준을 정하고 이를 관계중앙행정기관의 장에게 통보하여야 한다. <개정 2008.2.29, 2013.3.23, 2017.7.26, 2019.12.10>
⑥주요정보통신기반시설의 취약점 분석ㆍ평가의 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. <개정 2019.12.10>
제4장 주요정보통신기반시설의 보호 및 침해사고의 대응
제10조(보호지침)
①관계중앙행정기관의 장은 소관분야의 주요정보통신기반시설에 대하여 보호지침을 제정하고 해당분야의 관리기관의 장에게 이를 지키도록 명령할 수 있다. <개정 2024.1.23>
② 제1항에 따른 명령을 받은 관리기관의 장은 이를 이행하여야 한다. <신설 2024.1.23>
③관계중앙행정기관의 장은 기술의 발전 등을 고려하여 제1항에 따른 보호지침을 주기적으로 수정ㆍ보완하여야 한다. <개정 2020.6.9, 2024.1.23>
제11조(보호조치 명령)
① 관계중앙행정기관의 장은 다음 각 호의 어느 하나에 해당하는 경우 해당 관리기관의 장에게 주요정보통신기반시설의 보호에 필요한 조치를 하도록 명령할 수 있다. <개정 2024.1.23>
② 제1항에도 불구하고 관계중앙행정기관의 장이 보호조치 명령을 하지 아니하는 경우에는 과학기술정보통신부장관과 국가정보원장등이 관계중앙행정기관의 장을 대신하여 해당 관리기관의 장에게 주요정보통신기반시설의 보호에 필요한 조치를 하도록 명령할 수 있다. <신설 2024.1.23>
제12조(주요정보통신기반시설 침해행위 등의 금지) 누구든지 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니된다. <개정 2020.6.9>
제13조(침해사고의 통지)
①관리기관의 장은 침해사고가 발생하여 소관 주요정보통신기반시설이 교란ㆍ마비 또는 파괴된 사실을 인지한 때에는 관계 행정기관, 수사기관 또는 인터넷진흥원(이하 "관계기관등"이라 한다)에 그 사실을 통지하여야 한다. 이 경우 관계기관등은 침해사고의 피해확산 방지와 신속한 대응을 위하여 필요한 조치를 취하여야 한다. <개정 2013.3.23>
②정부는 제1항에 따라 침해사고를 통지함으로써 피해확산의 방지에 기여한 관리기관에 예산의 범위안에서 복구비 등 재정적 지원을 할 수 있다. <개정 2020.6.9>
제14조(복구조치)
①관리기관의 장은 소관 주요정보통신기반시설에 대한 침해사고가 발생한 때에는 해당 정보통신기반시설의 복구 및 보호에 필요한 조치를 신속히 취하여야 한다.
② 관계중앙행정기관의 장은 주요정보통신기반시설에 대한 침해사고가 발생한 때에는 해당 관리기관의 장에게 해당 정보통신기반시설의 복구 및 보호에 필요한 조치를 하도록 명령할 수 있다. <개정 2024.1.23>
③ 제2항에도 불구하고 관계중앙행정기관의 장이 복구 및 보호조치 명령을 하지 아니하는 경우에는 과학기술정보통신부장관과 국가정보원장등이 관계중앙행정기관의 장을 대신하여 해당 관리기관의 장에게 해당 정보통신기반시설의 복구 및 보호에 필요한 조치를 하도록 명령할 수 있다. <개정 2024.1.23>
④ 관리기관의 장은 제1항부터 제3항까지에 따른 복구 및 보호조치를 위하여 필요한 경우 관계중앙행정기관의 장 또는 인터넷진흥원의 장에게 지원을 요청할 수 있다. 다만, 제7조제2항에 해당하는 경우에는 그러하지 아니하다. <신설 2024.1.23>
⑤ 관계중앙행정기관의 장 또는 인터넷진흥원의 장은 제4항에 따른 지원요청을 받은 때에는 피해복구가 신속히 이루어질 수 있도록 기술지원 등 필요한 지원을 하여야 하고, 피해확산을 방지할 수 있도록 관리기관의 장과 함께 적절한 조치를 취하여야 한다. <신설 2024.1.23>
제15조(대책본부의 구성등)
①위원회의 위원장은 주요정보통신기반시설에 대하여 침해사고가 광범위하게 발생한 경우 그에 필요한 응급대책, 기술지원 및 피해복구 등을 수행하기 위한 기간을 정하여 위원회에 정보통신기반침해사고대책본부(이하 "대책본부"라 한다)를 둘 수 있다.
