정부는 국내 기업의 침해사고를 예방하고 사이버공격 대응 역량을 강화하기 위해, 각 기업이 정보보호최고책임자(CISO)를 지정·신고해 운영하도록 하고 있다. 하지만 현업에서는 CISO의 직급이나 신고대상 기업 범위 등이 현실을 반영하지 못한다며 개정을 요구해왔다.
이에 과학기술정보통신부(과기정통부)는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 시행령 개정을 추진해왔으며, 11월 30일 개정령이 국무회의를 통과해 오는 12월 9일부터 시행된다고 밝혔다.
이번 시행령 개정은 지난 6월 8일 개정된 정보통신망법 후속조치 차원이다. 지금까지 획일적이던 CISO의 직급을 기업규모에 따라 정보보호 책임자(부장급)나 대표자로 지정·신고할 수 있게 범위를 넓히고, 신고대상도 정보보호 필요성이 큰 중기업 이상으로 조정하는 등 기업 부담 완화에 중점을 뒀다.
우선 CISO 직급을 기업 규모에 따라 세분화해 범위를 명확히 했다. 기존에는 일률적으로 '임원급'을 지정하는 등 표현이 모호했으나, 12월 9일부터는 정보보호를 담당하는 부서장도 CISO로 임명할 수 있다.
과기정통부는 신고의무 기업을 '겸직제한 의무대상(대규모 기업)'과 '일반 신고의무대상(중기업 이상)'으로 구분했다. 겸직제한 대상 기업은 '이사'로 구체화하고, 일반 의무대상 기업은 정보보호 '부장'급까지 지정할 수 있다. 겸직제한 의무대상이란 직전 사업연도 말 자산총액이 5조원 이상이거나, 정보보호 관리체계(ISMS) 인증 의무대상 중 자산총액 5000억원 이상인 기업이다. 참고로 정보보호 공시 업무, 개인정보 보호업무 등 정보보호 유사 업무는 겸직 가능하다.
이에 과학기술정보통신부(과기정통부)는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 시행령 개정을 추진해왔으며, 11월 30일 개정령이 국무회의를 통과해 오는 12월 9일부터 시행된다고 밝혔다.
이번 시행령 개정은 지난 6월 8일 개정된 정보통신망법 후속조치 차원이다. 지금까지 획일적이던 CISO의 직급을 기업규모에 따라 정보보호 책임자(부장급)나 대표자로 지정·신고할 수 있게 범위를 넓히고, 신고대상도 정보보호 필요성이 큰 중기업 이상으로 조정하는 등 기업 부담 완화에 중점을 뒀다.
우선 CISO 직급을 기업 규모에 따라 세분화해 범위를 명확히 했다. 기존에는 일률적으로 '임원급'을 지정하는 등 표현이 모호했으나, 12월 9일부터는 정보보호를 담당하는 부서장도 CISO로 임명할 수 있다.
신고 의무 대상도 합리화했다. 지금까지 모든 중기업 이상은 CISO를 지정해 신고해야 했으나, 이제는 정보보호 중요성이 큰 중기업으로 범위가 줄었다. 정보보호 중요성이 큰 기업이란 전기통신사업자, 개인정보처리자, 통신판매업자, ISMS 인증 의무대상자 등이다. 개정으로 신고 의무가 면제된 기업은 별도 신고가 없으면 사업주나 대표자를 CISO로 간주한다. 또한 개정으로 새롭게 신고의무 대상이 되는 기업의 인력수급 어려움 등을 고려해 CISO 신고기간도 현행 90일에서 180일로 연장한다.
겸직금지 의무는 실효성 제고를 위해 위반 시 과태료를 신설한다. 최초 위반 시 과태료는 1000만원이며, 2회 2000만원, 3회 이상은 3000만원이다. 지정신고 의무 위반 과태료는 완화한다. 1회 750만원, 2회 1500만원 등이며, 3회 이상은 3000만원이다. 이와 함께 중앙전파관리소에 행정처분에 대한 권한 위임근거를 마련한다.
임혜숙 과기정통부 장관은 "이번 개정으로 기업 부담을 완화하고, CISO가 정보보호 업무에 집중하도록 했다. 침해사고 예방과 신속한 복구, 피해 최소화 등을 가능케 하면서, 국내 기업의 전반적인 정보보호 역량이 강화될 것으로 기대한다"고 밝혔다.
겸직금지 의무는 실효성 제고를 위해 위반 시 과태료를 신설한다. 최초 위반 시 과태료는 1000만원이며, 2회 2000만원, 3회 이상은 3000만원이다. 지정신고 의무 위반 과태료는 완화한다. 1회 750만원, 2회 1500만원 등이며, 3회 이상은 3000만원이다. 이와 함께 중앙전파관리소에 행정처분에 대한 권한 위임근거를 마련한다.
임혜숙 과기정통부 장관은 "이번 개정으로 기업 부담을 완화하고, CISO가 정보보호 업무에 집중하도록 했다. 침해사고 예방과 신속한 복구, 피해 최소화 등을 가능케 하면서, 국내 기업의 전반적인 정보보호 역량이 강화될 것으로 기대한다"고 밝혔다.