CISO 규제 차등화·겸직 금지 법안 13일 시행

정보통신망법 개정안 국무회의 통과..."계도 기간 실시"

컴퓨팅입력 :2019/06/05 13:28    수정: 2019/06/05 13:28

정보보호 최고책임자(CISO) 관련 규제 수준을 기업 규모과 성격에 따라 차등화하고, 일부 기업 CISO의 겸직이 제한된다.

과학기술정보통신부는 이같은 내용을 담은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 개정안이 지난 4일 국무회의를 통과했다고 밝혔다.

해당 법안은 향후 공포절차를 거쳐 오는 13일부터 시행된다.

개정된 정보통신망법 시행령은 CISO 지정, 신고 의무 대상에서 자본금 1억원 이하의 부가통신사업자, 소상공인, 전기통신사업자와 집적정보통신시설사업자를 제외한 소기업 등을 제외했다.

이에 따라 CISO 지정, 신고 의무 대상인 정보통신서비스 제공자는 19만9천여개에서 3만 9천여개로 감소했다. 소상공인, 소기업 등은 정보보호 관련 학력, 경력 등을 갖춘 CISO 지정, 신고 의무의 부담이 줄어들게 됐다.

CISO는 정보보호 관련 학력, 경력 등의 자격 요건을 갖춘 자를 지정, 신고하도록 했다.

CISO의 일반 자격 요건으로는 ▲정보보호 또는 정보기술 분야 석사 이상 학위 취득자 ▲정보보호 또는 정보기술 분야 학사 학위를 취득하고, 3년 이상의 관련 경력 보유자 ▲정보보호 또는 정보기술 분야 전문 학사 학위를 취득하고, 5년 이상의 관련 경력 보유자 ▲정보보호 또는 정보기술 분야 업무 경력 10년 이상 보유한 자 ▲정보보호 관리체계 인증심사원 자격 취득자 ▲해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무자 등의 항목으로 마련됐다.

자산총액 5조원 이상인 정보통신서비스 제공자, 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산 총액 5천억원 이상인 기업의 CISO는 정보보호 관리 체계 수립, 취약점 분석과 평가, 침해사고 예방과 대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한했다.

다른 직무의 겸직이 제한되는 CISO는 일반 자격요건을 갖추고 상근하는 자로서 ▲ 정보보호 업무 경력 4년 이상이거나 ▲ 정보보호, 정보기술 업무 수행 경력 합산 기간이 5년 이고 그 중 2년 이상의 정보보호 업무 수행 경력을 갖춘 사람으로 지정, 신고하도록 했다.

오용수 과기정통부 정보보호정책관은 “이번 CISO 제도 개선은 대기업, 중견기업, 중기업, 소기업 등 기업 규모에 따라 의무 부담을 차등화해 규제 부담을 합리화했다"며 "5G 상용화와 함께 사이버 위협과 사고 위험 증가가 우려되는 초연결 환경에서 5G의 안전한 이용 환경 마련에 기여할 것으로 기대된다”고 밝혔다.

관련기사

과기정통부는 정보통신서비스 제공자의 CISO 자격 요건, 겸직 제한 제도가 올해 처음으로 신설된 점을 고려해 적정 계도 기간을 두고 CISO 지정, 신고를 독려할 예정이다. 계도 기간이 지나도 지정, 신고 의무를 위반한 사업자에 대해서는 과태료 처분 등 필요 조치를 취할 계획이다. 정보통신망법에 따르면 CISO를 지정, 신고하지 않은 경우 3천만원 이하의 과태료 부과된다.

정보보호 최고책임자 지정, 신고는 과학기술정보통신부 전자민원센터를 통해 온라인으로 신고하거나, 관할 전파관리소에 신고할 수 있다.