정보보호최고책임자(CISO) 지위 다양화, 겸직 제한 완화 등을 담은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 일부 개정안이 1일 국무회의에서 의결됐다.
과학기술정보통신부는 기업 부담을 줄이고 제도 실효성을 제고할 것으로 기대했다.
개정안에 따라 자산총액 5조원 이상 등 겸직 제한 대상 기업을 제외한 중소기업은 부장급 CISO도 지정 가능해진다. 기존에는 중기업 이상 모든 기업에 '임원급' CISO 지정을 일률적으로 강제, 인력 채용과 조직 신설에 기업 어려움이 있었다.
정보보호 필요성이 큰 '중기업' 이상에는 CISO를 신고하게 했다. 신고 의무가 면제된 기업은 시행령에서 CISO를 대표자로 간주, 정보보호 공백을 방지한다.
일례로 단순 홍보·안내 홈페이지를 운영하는 연매출 10억원 이상 음식점과 학원 등이 이번 개정에 따라 신고 의무 대상에서 제외됐다.
CISO 업무를 명확히 하고 개인정보보호책임자(CPO) 등 유사 정보보호 관련 업무도 수행할 수 있게 겸직 제한을 완화했다. 정보보호 계획 수립·시행, 정보보호 실태와 관행에 대한 정기 감사, 위험 식별과 정보보호 대책 마련 등 의무 외에 개인정보보호, 정보보호 공시에 관한 업무 등을 겸직 가능한 업무로 추가했다.
한국인터넷진흥원(KISA)이 CISO 제도 관련 허위·부실 신고 검증, 정책 지원, 보안 교육 등을 실시할 수 있도록 역할을 부여했다.
제도 실효성 강화를 위해 과태료 규정도 정비했다. 기존 제도에서는 부적격자 지정, 겸직 제한 위반 시에도 시정명령 조치만 가능해 CISO 제도 실효성 확보에 한계가 있었다. 이번 개정으로 허위신고와 부적격자 지정에 대한 제재 규정을 시행령에서 구체적으로 정한다.
홍진배 과기정통부 정보보호네트워크정책관은 “법령 개정을 통해 기업 부담은 줄이면서 CISO 제도 내실을 다질 수 있게 됐다”면서 “많은 기업이 사이버 침해사고 예방과 대응 역량을 강화하고 사이버 보안 국민 체감도를 높일 수 있을 것”이라고 말했다.
오다인기자 ohdain@etnews.com
