총 3만4000개 대상 기업 중 정보보호최고책임자(CISO)를 지정해 신고한 곳은 35%에 머물렀다. 65% 의무대상 기업이 CISO를 지정·신고하지 않았다.
정부는 지난해 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령'을 개정해 통신판매업자 등 정보통신서비스 사업자에 CISO 지정·신고를 의무화했다. 정부는 지난해 말까지 지정·신고 계도기간을 줬다.
새해 첫날부터 소규모 사업자를 제외한 모든 정보통신서비스제공자에게 신고 의무가 발생했다. 과학기술정보통신부는 이같은 의무를 기업에 통지하면서 미신고 기업으로부터는 이의신청을 접수, 늦어도 5월께 과태료를 부과할 방침이다.
과기정통부에 따르면 지난해 11월 말 기준 CISO 의무대상 기업은 3만4000개로 추산된다. 이 가운데 CISO를 지정·신고한 곳은 약 1만2000개로 35% 수준이다. 과기정통부는 아직 CISO 지정·신고를 마치지 않은 65% 의무대상 기업을 대상으로 실태조사에 나선다. 이들 기업에는 지난해 전파관리소를 통해 신고 의무를 한 차례 통지했으며 새해에도 추가 통지할 예정이다.
CISO 지정·신고 의무는 애초 지난해 6월부터 발생할 예정이었지만 업계 반발로 지난해 말까지 유예됐다. 사업 규모가 중기업 미만이거나 자본금 1억원 이하인 부가통신사업자는 신고 의무에서 제외된다. 나머지 모든 정보통신서비스 제공자는 CISO를 지정·신고해야 한다. 자산총액 5조원 이상 기업과 정보보호 관리체계(ISMS) 인증 의무대상 중 자산총액 5000억원 이상 기업은 정보보호 업무 전념을 위해 CISO 겸직이 금지된다. 이에 해당하는 기업은 120여곳으로 파악된다. 위반시 3000만원 이하 과태료가 부과되며 과태료 사전통지를 받은 후 15일가량 이의제기 기간을 거친다.
현재 대기업 그룹사를 중심으로 CISO 지정·신고가 분주한 모습이다. 업계 관계자는 “삼성과 SK, CJ 등 그룹사는 지난해부터 CISO 지정·신고를 준비해 왔다”면서 “현재 대부분 진행된 것으로 파악됐다”고 말했다.
과기정통부는 중기업과 부가통신사업자를 대상으로 오는 4월까지 실태조사에 돌입할 예정이다. 실태조사 결과 미신고 기업으로 파악되면 과태료를 사전 통지한 후 이의신청을 접수한다. CISO 지정·신고 의무 미이행으로 인한 과태료 부과는 실태조사 종료 이후인 5월께 이뤄질 전망이다.
정재욱 과기정통부 사이버침해대응과장은 “CISO 겸직 금지 기업과 대기업, ISMS 인증 의무대상 기업을 우선으로 신고 의무를 재차 통지할 예정”이라면서 “동시에 중기업과 부가통신사업자에 대해서는 면밀한 실태조사를 진행해 정확한 현황 파악을 위해 노력할 것”이라고 말했다.
오다인기자 ohdain@etnews.com