정보보호최고책임자(CISO) 제도개선 6월 13일 시행
지정·신고 제외 대상 기업 범위, 겸직 제한 대상 기업 범위, 자격요건 등 규정
정보통신망법 시행령 개정안 국무회의 통과... 과기정통부 “겸직 제한 대상 기업 공문 발송”

[보안뉴스 원병철 기자] 정보보호최고책임자(CISO: Chief Information Security Officer) 겸직 제한 의무대상 기업 등의 내용을 담은 정보통신망법 시행령 개정안이 6월 4일 국무회의를 통과했다. 과기정통부는 이번 개정안의 핵심 내용 중 하나인 ‘CISO 겸직 제한 대상 기업’들에게 공문을 보내 의견을 수렴하고 있다면서도 대상 기업 공개는 아직 미루고 있는 상황이다.


과학기술정보통신부(장관 유영민, 이하 과기정통부)는 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위해 CISO 제도를 개선하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령’ 개정안이 6월 4일 국무회의를 통과했으며, 향후 공포절차를 거쳐 2019년 6월 13일부터 시행될 예정이라고 밝혔다.

개정된 정보통신망법 시행령은 첫째, 정보보호최고책임자 지정·신고 의무 대상에서 자본금 1억 원 이하의 부가통신사업자, 소상공인, 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 등을 제외했다. 이에 따라, 정보보호최고책임자 지정·신고 의무대상 정보통신서비스 제공자는 19만 9,000여개에서 3만 9,000여개로 감소(2019년 5월 기준)하게 되며, 소상공인, 소기업 등은 정보보호 관련 학력·경력 등을 갖춘 정보보호최고책임자 지정·신고 의무의 부담을 완화하게 되어 규제 개선의 직접적 혜택을 보게 될 예정이다.

둘째, 정보보호최고책임자는 정보보호 관련 학력·경력 등의 자격요건을 갖춘 자를 지정·신고하도록 했다. 이에 따라, 정보보호의 전문성과 경험을 갖춘 전문가가 해당 정보통신서비스 제공자의 정보보호 업무를 담당하게 됨으로써, 기업의 사이버 침해사고 대응능력이 강화될 것으로 기대된다고 과기정통부는 밝히고 있다.

△정보보호최고책임자(CISO)의 일반 자격요건
1. 정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람
2. 정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
3. 정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
5. 정보보호 관리체계 인증심사원의 자격을 취득한 사람
6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람

특히, 다른 직무의 겸직이 제한되는 정보보호최고책임자는 위의 일반 자격요건을 갖추고 상근하는 자로서 △정보보호 업무를 4년 이상 수행한 경력이 있는 사람이나 △정보보호와 정보기술 업무 수행 경력을 합산한 기간이 5년 이상(그 중 2년 이상은 정보보호 업무 수행 경력)인 사람으로 지정·신고하도록 함으로써 정보보호최고책임자는 자격요건을 더 강화했다.

마지막으로 △자산총액 5조원 이상인 정보통신서비스 제공자와 △정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5천억 원 이상인 기업의 정보보호최고책임자는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한했다.

과기정통부 오용수 정보보호정책관은 “이번 정보보호최고책임자 제도 개선은 대기업, 중견기업, 중기업, 소기업 등 기업 규모에 따라 의무 부담을 차등화함에 따라 규제 부담을 합리화 했으며, 5G 상용화와 함께 사이버 위협과 사고 위험 증가가 우려되는 초연결 환경에서 5G의 안전한 이용 환경 마련에 기여할 것으로 기대된다”고 밝혔다.

그러나 문제는 정보통신망법 시행령 개정안 시행이 불과 10일(6월 13일)밖에 남지 않은 상황에서, CISO 겸직 제한에 해당하는 ‘기업’에 대한 대응이 미흡하다는 사실이다. 과기정통부 관계자는 현재 겸직 제한 조건에 포함되는 기업으로 자산총액 5조원 이상인 정보통신서비스 제공자 78개 기업과 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5천억 원 이상인 48개 기업으로 파악하고 있지만, 대상 기업 리스트는 확인해줄 수 없다고 밝혔다. 아울러 별도로 공지할 계획은 없으며, 다만 개정안 시행 전까지 해당 기업에 개별적으로 통보하고 신고를 독려하겠다고 설명했다.

특히, 과기정통부는 정보통신서비스 제공자의 CISO 자격요건, 겸직 제한 제도가 올해 처음으로 신설된 점을 고려, 적정 계도기간을 두고 CISO 지정·신고를 독려한 후 계도기간이 지나도 지정·신고 의무를 지키지 않은 사업자에 대해서는 과태료 처분 등 필요한 조치를 할 계획이라고 밝혔다. 그러나 대상 기업들에게 구인, 제도정비 등을 위한 준비 시간을 충분히 주지 않았다는 지적이 많다.

게다가 이번 CISO 겸직 제한 대상은 CIO 등 정보기술부문 업무가 아닌 ‘다른 직무’라고 되어 있기 때문에 전문가를 채용하는데도 많은 시간이 소요될 뿐만 아니라, 대기업 등 규모가 있는 기업들이 CISO에게 일반보안(총무) 업무를 추가로 맡기면서 상급 직위로 이동하는 승진코스를 막아 CISO의 승격 하한선을 만들 것이라는 지적도 현직 CISO들로부터 나오고 있다.

아울러 CISO의 일반 자격요건 역시 최고책임자라기보다는 실무자급이라는 지적도 함께 나왔다. 일부 기업에서는 ‘정보보호팀’ 전체가 해당될 정도라는 것. 실제 정보통신기술사의 시험 응시자격도 경력 9년 이상인 것을 볼 때 하향된 기준이라는 견해가 설득력을 얻고 있다. 이에 따라 계도기간 등을 거쳐 좀더 세밀한 보완 및 개선이 필요하다는 의견이 제기되는 상황이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>