과학기술정보통신부는 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위한 정보보호 최고책임자(CISO) 제도 개선사항을 담은 정보통신망법 일부개정안이 1일 국무회의에서 의결됐다고 밝혔다.
정부는 이번 개정으로 기업 규모에 따른 CISO의 획일적 지위(임원급) 다양화, 신고 대상 범위 명확화, 겸직제한 완화 등으로 기업의 부담을 줄여주면서 제도의 실효성을 제고할 수 있을 것으로 기대했다.
법 주요 개정 내용을 살펴보면, CISO의 정보보호 업무를 명확히 하고 개인정보보호책임자(CPO) 등 유사 정보보호 관련 업무도 수행할 수 있게 겸직제한을 완화했다. 정보보호 계획의 수립 및 시행, 정보보호 실태와 관행의 정기적인 정보보호 감사, 위험의 식별 및 정보보호 대책 마련 등 의무적인 업무 외 개인정보 보호 등을 겸직 가능한 업무로 추가해 기업 부담을 완화했다.
겸직제한 대상 기업을 제외한 중소기업은 부장급 CISO도 지정 가능하도록 개정됐다. 그 동안 중기업 이상 모든 기업에게 일률적으로 ‘임원급’ CISO 지정을 강제해 인력 채용·조직신설에 대해 기업의 어려움 호소가 많았는데, 이런 부담을 완화한다는 취지다.
개정안은 정보보호 필요성이 큰 ‘중기업’ 이상으로 CISO를 신고하게 하고, 신고 의무가 면제된 기업은 시행령에서 CISO를 대표자로 간주해 정보보호 공백을 방지한다. 일례로 단순한 홍보·안내 홈페이지를 운영하는 연 매출 10억원 이상 음식점·학원 등도 CISO 신고 의무 대상이었으나, 이번 개정으로 신고 의무 대상에서 제외된다.
이와 함께 한국인터넷진흥원이 CISO 제도와 관련된 허위·부실 신고의 검증, 정책 지원, 보안 교육 등을 실시 할 수 있도록 역할을 추가했다.
관련기사
- 네이버‧다음 CISO가 화웨이로 간 까닭은2021.03.04
- '임원급'이 차장? CISO 제도 허점 막는 법안 나왔다2020.11.26
- 보안 패치 때 'CC인증' 재발급 안 해도 된다2020.10.30
- CISO·CPO 겸직 제한 사라진다2020.08.18
제도 운영의 실효성 강화를 위해 과태료 규정도 정비했다. CISO에 대해 그간 부적격자 지정, 겸직 제한 위반의 경우에도 시정명령 조치만 가능해 CISO 제도 실효성 확보에 한계가 있었다. 이에 허위신고 및 부적격자 지정에 대한 제재 규정을 마련, 시행령에서 구체적으로 정할 예정이다.
홍진배 과기정통부 정보보호네트워크정책관은 “많은 기업들이 사이버 침해사고 예방 및 대응 역량을 강화해 기업 활동에 도움이 되고, 사이버보안에 대한 국민 체감도를 높일 수 있게 될 것”이라며 “해당 제도를 지속적으로 개선 발전시켜나가겠다”고 말했다.