CISO 지정 의무화 6개월째 `답보상태`

　방송통신위원회(방통위)의 정보보호책임자(CISO) 제도화가 제자리걸음을 걷고 있다.

　4일 업계에 따르면 방송통신위원회가 7·7 분산서비스거부(DDoS) 공격 등 대형 사이버 대란을 계기로 지난 9월 정보보호 기반시설의 정보보호를 책임질 CISO 지정을 제도화하겠다고 밝혔지만 6개월이 지난 현재까지 논의 수준을 벗어나지 못하고 있다. 100개 기업 중 고작 16개 기업만이 관련 책임자를 둔 실정이다.

　방통위가 전국 5인 이상 사업장 2300여 곳을 대상으로 조사한 ‘2009년 정보보호실태조사’에 따르면 지난 2007년부터 3년 동안 CISO를 운영한 기업은 평균 11.5%의 증가세에 그쳤다. 2007년 6.4%, 2008년 12%, 2009년 16% 등으로 다소 늘었지만, 조사대상 다섯 기업 가운데 겨우 한 기업만이 정보보호책임자를 뒀다. 스마트폰 등장 등으로 인해 정보보안 중요성이 해마다 커졌지만, 오히려 정보보호책임자 증가율은 저조한 실정이다.

　정보통신망법에 따라 법제화한 기업 내 개인정보보호책임자(CSO) 지정 현황은 지난해 전년 대비 11.9% 포인트 증가한 43.4%에 이른다. CISO보다 다소 낫지만, 두 기업 중 한 기업은 아직 개인정보보호의 중요성을 느끼지 못하는 셈이다. 업계는 최근 해킹 및 모바일 오피스 등장으로 기업의 정보 유출 가능성이 높아졌다며 서둘러 정부 차원의 대책 마련을 요구했다. 이 제도가 시행되려면 해당 교육을 받은 인력이 필요할 뿐만 아니라 관련 시설의 기준·제도 등도 마련해야 하기 때문이다.

　업계 한 관계자는 “정보보호 기반시설을 책임지는 관리자의 부재는 대형 정보 보안 사고를 불러일으킬 빌미를 제공할 수 있다”며 “CISO 지정 제도화의 구체적인 계획을 시급히 마련해야 한다”고 강조했다.

　방통위 관계자는 “DDoS 사태 이후 기업의 CISO 지정 의무화 관련 연구 용역조사를 지난해 말 착수했다”며 “올해 용역조사 결과를 바탕으로 한국인터넷진흥원 등 관련 단체와 협의해 제도화 방안을 검토하겠다”고 말했다.

장윤정기자 linda@etnews.co.kr