CISO 의무지정 신고 계도기간, 오는 27일 종료

신규 임명된 정보보호최고책임자들 위한 가이드라인·지침서 필요 

[보안뉴스 민세아] 정보보호최고책임자(CISO) 지정·신고 기한이 오는 27일로 다가왔다. 그러나 대부분의 중소 사업자들은 CISO 지정에 대해 정확히 모르고 있거나 CISO로 지정된 책임자들이 어떤 업무를 진행해야 하는지 잘 몰라 혼란스러워 하는 것으로 알려졌다.

지난해 11월 29일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정통망법)’이 개정되면서 정보보호최고책임자(CISO) 지정·신고제가 본격 시행됨에 따라 각 기업은 CISO를 지정해 오는 27일까지 신고해야 한다.

CISO는 정통망법 제45조의3에 따라 △정보보호관리체계의 수립 및 관리·운영 △정보보호 취약점 분석·평가 및 개선 △침해사고의 예방 및 대응 △사전 정보보호대책 마련 및 보안조치 설계·구현 △정보보호 사전 보안성 검토 △중요 정보의 암호화 및 보안서버 적합성 검토 △그 밖에 이 법 또는 관계법령에 따라 정보보호를 위한 필요한 조치의 이행 등의 업무를 수행해야 한다.

그러나 본지에서 인터넷쇼핑몰을 비롯한 몇몇 업체에 직접 문의해본 결과 CISO 지정 신고에 대해 ‘그런 게 있다더라’하는 정도만 알고 있고, CISO가 어떤 역할을 하는지 정확히 알지 못하는 경우가 대부분이었다.

한 남성복 인터넷쇼핑몰 관계자는 “구체적으로 업종별 교육이나 충분한 지침 없이 법으로 지정신고를 의무화했다니 당황스럽다”며, “관련된 가이드라인이나 지침서가 있으면 좋겠다”고 말했다.

이와 관련 미래부 측은 “아직까지 구체적인 가이드라인이나 지침서를 만들 계획은 없다”며, “신고기간이 끝날 때까지 지정대상 기업들에게 지속적으로 안내할 예정”이라고 말했다.

한편, CISO 지정 신고는 정통망법 시행규칙에 포함된 별지 제2호서식 ‘정보보호 최고책임자 지정신고서’를 작성해 각 지역의 전파관리소에 우편으로 발송하거나 직접 방문해 제출하면 된다. 혹은 미래창조과학부(이하 미래부) 홈페이지 전자민원센터를 통해서도 신고할 수 있다.

만약 27일까지 CISO를 신고하지 않을 경우 정통망법 제76조제1항에 의해 3천만 원 이하의 과태료를 부과할 수 있다. 신고기간 도중에 신고대상 범위에 포함되기 시작한 기업의 경우 추가적으로 90일간의 계도기간을 가진다. 신고기간 종료 후 신고 대상기업을 파악하고 나서 단속에 들어갈 예정이다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>