②위원회의 위원장은 대책본부의 업무와 관련 있는 공무원의 파견을 관계 행정기관의 장에게 요청할 수 있다.
③위원회의 위원장은 침해사고가 발생한 정보통신기반시설을 관할하는 중앙행정기관의 장과 협의하여 대책본부장을 임명한다.
④대책본부장은 관계 행정기관의 장, 관리기관의 장 및 인터넷진흥원의 장에게 주요정보통신기반시설 침해사고의 대응을 위한 협력과 지원을 요청할 수 있다. <개정 2013.3.23>
⑤제4항에 따라 협력과 지원을 요청받은 관계 행정기관의 장등은 특별한 사유가 없으면 그 요청에 따라야 한다. <개정 2020.6.9>
⑥대책본부의 구성ㆍ운영 등에 관하여 필요한 사항은 대통령령으로 정한다.
제16조(정보공유ㆍ분석센터)
①금융ㆍ통신 등 분야별 정보통신기반시설을 보호하기 위하여 다음 각호의 업무를 수행하고자 하는 자는 정보공유ㆍ분석센터를 구축ㆍ운영할 수 있다.
② 삭제 <2015.12.22>
③ 삭제 <2015.12.22>
④정부는 제1항 각호의 업무를 수행하는 정보공유ㆍ분석센터의 구축을 장려하고 그에 대한 재정적ㆍ기술적 지원을 할 수 있다. <개정 2015.12.22>
⑤ 삭제 <2015.12.22>
제5장 삭제 <2009.5.22>
제17조 삭제 <2009.5.22>
제18조 삭제 <2009.5.22>
제19조 삭제 <2009.5.22>
제20조 삭제 <2009.5.22>
제21조 삭제 <2009.5.22>
제22조 삭제 <2009.5.22>
제23조 삭제 <2009.5.22>
제6장 기술지원 및 민간협력 등
제24조(기술개발 등)
①정부는 정보통신기반시설을 보호하기 위하여 필요한 기술의 개발 및 전문인력 양성에 관한 시책을 강구할 수 있다.
②정부는 정보통신기반시설의 보호에 필요한 기술개발을 효율적으로 추진하기 위하여 필요한 때에는 정보보호 기술개발과 관련된 연구기관 및 민간단체로 하여금 이를 대행하게 할 수 있다. 이 경우 이에 소요되는 비용의 전부 또는 일부를 지원할 수 있다.
제25조(관리기관에 대한 지원) 정부는 관리기관에 대하여 주요정보통신기반시설을 보호하기 위하여 필요한 기술의 이전, 장비의 제공 그 밖의 필요한 지원을 할 수있다.
제26조(국제협력)
①정부는 정보통신기반시설의 보호에 관한 국제적 동향을 파악하고 국제협력을 추진하여야 한다.
②정부는 정보통신기반시설의 보호에 관한 국제협력을 촉진하기 위하여 관련기술 및 인력의 국제교류와 국제표준화 및 국제공동연구개발 등에 관한 사업을 지원할 수 있다.
제27조(비밀유지의무) 다음 각 호의 어느 하나에 해당하는 기관에 종사하는 사람 또는 종사하였던 사람은 그 직무상 알게된 비밀을 누설하여서는 아니된다. 다만, 다른 법률에 특별한 규정이 있는 경우에는 그러하지 아니하다. <개정 2007.12.21, 2019.12.10, 2020.6.9>
제7장 벌칙
제28조(벌칙)
①제12조의 규정을 위반하여 주요정보통신기반시설을 교란ㆍ마비 또는 파괴한 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
②제1항의 미수범은 처벌한다.
제29조(벌칙) 제27조의 규정을 위반하여 비밀을 누설한 자는 5년 이하의 징역, 10년 이하의 자격정지 또는 5천만원 이하의 벌금에 처한다.
제30조(과태료)
① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다. <신설 2024.1.23>
②다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다. <개정 2007.12.21, 2020.6.9, 2022.6.10, 2024.1.23>
③ 다음 각 호의 어느 하나에 해당하는 자에게는 500만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다. <신설 2022.6.10, 2024.1.23>
④ 삭제 <2017.3.14>
⑤ 삭제 <2017.3.14>
⑥ 삭제 <2017.3.14>
⑦제1항부터 제3항까지에 따른 과태료는 대통령령으로 정하는 바에 따라 관계중앙행정기관의 장 또는 과학기술정보통신부장관이 부과ㆍ징수한다. <개정 2008.2.29, 2009.5.22, 2013.3.23, 2017.7.26, 2020.6.9, 2022.6.10, 2024.1.23>