대기업 CISO 의무화한다

내년부터 연 매출 8000억원 이상 기업 대상

Photo Image

 연 매출액 8000억원 이상 대기업은 이르면 내년부터 정보보호관리책임자(CISO:Chief Information Security Officer)를 의무적으로 선임해야 한다.

 ‘정보보호안전진단제도’의 대상 범위도 크게 확대된다.

 방송통신위원회는 17일 서울 프라자호텔에서 최시중 방통위원장과 업계 관계자 100여명이 참가한 가운데 ‘최고경영자(CEO) 초청 정보보호 전략회의’를 열고 민간 기업들의 정보보호의식이 개선돼야 한다며 이 같은 ‘기업 정보보호 수준 제고’ 방안을 발표했다.

 황철증 방통위 네트워크정책국장은 “민간기업 정보보호 강화를 위해 일정 규모 이상의 기업 내 CISO를 지정해 정보보호 투자계획을 정기적으로 이사회에 보고하는 등 기업 내 정보보호 활동을 제도화할 것”이라며 “정책적 실효성을 높이기 위해 정통망법에 CISO 의무화 조치를 삽입하는 방안을 검토 중”이라고 밝혔다.

 범위를 확정하지 않았으나 연 매출 8000억원 이상 대기업군은 CISO 선임 의무화 대상에 포함될 것이 확실시된다.

 정부의 이 같은 조치는 인터넷 침해사고로 인한 기업들의 경제적 손실이 매년 4000억∼5000억원에 달하지만, 국내 기업의 80% 이상은 전체 정보화 예산 중 정보보호 예산이 3% 미만에 그치며, 전담 인력도 없어 보안의 사각지대로 방치되기 때문이다.

 방통위는 CISO 의무화로 기업 정보화 예산의 5% 이상, 정보화 인력의 10% 이상이 정보보호에 할당될 것으로 기대했다.

 정부는 대기업뿐만 아니라 중소기업들의 정보보호역량을 강화하기 위해 주요 정보통신 서비스 사업자에 정보보호 취약점 분석과 대응체계 마련을 의무화하는 ‘정보보호안전진단제도’의 대상 범위도 확대하기로 했다. 현행 제도는 연 매출 100억원에 이용자 수 100만명 이상 기업이 정보보호안전진단을 받아야 하지만 개정안은 연 매출 50억원에 이용자 수 10만명 이상의 기업도 이를 받아야 한다.

 방통위는 이와 함께 정보보호관리체계(ISMS) 인증제도 활성화를 위해 ISMS 인증을 취득한 기업에 현재 1년 동안 안전진단을 면제해주고 향후 3년으로 면제기간을 확대할 계획이다.

 최시중 방통위원장은 “우리나라가 IT강국으로 부상했으나 정보보호에 대한 투자 부족으로 사이버공격에는 취약한 실정”이라면서 “범정부 차원에서 다양한 대책을 수립해 추진하겠지만, 기업들 역시 사이버보안 투자를 확대하고 기업의 정보보호 조직 보강, 임원급 정보보호책임자 임명 등을 통해 효과적인 정보보호체계를 구축해 줄 것”을 강조했다.

정진욱기자 coolj@etnews.co.kr


브랜드 뉴스룸