기업 내 최고정보보호책임자(CISO) 겸직 금지 조항을 포함해 개정된 정보통신망법 시행령이 오는 13일부터 시행된다.
시행령은 자산총액 5조원 이상 정보통신서비스 제공자와, 정보보호 관리체계(ISMS) 인증을 받아야 하는 자산총액 5천억원 이상 정보통신서비스 제공자 기업의 CISO 겸직을 금지한다. 일반 기업에 비해 CISO의 역할이 중요하고, 개별 인력을 둘 만한 여력이 있는 기업을 추린 것이다.
이 기준에 따르면 자산 5조원 이상 기업 중 78곳, 총 자산 5천억원 이상 ISMS 의무 대상 기업 중 48곳의 CISO는 겸직이 금지된다. 이 126곳은 시행령에 따라 CISO 업무 전담인력을 의무적으로 둬야 한다.
개정된 시행령이 규모가 큰 기업의 정보보호 관련 의무를 강화하기만 한 건 아니다.
CISO 지정, 신고 의무 대상에서 자본금 1억원 이하의 부가통신사업자, 소상공인, 전기통신사업자와 집적정보통신시설사업자를 제외한 소기업 등은 CISO 지정, 신고 의무가 면제된다. 이를 통해 19만9천여개였던 CISO 지정, 신고 의무 대상이 3만9천여개로 감소했다.
지난 2014년부터 정부는 CISO 지정신고제도를 시행해왔다. 이번 개정안은 그 동안의 제도 운영 경험을 바탕으로 개선된 내용이다.
김정희 한국인터넷진흥원(KISA) 사이버보안빅데이터센터장은 CISO 지정신고제도에 대해 "글로벌 시장에서 CISO 제도가 보편화되고, 사이버 위협이 점차 증가하는 상황을 고려해 지난 2014년 처음 도입됐다"며 "정육점도 통신판매를 위해선 CISO를 신고해야 하는 등의 사례가 발생함에 따라 제도를 현실적으로 개선하게 됐다"고 설명했다.
■우리 회사도 'CISO 지정신고제도' 적용되나
정보통신망법은 정보통신서비스제공자를 '전기통신사업자와 영리를 목적으로 전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개하는 자'로 규정하고 있다.
즉 영리 목적의 기업이, 영리 행위가 이뤄지지 않는 홈페이지를 운영하더라도 정보통신서비스제공자로 간주된다. 영리 행위의 존재 유무가 정보통신서비스제공자의 요건에 포함돼 있지 않기 때문이다.
타사가 홈페이지를 위탁 운영하는 경우에도, 이용자와의 관계에서 책임자인 홈페이지 운영 기업이 정보통신서비스제공자로 간주된다.
자산총액 기준은 개별 법인별로 산정한다. 다만 법인의 계열사인 시스템 통합(SI)·보안 업체 CISO가 겸직 제한 대상이 아닐 경우 타 계열사의 CISO 겸직이 가능하다.
개정안에 따르면 CISO와 개인정보보호최고책임자(CPO) 겸직도 제한된다. CPO는 고객 개인정보를 보호하고 관리하는 운영정책을 담당하는 책임자다.
이에 대해 김정희 센터장은 "기업 간담회에서는 CPO와의 겸직 금지 건에 대해 과도하다는 의견 반, 그렇지 않다는 의견이 반 정도로 나타났다"며 "겸직할 경우 한 명이 모든 업무를 다 하기 어렵다는 의견들이 나왔다"고 설명했다.
■혼란 막기 위한 계도 기간 시행...내년부터 실태조사 실시
정보통신망법에 따르면 CISO를 지정, 신고하지 않은 경우 3천만원 이하의 과태료가 부과된다.
정부는 겸직 금지 제도 시행을 앞두고 업계 혼란을 고려해 제도 준수를 독려하는 계도 기간을 시행할 예정이다. 계도 기간 종료일은 특정하지 않은 상태다.
관련기사
- CISO 규제 차등화·겸직 금지 법안 13일 시행2019.06.07
- 안랩, 금융권 CISO에 최신 보안 동향 소개2019.06.07
- 파수닷컴, 홍콩서 CIO·CISO 대상 세미나 개최2019.06.07
- 4만1000여개 기업, CISO 의무적으로 둬야2019.06.07
CISO 제도 관련 실태조사를 위해 올해 예산을 신청, 내년에 실시할 계획이다. 향후 제도를 운영하면서 자산 기준의 적정성을 검토할 방침이다.
김 센터장은 "업계와 간담회를 진행했을 때, 중견·중기업 중에서는 현재 제시된 기준을 만족하기도 버거운 업체들이 있었다"며 "이번 제도 시행을 시작으로 지속적인 운영 실태 점검 등을 통해 기준을 차츰 높여가는 방향이 바람직할 것으로 판단했다"고 답했다.
