[뉴스토마토 배한님 기자] 정부가 형식적으로 운영되던 정보보호 최고책임자(CISO) 제도가 정착할 수 있도록 법안을 개정했다. CISO의 지위와 업무를 명확히 하고 처벌 규정을 손보는 등 기업이 보안 실무를 담당할 수 있는 사람을 보안 책임자로 선임하도록 유도하는 방안이다. 비대면 산업 확대·이루다 사태 등으로 정보보안의 중요성은 늘어나면서 해당 제도를 명확히 해야한다는 요구가 높아지면서 법안을 손본 것이다.
김부겸 국무총리가 1일 오전 정부세종청사에서 열린 국무회의에서 모두발언을 하고 있다. 사진/뉴시스
과학기술정보통신부(과기정통부)는 1일 기업의 사이버 침해사고 예방 및 대응 역량을 강화하는 CISO 제도 개선 사항을 담은 '정보통신망 이용 촉진 및 정보보호 등에 관한 법률(정보통신망법)' 개정안이 국무회의에서 의결됐다고 밝혔다.
이번 개정은 CISO의 지위을 확실히 정하고 과태료 규정을 다듬는 등 제도의 명확성을 높이면서도, 현장에서 지속적으로 요구하던 획일적 지위 다양화, 겸직 제한 완화 등으로 기업의 부담을 줄여주면서 제도의 실효성을 높이기 위해 마련됐다.
IT 인력 중 정보보호 담당 인력 비중. 자료/WISET·KISIA
지난해 CISO 의무제도가 도입되면서 정보보호 관리체계(ISMS) 의무 대상 기업과 중기업 이상 정보통신서비스 제공자, 자본금 1억원 이하의 부가통신사업자를 제외한 모든 전기통신사업자는 CISO를 지정해야 했다. 그러나 한국정보보호산업협회(KISIA)의 실태조사에 따르면 2020년 정보보호 담당 인력이 없는 사업체는 72.2%에 달했다. 지금까지 형식적인 신고로 CISO를 지정·신고해왔던 셈이다.
정부는 이런 문제를 해결하고 기업이 CISO를 선임할 수 있도록 제도 유연성과 확실성을 제고했다. 주요 개정 내용은 △CISO 지위 확대 및 명확화 △CISO 겸직 제한 완화 △중기업 이상 CISO 신고 의무화 △과태료 규정 정비 등이다.
CISO 지위 확대 및 명확화는 겸직 제한 대상 기업을 제외한 중소기업은 부장급의 CISO를 지정할 수 있도록 시행령을 개정한 것이다. 지금까지 중기업 이상 모든 기업에 일률적으로 임원급의 CISO를 지정하도록 해 기업이 인력 확보에 어려움을 겪었다. 이번 개정으로 기업의 부담을 완화하고 실질적인 보안 책임자를 선임할 수 있도록 하는 것이다.
CISO 겸직 제한 규정 완화는 겸직 제한 대상 기업 외에는 개인정보 보호책임자(CPO) 등 유사 정보보호 관련 업무를 수행할 수 있게 한 것이다. 법에 지정한 의무적인 업무 외 개인정보보호 업무 등을 CISO가 함께 수행할 수 있다. 겸직 제한 대상은 자본금 5조원 이상이거나 ISMS 의무 대상 중 자산 총액 5000억원 이상 기업이다.
중기업 이상 CISO 신고 의무화는 정보보호 필요성이 큰 기업으로 의무 기업을 명확히 하는 것이다. 지금까지 단순 홍보·안내 홈페이지를 운영하는 연매출 10억원 이상의 음식점이나 학원 등도 CISO 신고 의무 대상이었으나, 이번 개정으로 제외됐다. 단, 신고의무가 면제된 기업은 시행령에서 대표를 CISO로 간주해 정보보호 공백도 방지한다.
과태료 규정은 CISO 제도 실효성을 강화하기 위해 마련됐다. 지금까지 부적격자 지정, 겸직 제한 위반 등 경우에도 시정명령 조치만 가능해 제도 운영에 한계가 있다는 지적이 있었다. 이에 기존 과태료 규정을 정비해 허위 신고 및 부적격자 지정에 대한 제재 규정을 마련해 시행령에 구체적으로 정할 예정이다.
홍진배 과기정통부 정보보호네트워크정책관은 "이번 법령 개정을 통해 기업 부담은 줄이면서, CISO 제도의 내실을 다질 수 있게 됐다"며 "많은 기업이 사이버 침해사고 예방 및 대응 역량을 강화하여 기업 활동에 도움이 되고, 사이버 보안에 대한 국민 체감도를 높일 수 있게 될 것"이라고 전했다.
배한님 기자 bhn@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지