처벌 규정이 없어 '유명무실' 논란을 빚은 정보보호최고책임자(CISO) 제도가 개선될 것으로 전망된다. 임원급이 아닌 CISO를 지정하거나 CISO에 정보보호 외 업무를 겸직하게 하면 과태료를 부과하는 조항이 포함된다.
25일 김영식 국민의힘 의원실은 이 같은 내용을 골자로 하는 CISO 제도 관련 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)과 시행령 일부개정안을 대표발의 했다.
개정안을 보면 CISO 지위(임원급)를 대통령령으로 위임(제45조의3제1항)하고, CISO 업무 역시 대통령령으로 위임(제45조의3제4항)하도록 했다. '임원급'에 대한 세부 기준을 대통령령으로 위임한 것이다. 대기업은 상법상 임원, 중견기업은 부장급 등 임원 직속, 소기업은 대표이사로 규정했다.
'임원급'이라는 지위가 모호한 점을 악용해 일부 기업에서 실제 임원급이 아닌 직원을 CISO로 신고해 온 폐해를 막기 위한 것이다. 신고 의무가 없는 소규모 기업은 CISO를 대표이사로 간주, 정보보호 공백을 방지하도록 조치했다.
기존 법률이 '지정'으로 규정하는 행위를 '신고'로 개정한 점도 주목된다. 소규모 기업에 CISO 신고 의무를 제외하되 의무 기업에 정보보호 책임자를 명확히 하려는 취지다.
특히 국민권익위원회 권고를 반영해 임원급이 아닌 CISO를 지정하거나 CISO에 정보보호 외 업무를 겸직하게 하면 과태료를 부과하는 규정을 포함시켰다.(제76조제1항제6호의2·3) 미신고와 임원급이 아닌 CISO를 신고했을 경우 1회 위반 500만원, 2회 위반 1000만원, 3회 이상 위반 1500만원을 각각 부과한다. 겸직 시 1회 위반 1000만원, 2회 위반 2000만원, 3회 이상 3000만원 등 과태료를 부과할 방침이다.
CISO 업무 범위 역시 기존 '정보보호관리체계 수립·관리·운영'에서 '정보보호 계획 수립·시행·개선'으로 명확히 했다. 애초 침해사고 예방과 대응으로 명시된 규정은 정보보호 취약점과 위험 식별 평가, 정보보호 대책 마련으로 구체화했다. '보안 조치 설계·구현 등'은 '모의훈련 계획 수립·시행'으로 강화했다. 정보보호 관리체계(ISMS) 인증을 반영해 취약점뿐만 아니라 위험관리 업무도 CISO 업무에 반영했다.
CISO 신고 관련 중앙전파관리소의 전문성 강화를 지원하기 위해 한국인터넷진흥원(KISA) 역할이 추가됐다.(제52조제3항제11호) 정보통신망 침해사고 처리와 원인 분석, 대응 체계 운영, CISO를 통한 예방·대응·협력 활동을 법률에 규정함으로써 KISA에 업무 지원 근거를 제공했다.
이번 개정안은 그동안 정보보호업계가 지속 제기해 온 문제에 김 의원 측이 공감한 성과다. 김 의원은 그동안 과학기술정보통신부와 협업, CISO 제도를 개선하기 위한 개정안을 만들어 왔다.
김 의원은 “원격근무 등 비대면 전환에 따라 기업 정보보호가 더욱 중요해졌다”면서 “CISO 제도 개선으로 기업 정보보호 수준을 높이고 국민 침해사고를 예방할 것”이라고 말했다.
오다인기자 ohdain@etnews.com
