이르면 6월부터 기업은 독립적인 최고정보보호책임자(CISO)를 임명해야 한다. 대표나 최고정보책임자(CIO)가 겸임해서는 안 된다.
과학기술정보통신부는 지난해 5월 국회를 통과한 '정보통신망법 개정안 시행령'을 빠르면 이달 말 입법예고한다. 입법예고를 거처 6개월 계도기간을 고려할 때 6월 이후 CISO는 다른 업무를 겸직할 수 없다.
정보통신망법 개정안 시행령은 △자산총액·매출액 기준에 따른 임원급 CISO 지정 의무 차등 부여 △CISO 겸직금지 조항 신설 △CISO 자격기준 신설이 골자다.
업계는 시행령 발표를 앞두고 술렁인다. 정보통신망법에서 규정하는 '정보통신서비스 제공자' 범위가 상당히 포괄적이기 때문이다. 포털, 통신, 게임사뿐 아니라 온라인을 통해 상품을 판매하거나 영리를 목적으로 온라인을 이용해 정보를 제공하는 일정 규모 이상 기업 대부분 개정안을 따라야 한다.
업계 관계자는 “CISO를 새로 선임하는 등 기업입장에서는 부담스러운 것이 사실”이라면서 “중견기업 등 규모 있는 기업은 이미 준비해 들어갔지만 이외 기업은 구체적인 시행령만 기다린다”고 말했다.
과기정통부는 CISO 겸직금지, 신설 등으로 생기는 기업 부담은 최소화하고 보안은 강화하는 방향으로 입법취지를 살린다. CISO 지정으로 보안은 강화하되 겸직금지에 해당하는 기업은 별도로 지정해 부담을 최소화한다.
과기정통부 관계자는 “CISO 신고를 의무화하는 것은 보안사고 발생 시 신속하게 대응체계를 만들어 피해를 최소화하기 위한 것”이라면서 “업계, CISO 등 의견을 반영해 개정안이 규제로 받아들이지 않고 보안을 강화하는 방향으로 최종 안을 발표할 계획”이라고 말했다.
국내 기업 대부분 정보보호를 위한 기술적 대책과 법률대응 등을 책임지는 CISO가 다른 업무를 겸하는 경우가 많았다. 금융권을 제외한 대부분 중견기업은 대표나 CIO가 CISO 업무를 겸직한다. 보안업무가 그만큼 중요하지 않다고 판단했기 때문이다.
CISO 겸직 허용으로 보안에 소홀할 수 있다는 문제는 끊임없이 제기됐다. 실제 금융권은 농협 해킹 전산망 마비(2011년), 3·20 사이버테러(2013년) 등을 계기로 CISO 겸직 문제가 도마 위에 올랐다. 금융권은 전자금융거래법(제21조2)을 통해 총자산·상시 종업원 수에 따라 금융회사·전자금융업자가 CISO를 의무 지정하고 겸직을 금했다.
정보통신망법(제45조3)은 정보통신서비스 사업자에 CISO 지정 의무를 부여했다. 하지만 CISO 지정 기준이 없고 겸직이 가능해 보안문제 대응에 미흡했다. 해킹과 개인정보 유출 등 보안 사고가 끊이지 않으면서 대규모 서비스를 제공하는 정보통신서비스 사업자 보안을 강화해야 한다는 목소리가 높았다.
김도엽 법무법인 태평양 변호사는 “많은 기업이 CIO, CISO 겸직이 많은데 CIO는 경영효율화를 추구하는 역할로 보안 분야 투자 등에 소홀할 수밖에 없다”면서 “CISO 겸직금지 조항이 개별 기업 보안 강화에 긍정적 변화를 가져올 것”이라고 말했다.
정영일기자 jung01@etnews.com, 이영호기자 youngtiger@etnews.com