정부와 국회가 내년 정보통신서비스 기업·금융기관 등을 대상으로 최고정보보호책임자(CISO) 제도를 도입하는 데 적극 나섰다.
방통위가 내년 상반기 중 정보통신 서비스 기업을 대상으로 최고정보보호책임자(CISO) 운영 규정을 신설하기로 한데 이어 이성헌 국회의원(한나라당)은 금융기관에 법으로 CISO 도입을 의무화하기로 했다.
지난 2009년 7·7 분산서비스거부공격(DDoS) 대란 이후 사이버 사고 재발방지책 일환으로 CISO 제도 도입 필요성이 민·관에서 제기된 지 1년여 만에 구체적인 실행 움직임이 일고 있는 것이다.
방통위는 현행 정보통신망법에 기업이 내부 정보보안을 위해 임원급의 CISO를 지정·운영하는 법률조항을 새롭게 추가한 법개정안을 마련해 내년 2월께 국회에 상정한다고 28일 밝혔다.
정보통신망법에 ‘제 45조 5항 정보보호 최고책임자의 지정’ 규정을 신설해 정보통신서비스제공자가 정보통신시스템 등에 대한 보안과 정보의 안전한 관리를 위해 임원급 CISO를 지정하는 근거를 마련키로 했다.
방통위는 이를 계기로 기업의 CISO 도입이 활기를 Elf 것으로 기대했다. 기업에 CISO 지정을 강제화하지는 않았지만 CISO를 둘수 있는 법적 근거를 마련함으로써 기업의 관심을 유도, CISO 도입률이 증가할 것으로 내다봤다. 지난 2009년 전국 5인 이상 네트워크로 연결된 PC를 1대 이상 보유한 사업체 2300여개 중 CISO를 둔 기업은 14.6%에 불과했다.
방통위 네트워크기획보호과 박철순 팀장은 “계속되는 기업 기밀유출사고와 나라 안팎으로 확산하는 사이버위협 증가에 따른 대응방안이 필요해 기업 정보보호를 책임질 CISO 제도 신설을 늦출 수 없다고 판단, 내년 상반기 중 제도화한다”고 말했다.
또한 CISO 운영을 법으로 명시해 CISO를 주축으로 한 단체가 구성되는 것은 물론 정부가 이를 지원할 근거도 마련, 기업 정보보호 환경에 긍정적인 변화를 가져다 줄 것으로 정부 측은 기대했다.
이성헌의원 등 일부 국회 의원들도 금융권에 CISO 제도 도입을 강제화한 법 개정안 발의를 준비하고 있다. 이성헌 의원실 측은 “상당수 대형 은행·증권사 등은 CISO를 두고 있지만 CIO을 겸임하고 있어 CISO의 업무 수행이 제한적인 점을 감안해 정보통신기반보호법에 CISO를 별도 두도록 한 개정안을 만들고 있다”고 말했다.
CISO는 기업에서 정보보호 관리체계 수립 및 관리 운영·정보보호 취약점 분석 및 침해사고 예방·사전 정보보호대책 마련 및 보안조치 설계·정보보호 보안성 검토 및 정보 보호 조치 이행 등을 담당한다.
장윤정기자 linda@etnews.co.kr