정보보호최고책임자(CISO) 제도를 개선하는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 개정안이 6월 4일 국무회의를 통과했다.
과학기술정보통신부(장관 유영민)는 향후 공포절차를 거쳐 이달 13일 시행될 예정이라고 밝혔다.
개정된 정보통신망법 시행령은 정보보호 최고책임자 지정·신고 의무 대상에서 자본금 1억원 이하 부가통신사업자, 소상공인, 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 등을 제외했다. CISO 지정·신고 의무대상 정보통신서비스 제공자는 19만9000여개에서 3만9000여개로 감소했다.
CISO는 정보보호 관련 학력·경력 등 자격요건을 갖춘 자를 지정·신고하도록 했다. 일반 자격요건을 갖추고 상근하는 자로 △정보보호 업무를 4년 이상 수행한 경력이 있는 사람 △정보보호와 정보기술 업무 수행 경력을 합산한 기간이 5년 이상(그 중 2년 이상은 정보보호 업무 수행 경력)인 사람으로 지정·신고하도록 했다.
자산총액 5조원 이상인 정보통신서비스 제공자, 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억 원 이상 기업 CISO는 다른 직무 겸직을 제한한다.
오용수 과기정통부 정보보호정책관은 “이번 CISO 제도 개선은 대기업, 중견기업, 중기업, 소기업 등 기업 규모에 따라 의무 부담을 차등화해 규제 부담을 합리화 했다”면서 “사이버 위협과 사고 위험 증가가 우려되는 초연결 환경에서 5G 안전한 이용 환경 마련에 기여할 것으로 기대한다”고 말했다.
과기정통부는 정보통신서비스 제공자 CISO 자격요건, 겸직제한 제도가 올해 처음 신설된 점을 고려, 적정 계도기간을 둔다. CISO 지정·신고를 독려하고, 계도기간이 지난 후 지정·신고 의무를 위반한 사업자에 대해 과태료 처분 등 조치한다.
정영일기자 jung01@etnews.com