정보보호최고책임자(CISO) 선임 의무를 강화한 개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)
시행이 눈앞으로 다가왔다.
오는 6월 13일 시행을 앞두고 과학기술정보통신부는 올해 정보통신망법 시행령 일부개정안을 마련했다. 지난 2월 입법예고한 데 이어 지난 5월 초까지 재입법예고를 실시하고 충분한 의견을 수렴한 뒤 시행령안을 확정했다.
과기정통부에 따르면, 재입법예고한 정보통신망법 시행령은 금융위원회를 포함한 관계부처 협의와 법제처 심의를 거쳐 지난 5월 30일 국무회의 상정 절차를 마쳤다. 오는 4일 열리는 국무회의에서 통과될 것으로 예상된다.
아래는 CISO 지정·신고의무 대상에서 제외된다.
재입법 예고된 시행령 개정안에 따라 정보통신서비스 제공자 가운데 ▲전기통신사업법에 따른 부가통신사업자 ▲소상공인보호 및 지원에 관한 법률에 따른 소상공인 ▲직전년도 말 기준 직전 3개월 간 일일 평균 이용자 수가 100만명 미만이고 직전년도 정보통신서비스 부문 매출액이 100억원 미만인 소기업(전기통신사업자 및 집적정보통신시설 사업자 제외)
CISO 겸직이 제한되는 정보통신서비스 제공자는 전년도 말 기준 자산총액 5조원 이상인 자, 정보보호 관리체계 인증을 받아야 하는 자 중 전년도 말 기준 자산총액 5000억원 이상인 자로 규정했다.
이 기준에 따른 CISO 의무지정 대상 기업은 4만1000여곳, CISO 겸직 금지 대상 기업은 126개라는 게 과기정통부의 집계다. 전자금융거래법 규율을 받는 금융사는 이 CISO 겸직 금지 의무 대상에서 제외됐다.
CISO의 겸직 금지는 정보보호 이외의 업무를 수행하는 정보기술책임자(CIO) 등은 물론 개인정보보호책임자(CPO) 관련 업무까지 포함된다.
CISO 의무화와 CISO 겸직 금지 내용이 포함된 법 개정이 이뤄지자 그동안 CISO 겸직 금지에 CPO도 포함되는지 여부를 두고 관련 기업 정보보호 담당자와 관련자들 사이에서 논란과 궁금증이 제기돼 왔다.
정보보호와 리스크관리라는 공통의 목표와 업무 범위를 볼 때 겸직을 허용해야 한다는 의견과, 개인정보보호 관련법규제가 별도로 운영되고 있는데다 유럽 개인정보보호법(GDPR) 등으로 확대, 강화되고 있고 정보보호(보안)와 개인정보보호는 각각 고유의 업무가 있다는 점에서 겸직해서는 안된다는 의견이 엇갈렸다.
오용수 과학기술정보통신부 정보보호정책관은 “정보통신망법에 따르면 CISO는 법에서 정한 업무 외에는 다른 업무를 겸직할 수 없도록 했다. 따라서 명시돼 있는 업무 이외의 업무는 겸직해서는 안된다는 것이 법제처 심사 결과”라며 “이에 따라 CISO와 CPO는 직책이 아닌 업무를 기준으로 한 겸직 금지 대상”이라고 말했다.
-> 이에 따라 CISO 겸직금지 대상인 126개 기업은 법 시행일인 6월 13일까지 CISO를 선임해야 하는 것은 물론,
CPO 업무와 CISO 업무를 분리해야 한다.
법에서 CISO 업무 :
1) 정보보호관리체계의 수립 및 관리·운영
2) 정보보호 취약점 분석·평가 및 개선
3) 침해사고의 예방 및 대응
4) 사전 정보보호대책 마련 및 보안조치 설계·구현 등
5) 정보보호 사전 보안성 검토
6) 중요 정보의 암호화 및 보안서버 적합성 검토
7) 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위해 필요한 조치의 이행이다.
시행령 따르면, CISO 자격기준은
▲정보보호 또는 정보기술 분야 석사학위 이상의 학위를 취득했거나
▲정보보호 또는 정보기술 분야의 학사학위를 취득하고 정보보호 또는 정보기술 분야 업무를 3년 이상 수행한 경력이 있는 사람 ▲정보보호 또는 정보기술 분야의 전문학사학위를 취득하고 정보보호 또는 정보기술 분야 업무를 5년 이상 수행한 경력이 있는 사람
▲정보보호 또는 정보기술 분야 업무를 10년 이상 수행한 경력이 있는 사람
▲정보보호 관리체계 인증기관의 정보보호 관리체계 인증심사원
▲해당 정보통신서비스 제공자의 정보보호 업무 관련 부서의 장으로 1년 이상 근무한 경력이 있는 자다.
다른 직무의 겸직이 제한된 CISO는 상근하는 자로서 다른 회사의 임직원으로 재직 중이지 아니한 자여야 한다.
▲4년 이상 정보보호 분야 업무를 수행한 경력자이거나
▲2년 이상 정보보호 분야 경력자로 정보기술 분야 경력과 합해 5년 이상인 자로 지정하도록 했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network