4만1000여개 기업, CISO 의무적으로 둬야

정보통신망법 개정안 입법예고...6월13일부터 시행

컴퓨팅입력 :2019/02/19 12:00    수정: 2019/02/19 13:40

중기업 이상 정보통신서비스제공자 2만6천여 곳을 포함해 총 4만1000여개 기업이 앞으로 정보보호 최고책임자(CISO:Chief Information Security Officer)를 의무적으로 둬야 한다.

또 이를 과기정통부장관에 위임받은 중앙전파관리소장에게 신고해야 한다. 오는 6월 13일부터 시행한다. 위반하면 3천만 원 이하의 과태료를 내야 한다.

19일 과학기술정보통신부(과기정통부)는 이 같은 내용을 골자로한 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 개정안을 마련, 입법예고한다고 밝혔다.

개정안은 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위해 CISO 제도 개선 사항을 담았다. 이에 따라 CISO 지정 및 신고 의무 대상 기준이 변경됐다. 기존에는 업종 특성(소프트웨어 개발 사업자 등)과 종업원수(상시 종업원 수 1천명 이상 정보통신서비스제공자)가 기준이었다. 이를 기업 규모와 전기통신사업 성격으로 바꿨다.

이번 변경으로 ▲중기업 이상 정보통신서비스 제공자(2만6천여 곳) ▲자본금 1억 원 이하의 부가통신사업자를 제외한 모든 전기통신사업자(1만7천여 곳) ▲정보보호 관리체계(ISMS) 인증을 받아야 하는 모든 정보통신서비스 제공자(128곳) 등 4만1000여 기업은 의무적으로 CISO를 지정하고 이를 과기정통부장관(중앙전파관리소장에게 위임)에게 신고해야 한다. 어기면 3천만 원 이하 과태료 대상이다.

또 자산총액 5조 원 이상인 정보통신서비스제공자(75곳)와 자산총액 5천억 원 이상인 정보보호 관리체계 인증을 받아야 하는 기업(48곳)의 CISO는 다른 직무를 겸직할 수 없다. 이들 해당 기업은 총 123곳이다.

겸직을 제한한 CISO는 상근해야 한다. 다른 회사 임직원으로도 재직할 수 없다. 또 2년~4년 이상 정보보호 분야 경력자로 정보기술 분야 경력과 합해 5년 이상인 사람이여야 한다.

관련기사

이번 개정안은 이달 20일부터 오는 4월 2일까지 과기정통부 홈페이지와 통합법예고센터(opinion.lawmaking.go.kr)에서 확인할 수 있다. 의견 수렴을 거쳐 6월13일부터 시행된다.

황큰별 과기정통부 사이버침해대응과장은 " 이번 개정안은 정정보보호 업무를 전담할 수 있는 전문가를 정보보호 최고책임자로 지정하도록 하는 등 사회 전반의 정보보호 역량을 강화했다"면서 "사이버 침해사고 예방과 사고 발생 시 피해 최소화 와 신속한 복구에 기여할 것으로 기대한다"고 밝혔다.