정보보호최고책임자(CISO) 지정·신고 제도가 실효성을 가지려면 한국인터넷진흥원(KISA)이 맡아서 운영해야 한다는 주장이 나왔다.
국회 과학기술정보방송통신위원회 소속 김영식 국민의힘 의원은 13일 과학기술정보통신부 정보통신기술(ICT) 산하기관 국정감사에서 CISO 신고 접수 업무를 현행 전파관리소에서 KISA로 이관해야 한다고 촉구했다.
김 의원은 업계로부터 특정 기업 CISO 부정 신고 의혹을 제기 받아 과기정통부에 해당 기업 CISO 신고서를 제출하라고 요구했다. 자동차·유통·화학·전자·반도체 등 다양한 분야 대기업이 대거 포함됐다.
김 의원이 과기정통부로부터 제출 받은 자료를 바탕으로 본지가 각 기업에 사실 확인을 진행한 결과 CISO로 지정·신고된 자가 실제 예산과 권한을 가진 임원이 아니거나 전담하지 않는 경우가 다수 확인됐다.
한 유통 대기업은 임원급 팀장이 CISO를 전담하고 있다고 신고했지만, 본지가 해당 기업에 확인한 결과 “보안 담당 팀장이 있지만 임원은 아니다”고 말했다. 자동차 대기업 역시 “보안 팀 실장이 CISO를 맡고 있다”면서도 임원급 여부에 관해서는 “거의 임원급”이라며 모호한 답을 내놨다. 한 화학 대기업은 “CISO는 비공식 직책”이라고 밝히기까지 했다.
이는 기업 사이버 침해사고 예방과 대응 역량 강화를 목적으로 임원급 CISO를 두게 한 제도 취지와 맞지 않는 행태다. 정보통신망법은 '임원급'을 통상 명칭과 관계없이 다른 임원과 직무상 독립된 권한과 책임을 가진 자로 정의했다.
CISO 지정·신고 제도는 정보통신망법에 따라 지난 1월 1일 본격 시행됐지만 실제 운영 측면에선 부실한 정황이 곳곳에서 포착되는 실정이다. 시행일 기준 국내 정보통신서비스 기업 약 3만4000곳이 CISO 지정·신고 의무를 지며 이 가운데 자산총액 5조원 이상, 정보보호관리체계(ISMS) 인증 의무대상자면서 자산총액 5000억원 이상인 정보통신서비스 제공자 약 120곳에는 CISO 겸직도 금지됐다.
업계 관계자는 “부실 운영은 과기정통부가 CISO 지정·신고 제도를 만들 때 각 기업에 신고서 제출을 규정했을 뿐, 부정 신고에 대한 감독이나 처벌 규제를 마련하기 못했기 때문”이라고 지적했다.
김 의원은 개선 방안으로 CISO 신고 접수 업무를 KISA로 이관해야 한다고 제안했다. 전파관리소가 아닌 보안 전문기관인 KISA가 신고 접수를 담당하도록 해 부정 신고 등 위반 사례를 걸러내고 제도가 실효성 있게 운영되도록 해야 한다는 것이다.
김 의원은 “임원급 CISO를 선임하지 않고 겸직 금지 규정을 위반한 사례를 흔하게 확인할 수 있었다”면서 “전파관리소가 보안 전문성이 부족한 상황에서 단순 신고 수리 업무만 하고 있기 때문에 위반 사례를 걸러내지 못한다. 민간 보안 컨트롤타워 역할을 하는 KISA가 CISO 신고 업무를 맡아야 한다”고 말했다.
김 의원은 “CISO 신고 제도가 도입 초기인 점을 감안하더라도 지나치게 느슨하게 운영되고 있다”면서 “정기국회 내에 관련법 개정을 통해 바로 잡겠다”고 말했다.
오다인기자 ohdain@etnews.com