19일차 : 정보통신망법(망법) 과 정보통신기반보호법(기반보호법)

19일차는 **정보통신망법(망법)**과 **정보통신기반보호법(기반보호법)**을 다룹니다. 18일차에 배운 '개인정보 보호법'이 일반적인 법이라면, 오늘 배우는 내용은 IT 서비스 제공자와 국가 핵심 시설에 특화된 법규입니다.

---

📅 19일차 학습 포인트 (원래 스케줄 기준)

학습 범위: PART 06 SEC 18-04~05 (정보통신망법 및 정보통신기반보호법)

1. 정보통신망법 (망법) - 서비스 제공자 중심

• 침해사고의 통지 및 신고 (제48조의3): 정보통신서비스 제공자는 침해사고 발생 시 즉시 과기정통부 장관이나 KISA에 신고해야 합니다. (실기 단답형 빈출 키워드: 즉시)
• 정보보호 최고책임자(CISO) 지정 (제45조의3):
  • 상시 종업원 수, 매출액 등 일정 기준 이상의 기업은 CISO를 반드시 지정하고 신고해야 합니다.
  • 자산 총액 5조 원 이상 등의 대규모 기업 CISO는 다른 직무를 겸직할 수 없습니다. (겸직 금지)
• 정보보호 공시: 정보보호 투자, 인력 현황 등을 대중에게 알리는 제도로, 일정 규모 이상 기업은 의무 대상입니다.

2. 정보통신기반보호법 (기반보호법) - 국가 중요 시설

이 법은 해킹 시 국가 전체가 마비될 수 있는 시설(전력, 통신, 금융 등)을 보호하기 위한 법입니다.

• 주요정보통신기반시설의 지정: 관리기관의 장이 지정 권고를 받아 지정하거나 직접 지정합니다.
• 취약점 분석·평가: 지정된 시설의 관리기관 장은 매년 소관 주요정보통신기반시설의 취약점을 분석·평가해야 합니다. (주기: 매년)
• 침해사고 대응: 기반시설에 사고가 발생하면 관리기관의 장은 과기정통부, 국정원 등 관계 기관에 통보하고 복구 조치를 해야 합니다.

---

🔍 실기형 핵심 체크리스트 (19일차)

1. 신고 시점: 망법상 침해사고 발생 시 신고는 ( 즉시 ) 해야 한다. (개보법의 72시간과 구분 필수!)
2. CISO 겸직 제한: 일정 규모 이상의 정보통신서비스 제공자는 정보보호 최고책임자가 다른 직무를 **( 겸직 )**할 수 없다.
3. 기반시설 평가 주기: 주요정보통신기반시설의 관리기관 장은 ( 매년 ) 취약점 분석·평가를 실시해야 한다.
4. 보호대책 수립: 기반시설로 지정되면 ( 6개월 ) 이내에 해당 시설에 대한 보호대책을 수립해야 한다.

---

✍️ 학습 가이드: 오늘은 "신고는 즉시", "CISO 겸직 금지", "기반시설 평가는 매년" 이 세 가지 키워드를 머릿속에 꼭 저장하세요. 어제 배운 일반법(개보법)과 오늘 배우는 특별법(망법/기반보호법)의 수치 차이를 비교하며 표로 정리해 보시는 것이 좋습니다.