[ISMS-P] 침해사실의 신고 및 침해사고 신고

침해사고가 발생한 사실을 알고도 과학기술정보통신부나 한국인터넷진흥원에 신고하지 않을 경우, 정보통신망법 위반으로 3천만원 이하의 과태료가 부과되므로 반드시 신고하여야 한다.
정보통신망법 제48조의3(침해사고의 신고 등) ① 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 한국인터넷진흥원에 신고(KISA 보호나라)하여야 한다. 이 경우 정보통신서비스 제공자가 이미 다른 법률에 따른 침해사고 통지 또는 신고를 했으면 전단에 따른 신고를 한 것으로 본다.
② 과학기술정보통신부장관이나 한국인터넷진흥원은 제1항에 따라 침해사고의 신고를 받거나 침해사고를 알게 되면 제48조의2제1항 각 호에 따른 필요한 조치를 하여야 한다.
③ 제1항 후단에 따라 침해사고의 통지 또는 신고를 받은 관계 기관의 장은 이와 관련된 정보를 과학기술정보통신부장관 또는 한국인터넷진흥원에 지체 없이 공유하여야 한다.
④ 제1항에 따른 신고의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
정보통신망법 시행령 제58조의2(침해사고 신고의 시기, 방법 및 절차) ① 정보통신서비스 제공자는 법 제48조의3제1항 전단에 따라 침해사고를 신고하려는 경우에는 침해사고의 발생을 알게 된 때부터 24시간 이내에 다음 각 호의 사항을 과학기술정보통신부장관 또는 한국인터넷진흥원에 신고해야 한다.

1. 침해사고에 대한 조치사항 등 대응 현황
2. 침해사고 대응업무를 담당하는 부서 및 연락처

② 정보통신서비스 제공자는 제1항에 따라 신고한 후 침해사고에 관하여 추가로 확인되는 사실이 있는 경우에는 확인한 때부터 24시간 이내에 신고해야 한다.
③ 제1항 및 제2항에 따른 신고는 서면, 전자우편, 전화, 인터넷 홈페이지 입력 등의 방법으로 할 수 있다.

클라우드컴퓨팅법 제25조(침해사고 등의 통지 등) ① 클라우드컴퓨팅서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 지체 없이 그 사실을 해당 이용자에게 알려야 한다.

1. 정보통신망법 제2조제7호에 따른 침해사고가 발생한 때
2. 이용자 정보가 유출된 때(과학기술정보통신부장관에게도 알려야 한다)
3. 사전예고 없이 대통령령으로 정하는 기간(또는 당사자 간 계약으로 정한 기간) 이상 서비스 중단이 발생한 때
   • 중단 기간이 연속해서 10분 이상인 경우
   • 중단 사고가 발생한 때부터 24시간 이내에 2회 이상 중단되고 중단된 기간을 합하여 15분 이상인 경우

클라우드컴퓨팅법 시행령 제17조(통지의 내용 및 방법) ① 클라우드컴퓨팅서비스를 제공하는 자(이하 “클라우드컴퓨팅서비스 제공자”라 한다)는 법 제25조제1항 각 호의 어느 하나에 해당하는 경우에는 지체 없이 다음 각 호의 사항을 해당 이용자에게 알려야 한다. 다만, 제2호의 발생 원인을 바로 알기 어려운 경우에는 나머지 사항을 먼저 알리고, 발생 원인이 확인되면 지체 없이 해당 이용자에게 알려야 한다.

1. 발생 내용
2. 발생 원인
3. 클라우드컴퓨팅서비스 제공자의 피해 확산 방지 조치 현황
4. 클라우드컴퓨팅서비스 이용자(이하 “이용자”라 한다)의 피해 예방 또는 확산 방지 방법
5. 담당부서 및 연락처

② 클라우드컴퓨팅서비스 제공자는 제1항에 따른 통지를 전화, 휴대전화, 우편, 전자우편, 문자메시지, 클라우드컴퓨팅서비스 접속화면 게시 또는 이와 유사한 방법 중 어느 하나 이상의 방법으로 하여야 한다. 다만, 클라우드컴퓨팅서비스 접속화면을 통하여 알리는 경우에는 15일 이상 게시하여야 한다.
③ 천재지변이나 그 밖의 불가피한 사유로 제1항에 따른 통지가 곤란한 경우에는 「신문 등의 진흥에 관한 법률」 제2조제1호가목에 따른 전국을 보급지역으로 하는 둘 이상의 일반일간신문에 1회 이상 공고하는 것으로 통지를 갈음할 수 있다.
클라우드컴퓨팅법 시행령 제17조(통지의 내용 및 방법) ⑤ 클라우드컴퓨팅서비스 제공자는 법 제25조제2항에 따라 같은 조 제1항제2호에 따른 이용자 정보의 유출 사실을 과학기술정보통신부장관에게 알릴 때에는 다음 각 호의 사항을 포함하여야 한다. <개정 2017. 7. 26.>

1. 유출된 이용자 정보의 개요(파악된 경우에 한정한다)
2. 유출된 시점과 그 경위
3. 클라우드컴퓨팅서비스 제공자의 피해 확산 방지 조치 현황

정보통신기반 보호법 제13조(침해사고의 통지) ①관리기관의 장은 침해사고가 발생하여 소관 주요정보통신기반시설이 교란ㆍ마비 또는 파괴된 사실을 인지한 때에는 관계 행정기관, 수사기관 또는 인터넷진흥원(이하 “관계기관등”이라 한다)에 그 사실을 통지하여야 한다. 이 경우 관계기관등은 침해사고의 피해확산 방지와 신속한 대응을 위하여 필요한 조치를 취하여야 한다.

1. 침해사고발생 일시 및 시설
2. 침해사고로 인한 피해내역
3. 기타 신속한 대응ㆍ복구를 위하여 필요한 사항

개인정보보호법에 명시된 침해 사실의 신고 등에 대한 내용도 참고바랍니다.
개인정보보호법 제62조(침해 사실의 신고 등) ① 개인정보처리자가 개인정보를 처리할 때 개인정보에 관한 권리 또는 이익을 침해받은 사람은 보호위원회에 그 침해 사실을 신고할 수 있다.
② 보호위원회는 제1항에 따른 신고의 접수ㆍ처리 등에 관한 업무를 효율적으로 수행하기 위하여 대통령령으로 정하는 바에 따라 전문기관(한국인터넷진흥원)을 지정할 수 있다. 이 경우 전문기관은 개인정보침해 신고센터(이하 “신고센터”라 한다)를 설치ㆍ운영하여야 한다.
③ 신고센터는 다음 각 호의 업무를 수행한다.

1. 개인정보 처리와 관련한 신고의 접수ㆍ상담
2. 사실의 조사ㆍ확인 및 관계자의 의견 청취
3. 제1호 및 제2호에 따른 업무에 딸린 업무

④ 보호위원회는 제3항제2호의 사실 조사ㆍ확인 등의 업무를 효율적으로 하기 위하여 필요하면 「국가공무원법」 제32조의4에 따라 소속 공무원을 제2항에 따른 전문기관에 파견할 수 있다.