삼성전자를 비롯한 삼성그룹 계열사가 10여명에 달하는 자사 정보보호최고책임자(CISO)를 새해 임원급으로 일괄 승진시켰다. 지난해 CISO 지정·신고 의무화와 겸직 금지에 따른 조치로 과학기술정보통신부에 신고를 완료한 것으로 확인됐다.
삼성그룹은 삼성전자, 삼성SDS, 삼성SDI, 삼성디스플레이 등 CISO 겸직이 금지된 계열사 11곳 CISO를 임원급으로 일괄 승진시켰다. CISO 선임은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 시행령이 개정된 이후인 지난해 8월께 이뤄졌으며 임원 승진은 지난해 말 통보한 것으로 전해졌다.
이는 정보통신망법이 CISO를 임원급으로 지정하도록 규정하고 있기 때문이다. 법에 임원급 범위가 명시되진 않았지만 대개 이사와 감사, 기타 비등기 이사 등 경영상 책임을 지거나 이에 준하는 업무를 수행하는 고위관리자를 말한다.
삼성그룹은 지난해 말 과기정통부에 CISO 지정·신고를 완료했다. 새해 들어 그룹사 차원에서 한 차례 모임을 가졌으며 이달 중 정부 부처 관계자를 초청해 정보보호 업무와 관련한 교육을 받을 예정이다.
삼성전자 관계자는 “CISO가 누구인지는 대외에 공개하지 않고 있다”면서도 “임원급이라는 점만 밝힐 수 있다”고 말했다. 과기정통부 역시 CISO 의무대상 기업 수가 많다는 점 등을 고려해 CISO 명단을 향후 공개하지는 않을 방침이다.
정부는 지난해 6월 정보통신망법 시행령 개정을 통해 정보통신서비스 사업자에 CISO 지정·신고를 의무화했다. 지난해 말까지 계도기간을 줬으며 새해 첫날부터 소규모 사업자를 제외한 모든 정보통신서비스 사업자에 의무가 발생했다.
위반 시 3000만원 이하 과태료가 부과된다. 과기정통부는 신고 의무를 기업에 통지하면서 미신고 기업으로부터 이의신청을 접수, 늦어도 5월께 과태료를 부과할 방침이다. 자산총액 5조원 이상 기업과 정보보호 관리체계(ISMS) 인증 의무대상 중 자산총액 5000억원 이상 기업은 정보보호 업무 전념을 위해 CISO 겸직이 금지된다.
과기정통부에 따르면 CISO 의무대상 기업 3만4000여개 가운데 CISO 지정·신고율은 지난해 말 기준 43.4%로 조사됐다. 지난해 11월 중순 약 35%에서 상승했다. CISO 겸직 금지에 해당하는 기업은 지난해 말 기준 121개로 이들 기업은 모두 신고를 마쳤다.
정재욱 과기정통부 사이버침해대응과장은 “CISO 겸직 금지 기업은 모두 신고를 마친 상황”이라면서 “아직 신고를 마치지 않은 중소기업을 대상으로 정확한 실태조사를 하고 있다”고 말했다.
오다인기자 ohdain@etnews.com