[아이뉴스24 김국배, 민혜정 기자] 기업 정보보호최고책임자(CISO) 시대가 열렸다.
13일 CISO 지정·신고 제도 개선 내용을 골자로 한 정보통신망법 시행령 개정안이 시행됐다. 적정 계도기간을 거친 뒤 위반 시 최대 3천만원의 과태료가 부과될 전망이다.
그간 사이버 위협과 피해 규모가 계속적으로 증가하면서 CISO 지정 필요성은 커져왔다. 우리나라는 2014년말부터 CISO 지정·신고 제도를 운영했지만 임명률은 2017년 기준 12% 수준에 그치고 있다. 비슷한 시기 일본은 46%, 미국은 65%로 우리보다 높았다.
CISO는 기업의 정보보호 정책을 수립하고 인력·예산 등 투자를 확대하는 중추적 역할을 수행한다.
이번 제도 개선으로 달라지는 점은 크게 세 가지다. 먼저 대상자다. 개정안은 의무 대상에서 자본금 1억원 이하의 부가통신사업자, 소상공인, 소기업 등을 제외했다.
특히 대규모 기업이나 정보통신과 연관성이 큰 기업은 CISO가 다른 업무를 겸직할 수 없도록 규정이 더 강화됐다. 자산총액 5조원 이상인 정보통신 서비스 제공자, 정보보호관리체계(ISMS) 인증을 받아야 하는 정보통신 서비스 제공자 중 자산총액 5천억원 이상인 기업 등이 대상이다. 구체적인 CISO 자격 요건도 신설됐다.
기존에는 최고정보책임자(CIO)가 CISO를 겸하는 경우가 많았다. 한국인터넷진흥원(KISA)에 따르면 전담 CISO를 두는 기업의 비율은 10%에 못 미친다.
◆업계 CISO 선임·업무 조정 '진행중'
통신, 인터넷 등 IT업계는 개정안에 따라 CISO 선임 작업에 착수했다. 개정안에 따른 CISO 지정·신고 의무 대상자는 약 3만9천여 개 기업이다. 이중 CISO 겸직금지 대상기업에 해당하는 기업 수는 약 126개로 파악되고 있다.
126개 기업 가운데 상당수는 CISO를 선임하고 있는 것으로 알려지나, 삼성전자 등을 제외하곤 겸직하는 경우가 대다수여서 업무 조정이 일어날 것으로 예상된다.
특히 이번 겸직 제한 업무 범위에 개인정보보호 최고책임자(CPO)까지 포함되면서 해당 기업이 더 많아졌을 것으로 추측된다. 기업 대부분이 전담 CPO를 두고 있지 않은 것이 현실이기 때문이다.
실제로 KT와 네이버는 CIO와 CISO를 이미 분리했지만, CPO는 겸하는 상황이었다. KT는 문영일 CISO가 겸하고 있던 CPO 업무를 맡을 새 임원을 임명하는 방안을 검토중이다.
네이버 관계자도 "변화되는 제도에 맞춰 인선을 검토중"이라고 말했다.
SK텔레콤도 유영상 MNO사업부장이 CISO를 겸직하고 있어 새로운 CISO를 선임할 예정이다. 현재 CPO는 이기윤 고객가치혁신실장이 맡고 있다. 카카오의 경우 지난달 이희국 CISO를 선임했다.
현대중공업, GS건설 등 비IT 기업들도 CISO 선임을 준비하고 있다. GS건설 관계자는 "정부 취지에 맞게 우선적으로 CISO를 임원급으로 선임해 신고할 예정"이라고 말했다.
CISO 지정이 확대되면 기업 보안 강화와 '제값받기' 등 보안 시장 생태계에 도움이 될 수 있다는 기대감도 있다.
글로벌 보안 컨설팅 업체 포네몬 인스티튜드에 따르면 CISO 임명 시 사이버 침해 사고 비용이 '레코드'당 미화 7달러 줄어든다.
김국배 기자 vermeer@inews24.com 민혜정기자 hye555@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기