정보보호최고책임자(CISO)와 개인정보보호최고책임자(개인정보처리자, CPO)의 겸직을 금지하는 정보통신망법 규정이 사라질 전망이다.
CISO는 현행법 상 정보보호를 위해 필요한 조치를 이행하는 업무를 수행한다. ▲정보보호 관리체계의 수립 및 관리·운영 ▲정보보호 취약점 분석·평가 및 개선 ▲침해사고 예방 및 대응 ▲사전 정보보호대책 마련 및 보안조치 설계·구현 등 ▲정보보호 사전 보안성 검토 ▲중요 정보의 암호화 및 보안서버 적합성 검토 등이 CISO 업무로 규정돼 있다.
반면 CPO는 업무 내용이 고객 개인정보 보호 및 관리에 초점이 맞춰져 있다. CISO가 회사의 기밀 정보, 지적재산권, 영업현황 등의 자산을 보호한다면 CPO의 경우 고객으로부터 취득한 정보를 보호하는 업무를 수행한다. 정보통신서비스제공자라면 지정 의무가 있다.
업무 내용은 교집합이 존재한다. 가령 CISO 업무 중 중요 정보의 암호화 및 보안서버 적합성 검토는 CPO의 업무 내용과도 연관된다. 반면 개인정보 관련 민원, 고충 처리 등은 CPO의 고유 업무에 속한다.
두 직무의 겸직을 금지한 것은 CISO가 자체 업무에 전념할 수 있게 하기 위함이었다. 기업이 정보보안을 소홀히 하는 것을 방지하고자 한 것이다.
이 조항은 지난해 6월13일 정보통신망법 개정안이 시행되면서 적용됐다. 자산총액 5조원 이상 정보통신서비스 제공자와 정보보호 관리체계(ISMS) 인증을 받아야 하는 자산총액 5천억원 이상인 정보통신서비스 제공자 기업이 대상이다.
그러나 실제 현장에서는 두 직무 간 중복 업무가 많아 겸직 금지가 현실과 다소 괴리돼 있다는 지적이 있었다.
이에 소관 부처인 과학기술정보통신부 관계자는 "CISO와 CPO를 겸직할 수 있게 하는 방향으로 제도 개선을 검토하고 있다"고 말했다. 과기정통부는 하반기 현장 의견을 수렴해 합리적인 CISO 겸직제한 규정을 마련한다는 계획이다.
이런 계획은 최근 과기정통부가 실시한 CISO 겸직금지 제도 관련 실태조사를 거쳐 마련됐다. 이 조사 결과에 따르면 CISO 겸직금지 조항이 적용되는 기업은 현재 총 144곳이다.
이동범 한국정보보호산업협회(KISIA) 협회장은 "현실적으로 CISO와 CPO를 일반 기업에서 나눠서 지정하기가 굉장히 어렵다"며 "상당 부분 겹치는 업무가 많기 때문에, 겸직하게 하는 것이 더 큰 시너지를 불러올 수도 있다"고 평가했다.
지난해 법안이 개정되면서 겸직금지와 함께 CISO 지정, 신고 의무 대상 기준도 변경됐다. 정보통신서비스 제공자 중 자본금 1억원 이하의 부가통신사업자, 소상공인, 전기통신사업자와 집적정보통신시설사업자를 제외한 소기업 등이 제외됐다.
과기정통부에 따르면 현재 약 3만5천여개 대상 기업 중 2만여개 이상 기업이 CISO를 신고했다. 약 1만여곳이 CISO를 신고하지 않은 것이다.
현행법 상 CISO 지정, 신고 의무를 위반할 시 3천만원 이하의 과태료를 부과한다고 규정돼 있다. 정부는 지난해까지 제도 준수를 독려하기 위한 계도 기간을 갖고, 올해부터 본격 제도 시행에 들어갔다. 다만 정부는 올해 코로나19 등의 이슈로 기업이 경영난을 겪고 있는 점을 고려해 실제 과태료를 부과하진 않았다. 하반기부터 과태료 부과 대상 기업에 사전통지를 순차적으로 발송한 뒤 4개월이 지나도 시정되지 않을 경우에만 과태료를 부과한다는 방침이다.
관련기사
- 폐기된 보안업계 숙원 법안, 21대 국회선 살아날까2020.06.01
- 개인정보 유출 사고 나면 기업 대신 직원만 속 탄다2019.10.11
- 자산규모 큰 기업 CISO, '딴 일' 못한다2019.06.07
- CISO 규제 차등화·겸직 금지 법안 13일 시행2019.06.05
과기정통부 관계자는 "큰 기업부터 순차적으로 사전통지할 예정"이라며 "적극행정위원회에서 심의한 내용"이라고 덧붙였다.
CISO 지정·신고 의무제가 시행된 것에 대해 과기정통부는 CISO 지정 기업과 비상연락체계가 구축돼 사이버 위협 정보를 공유하고 침해사고 발생 시 신속하게 대응할 수 있는 기반이 조성됐다고 평가했다.