정보통신서비스 제공자 `정보보호 최고책임자` 지정 신고해야

온라인게임·쇼핑몰·웹하드 서비스 기업 등은 정보보호 최고책임자(CISO)를 지정해 29일까지 반드시 신고해야 한다.

미래창조과학부는 기업 정보보호 투자 확대와 수준 강화를 위해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’에 따라 CISO 지정 신고를 시행한다고 27일 밝혔다.

미래부는 CISO를 지정 신고해야 하는 기업이 2500~3000곳에 이를 것으로 추산했다.

반드시 CISO 지정해 신고해야 하는 기업은 △정보통신망법 제41조 제1항 제1호에 따른 내용 선별 소프트웨어(SW)를 개발하거나 보급하는 사업자 △정보통신방법 제47조 제2항에 따라 정보보호 관리체계 인증을 받아야 하는 기업 △저작권법 제104조 제1항에 따라 특수한 유형의 온라인서비스제공자로 상시 종업원 수가 5명 이상이거나 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 1000명 이상인 기업 △전자상거래 등에서의 소비자보호에 관한 법률 제2조 제3호에 따른 통신판매업자로 상시 종업원 수가 5명인 곳 △게임산업진흥에 관한 법률 제2조 제7호에 따른 인터넷 컴퓨터게임 시설 제공업자나 음란물이나 사행성 게임물 차단 프로그램을 제공하는 사업자 △상시 종업원 수가 1000명 이상인 사업자 등이다.

이들 사업자는 해당요건을 충족한 날로부터 90일 이내 CISO를 지정해 신고해야 한다. 방문 신고나 미래부 전자민원센터(www.emsip.go.kr)로 온라인신고도 할 수 있다. CISO를 지정해 신고하지 않은 기업은 정보통신망법 제76조에 따라 3000만원 이하의 과태료가 부과된다.

미래부는 CISO에게 ‘하트 블리드’나 ‘배시 버그’와 같은 중요한 보안 취약점이 나타나면 바로 연락해 조치를 취할 계획이다. 그동안 정부는 위험도가 높은 취약점이 나타나도 내용을 전달할 통로를 찾지 못했다. 미래부는 각 기업 CISO와 핫라인을 만들어 각종 보안 위협을 공유할 예정이다.

강성주 미래부 정보화전략국장은 “정보통신서비스 제공자를 대상으로 정보보호에 대한 책임과 권한을 가진 정보보호 최고책임자를 둬 기업 보안인식을 높이고 투자를 확대할 것”이라며 “정보보호 관련 법규 준수 강화 등 사회 전반의 정보보호 수준을 강화하는 기반이 될 것”으로 기대했다.

김인순기자 insoon@etnews.com