中企 CISO 부담 완화…과기정통부, 정보통신망법 개정 의결

[아이뉴스24 최은정 기자] 앞으로 중소규모 기업들은 부장 직급의 직원을 정보보호최고책임자(CISO)로 지정할 수 있게 된다.

과학기술정보통신부(장관 임혜숙)는 CISO 제도의 개선 사항을 담은 '정보통신망 이용촉진·정보보호 등에 관한 법률' 일부 개정안이 1일 국무회의에서 의결됐다고 발표했다.

과기정통부 측은 이번 개정안 의결로 기업 규모에 따른 CISO의 획일적 지위(임원급) 다양화, 신고 대상 범위 명확화, 겸직 제한 완화 등이 가능해지면서 기업의 부담을 줄일 수 있을 것으로 기대했다.

이번 개정안에는 겸직 제한 대상 기업을 제외한 중소기업은 부장급 정보보호 책임자도 지정 가능하도록 하는 내용이 담겼다. 이는 추후 마련될 시행령에서 구체화될 예정이다. 겸직 제한 대상은 직전 사업 연도 말 자산 총액이 5조원 이상이거나, 정보보호 관리체계(ISMS) 의무 대상 중 자산총액이 5천억원 이상인 기업을 포함한다.

또 정보보호 필요성이 큰 '중기업' 이상으로 CISO를 신고하고, 신고 의무가 면제된 기업은 시행령에서 CISO를 대표자로 간주하게 된다. 정보보호 관련 공백을 방지하려는 취지다. 일례로 단순한 홍보·안내 홈페이지를 운영하는 연매출 10억원 이상 음식점·학원 등도 CISO 신고 의무 대상이었으나, 이번 개정으로 신고 의무 대상에서는 제외된다.

CISO의 정보보호 업무를 명확히 하고 개인정보보호책임자(CPO) 등 유사 정보보호 관련 업무도 수행할 수 있도록 겸직 제한도 완화했다. 정보보호 계획의 수립·시행, 정보보호 실태와 관행의 정기적인 정보보호 감사, 위험의 식별·정보보호 대책 마련 등 의무적인 업무 외에 개인정보 보호 등을 겸직 가능한 업무로 추가했다. 이에 따라 정보보호 공시에 관한 업무, 정보통신 기반 보호법에 따른 정보보호 책임자 업무, 전자금융 거래법에 따른 CISO 업무 등은 겸할 수 있다.

한국인터넷진흥원(KISA)이 CISO 제도와 관련된 허위·부실 신고의 검증, 정책 지원, 보안 교육 등을 실시할 수 있도록 역할을 추가했다. 아울러 개정안을 통해 제도 운영의 실효성 강화를 위해 과태료 규정을 정비했다. CISO 허위 신고 혹은 부적격자 지정에 대한 제재 규정을 마련하기 위한 목적에서다.

홍진배 과기정통부 정보보호네트워크정책관은 "이번 법령 개정을 통해 기업 부담은 줄이면서 CISO 제도의 내실을 다질 수 있게 됐다"며 "기업들이 사이버 침해사고 예방·대응 역량을 강화해 기업 활동에 도움이 되고, 사이버 보안에 대한 국민 체감도를 높일 수 있게 될 것"이라고 말했다.