[아이뉴스24 김국배 기자] 정보보호최고책임자(CISO) 겸직 금지 제도가 신설되면서 120여 개 기업이 당장 영향권에 들게 됐다.
지난해 개정된 정보통신망법의 후속 조치로 오는 13일부터 CISO 지정·신고 제도 관련 정보통신망법 시행령 개정안이 시행되는 데 따른 것이다. CISO는 기업에서 정보보안을 위한 기술적 대책과 법률 대응 등을 책임지는 최고 임원을 지칭한다.
7일 한국인터넷진흥원(KISA)에 따르면 이번 CISO 지정 신고 제도 개선으로 인한 CISO 겸직 금지 대상 기업은 약 126개로 파악된다.
구체적으로는 총 자산 5조원 이상 기업 78개, 총 자산 5천억원 이상 기업 중 정보보호관리체계(ISMS) 인증 의무대상 기업 48개다.
겸직 금지를 통한 보안 수준 강화, 기업 부담을 종합적으로 고려해 대기업, 정보통신과 관련성이 높은 중견 기업을 선정한 것이다. 그동안 기업에서는 최고정보책임자(CIO)가 CISO를 겸하는 경우가 많아 전문성과 독립성이 확보되지 않는다는 목소리가 많았다.
다만 KISA 등 관계당국은 공정거래위원회 등을 통해 정확한 확인 절차가 진행되고 있다며 기업 명단은 공개하지 않고 있다. 자산 총액 기준이어서 변동 가능성도 없지 않다.
특히 눈에 띄는 건 CISO 겸직 금지 제한 업무 범위에 개인정보보호책임자(CPO)가 포함됐다는 점이다. CISO와 CPO를 겸하던 기업들은 약 일주일 뒤부터 분리가 불가피한 상황이 됐다.
CISO 겸직 제한 업무 범위에 CPO가 포함된 데 대한 반응은 찬반이 갈린다. 일각에선 CPO 겸직 금지는 과도한 것 아니냐는 지적도 나온다.
한 업계 관계자는 "개인정보보호와 정보보안 업무는 구별이 어렵고, 정보보안 업무의 상당 부분이 결국 개인정보를 보호하는 것"이라며 "(CPO 겸직은) 기업 자율에 맡기는 편이 나을 것"이라고 말했다.
그러나 과학기술정보통신부는 정보통신망법(제45조의3 제3항 및 제4항)에서 CISO의 엽무를 명시하고 이외에 다른 업무를 겸할 수 없다고 규정하고 있으며, CPO는 이용자의 개인정보보호 등 해당 업무를 규정한 별도의 조항(제27조1항)을 두고 있어 원칙적으로 겸직이 제한된다는 입장이다.
이에 대해 김정희 KISA 사이버보안빅데이터센터장은 "기업 간담회에서 나온 이야기는 반반"이라며 "겸직할 수 있다고 하면 한 사람이 업무를 다해야 하는데 현실적으로 어렵다는 이야기가 많이 나왔다"고 설명했다.
다행히 올해 처음 신설된 제도인 만큼 과기정통부도 적정 계도 기간을 갖겠다는 방침이다. 이번 시행령 개정안에서는 CISO 겸직 금지 제도 신설뿐만 아니라 CISO 자격요건이 새로 추가됐으며 CISO 지정·신고 제외 대상 기업 범위가 명확히 규정됐다. 위반 시 과태료는 최대 3천만원이다.
KISA는 약 3만9천여 개 CISO 지정·신고 의무 기업을 대상으로 이행을 독려하는 등 제도 안착을 지원할 계획이다. 내년에는 CISO 운영현황 실태조사도 벌일 예정이다. 국내 CISO 임명률은 2017년 기준 12.6%로 낮은 편이다. CISO 지정 신고는 각 지역전파관리소나 온라인을 통해 할 수 있다.
김국배 기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기