덩치 큰 기업들, 정보보호 신중해져야…책임자 지정신고·공시 의무화
2021-06-01 21:10
중소기업에도 '임원급으로 지정' 의무완화
CISO 의무 명시…CPO 등 업무 '겸직' 허용
정보통신망법 일부 개정안 국무회의 의결
정보보호 공시의무 위반 과태료 1000만원
공시의무 대상 기준은 올해 하반기 구체화
CISO 의무 명시…CPO 등 업무 '겸직' 허용
정보통신망법 일부 개정안 국무회의 의결
정보보호 공시의무 위반 과태료 1000만원
공시의무 대상 기준은 올해 하반기 구체화
앞으로 기업 정보보호 관련 책임자 지정과 공시업무 의무가 강화된다. 총무·인사·경영지원 등 정보보호와 무관한 업무 담당자가 기업 정보보호최고책임자(CISO)로 지정되거나 겸직하면 해당 기업이 과태료를 물게 된다. 일정규모 이상 기업에 정보보호 분야 인력, 인증, 투자 등 현황을 공개하는 '정보보호 공시'가 의무화된다.
과학기술정보통신부는 1일 국무회의에서 이같은 CISO 제도 개선사항을 담은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부 개정안이 의결됐다고 밝혔다.
개정된 법은 CISO 업무 가운데 정보보호 계획 수립·시행, 정보보호 실태와 관행의 정기적인 정보보호 감사, 위험 식별과 정보보호 대책 마련 등을 의무로 설정하고, 이외 개인정보보호, 정보보호 공시에 관한 업무, 정보통신기반보호법에 따른 정보보호책임자 업무, 전자금융거래법에 따른 CISO 업무 등을 겸직 가능한 업무로 정했다. 개인정보보호책임자(CPO) 겸직이 가능하다.
정보보호와 무관한 업무 담당자는 CISO로 겸직할 수 없다. 그간 일부 기업에서는 정보보호 업무와 무관한 총무, 인사, 경영 담당자가 CISO를 겸하기도 했는데, 이에 대한 법령에 처벌규정이 명확하지 않아 일선 현장에서는 형식적인 운영을 방치해왔다. 이번에 정보보호 관련 업무 담당자의 겸직 허용 범위가 명확해졌고, 이를 어기면 시정명령을 넘어 과태료도 부과할 수 있게 됐다.
직급과 관련해선 일정규모 이상 기업에 임원급 CISO 지정 의무가 더 강화되고, 규모가 작거나 정보보호 필요성이 적은 기업에는 관련 부담이 줄어든다. 이전까지는 중기업 이상에 일률적으로 임원급 CISO 지정이 강제돼 인력채용과 조직신설에 부담이 가중됐는데, 일부 기업은 차장·부장급 직원을 CISO로 신고하는 등 '임원급'의 지위가 모호하다는 점을 악용하기도 했다.
개정된 법은 자산총액 5조원 이상이거나 정보보호관리체계(ISMS) 의무대상 중 자산총액이 5000억원 이상인 기업이 아니면, 중소기업은 부장급 CISO를 지정할 수 있게 했다. CISO 신고의무를 정보보호 필요성이 큰 중기업에 부과하고, 의무가 면제된 기업은 대표를 CISO로 간주하기로 했다. 앞서 연매출 10억원 이상인 음식점이나 학원이 단순 홍보·안내 홈페이지를 운영하면서 CISO 신고의무 대상이 됐지만 이번 개정으로 의무를 벗는다.
과학기술정보통신부는 1일 국무회의에서 이같은 CISO 제도 개선사항을 담은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부 개정안이 의결됐다고 밝혔다.
개정된 법은 CISO 업무 가운데 정보보호 계획 수립·시행, 정보보호 실태와 관행의 정기적인 정보보호 감사, 위험 식별과 정보보호 대책 마련 등을 의무로 설정하고, 이외 개인정보보호, 정보보호 공시에 관한 업무, 정보통신기반보호법에 따른 정보보호책임자 업무, 전자금융거래법에 따른 CISO 업무 등을 겸직 가능한 업무로 정했다. 개인정보보호책임자(CPO) 겸직이 가능하다.
정보보호와 무관한 업무 담당자는 CISO로 겸직할 수 없다. 그간 일부 기업에서는 정보보호 업무와 무관한 총무, 인사, 경영 담당자가 CISO를 겸하기도 했는데, 이에 대한 법령에 처벌규정이 명확하지 않아 일선 현장에서는 형식적인 운영을 방치해왔다. 이번에 정보보호 관련 업무 담당자의 겸직 허용 범위가 명확해졌고, 이를 어기면 시정명령을 넘어 과태료도 부과할 수 있게 됐다.
직급과 관련해선 일정규모 이상 기업에 임원급 CISO 지정 의무가 더 강화되고, 규모가 작거나 정보보호 필요성이 적은 기업에는 관련 부담이 줄어든다. 이전까지는 중기업 이상에 일률적으로 임원급 CISO 지정이 강제돼 인력채용과 조직신설에 부담이 가중됐는데, 일부 기업은 차장·부장급 직원을 CISO로 신고하는 등 '임원급'의 지위가 모호하다는 점을 악용하기도 했다.
개정된 법은 자산총액 5조원 이상이거나 정보보호관리체계(ISMS) 의무대상 중 자산총액이 5000억원 이상인 기업이 아니면, 중소기업은 부장급 CISO를 지정할 수 있게 했다. CISO 신고의무를 정보보호 필요성이 큰 중기업에 부과하고, 의무가 면제된 기업은 대표를 CISO로 간주하기로 했다. 앞서 연매출 10억원 이상인 음식점이나 학원이 단순 홍보·안내 홈페이지를 운영하면서 CISO 신고의무 대상이 됐지만 이번 개정으로 의무를 벗는다.
또 CISO 제도 관련 허위·부실 신고 검증, 정책지원, 보안교육 등을 한국인터넷진흥원(KISA)이 실시하도록 했다.
홍진배 과기정통부 정보보호네트워크정책관은 "이번 법령 개정을 통해 기업 부담은 줄이면서 CISO 제도의 내실을 다질 수 있게 됐다"며 "많은 기업들이 사이버 침해사고 예방 및 대응 역량을 강화해 기업 활동에 도움이 되고, 사이버 보안에 대한 국민 체감도를 높일 수 있게 될 것"이라고 말했다.
이날 기업의 정보보호 공시를 의무화하는 '정보보호산업의 진흥에 관한 법률' 개정안도 국무회의에서 의결됐다. 과기정통부는 일정규모 이상 기업에 정보보호 공시 의무화를 추진해 이용자의 안전한 인터넷 이용, 기업의 정보보호 투자 인식 개선, 정보보호산업 진흥 효과를 기대한다고 밝혔다.
정보보호 공시제도는 정보보호산업법 제13조에 따라 정보보호 투자, 인력, 인증현황 등 기업의 현황을 스스로 공개하는 제도다. 정부는 정보보호 침해사고 파급효과가 커짐에 따라 정보보호 투자를 비용으로 바라보는 기업의 인식을 전환하고 이용자들에게 정보보호 투자 현황을 공개할 수 있는 정보보호 공시에 기업들이 참여할 필요가 있다고 봤다.
정부는 올해 하반기 대통령령으로 정보보호 공시 의무 대상 기준을 마련하고 위반시 1000만원 이하 과태료를 부과한다고 밝혔다. 기업의 사업분야, 매출액, 이용자수 등 의무화 대상 기준 마련에 산학연 전문가와 이해관계자 의견을 수렴할 예정이다.