정보보호최고책임자(CISO)가 정부와 민간 기업 전방위로 확산, 배치된다.
인터넷과 통신사에 CISO 의무화를 담은 `정보통신망법 개정안`이 발의된데 이어 행정자치부도 전자정부 보안 강화를 위해 정보보호책임관(CSO) 지정을 담은 `전자정부법 일부개정법률(안)`을 입법예고했다. CISO와 CSO는 모두 정보보호를 총괄하는 자리다.
개정 전자정부법에 따르면 전자정부 신뢰성과 안전성을 높이기 위해 기관별로 CSO 지정 의무화(안 제 56조의5)가 포함됐다.
정부는 지난해 미래부, 국토부, 산업부, 행자부에만 CSO를 신설했다. 전자정부법 개정으로 복지부, 교육부, 법무부 등 전 중앙부처와 주요지자체, 공사, 공단에 CSO가 신설될 전망이다.
개정 전자정부법은 시스템 중요도별로 보호 등급도 부여한다. 등급별로 차등화한 보안대책을 마련해 시행하는 정보보호 등급제 도입 근거를 마련했다. 행자부는 정보시스템 개발단계에서 보안 취약점을 사전에 점검하고 제거하도록 소프트웨어 보안 제도 도입 근거도 넣었다. 정보통신망 보안대책 적용 대상을 실제 국정원이 수행하는 업무범위와 일치하도록 행정기관뿐 만 아니라 공공기관까지 명시했다.
금융권에 국한됐던 CISO 의무화 제도도 인터넷과 통신 등 대형 정보통신사업자로 확산한다. 금융회사는 신용카드사 개인정보유출 사고 후 전자금융거래법상에 CISO 지정 규정을 강화했다. 이에 반해 정보 유출 위협이 높은 통신이나 인터넷포털 등 정보통신서비스 제공자는 CISO 지정과 규정이 미흡하다.
오세정 국민의당 의원은 최근 대규모 정보통신사업자에 CISO 지정을 의무화하는 내용을 골자로 `정보통망 이용촉진 및 정보보호 등에 관한 법률` 일부 개정안을 대표 발의했다. 오 의원은 “통신과 인터넷포털 등도 금융권처럼 CISO를 반드시 지정하고 정보보호 업무 외에 겸직을 금해야 한다”고 강조했다.
현행 정보통신망법 제45조의 3은 정보통신서비스 제공자는 보안과 정보의 안전한 관리를 위해 임원급 CISO를 지정할 수 있다. 의무가 아니며 겸직도 가능하다. 개정안은 반드시 임원급 CISO를 지정하고 미래창조과학부장관에게 신고하라는 내용을 담았다. CISO는 정보보호 외 다른 업무 겸직을 금한다.
오 의원은 “기업 정보보호를 위한 기술적 대책과 법률대응까지 책임지는 CISO 중요성이 높다”면서 “정보통신망법 CISO 규정을 개정해 대규모 사업자는 임원급 CISO를 선임해야 한다”고 밝혔다.
김인순 보안 전문기자 insoon@etnews.com
