과기정통부, ‘CISO 제도개선 TF’ 발족해 운영
겸직제한, 지정·신고 의무 대상, 자격요건 등 집중 논의
9월 말까지 개선방안 마련해 제도 보완 나설 듯
과기정통부 “겸직제한 등 아직 확정된 것 없어...현재 논의단계”

[보안뉴스 권 준 기자] 기업에서 의무적으로 지정·신고토록 되어 있는 정보보호최고책임자(CISO) 제도와 관련해 기업의 부담을 더는 방향으로 지정·신고 의무대상 범위와 겸직제한 및 자격요건 기준 등이 재정비될 것으로 보인다.


이를 위해 과기정통부는 CISO 지정·신고 제도의 개선과제 검토와 관련 법 개정안 마련을 위한 ‘CISO 제도개선 TF’를 발족한 것으로 알려졌다.

이는 2019년 6월 13일부터 시행되고 있는 정보통신망법 개정안에 의해 정보통신서비스 의존도가 낮은 기업에 대한 신고의무 부과, 중복업무의 겸직제한에 따른 기업의 부담이 가중되고 있다는 지적에 따른 것이다.

지난해 개정된 정보통신망법은 자산총액 5조원 이상 정보통신서비스 제공자와 정보보호관리체계(ISMS) 인증을 받아야 하는 자산총액 5천억원 이상인 정보통신서비스 제공자 기업을 대상으로 CISO와 CPO(개인정보보호최고책임자) 겸직을 금지하는 조항이 핵심이다.

이와 함께 CISO 지정·신고 의무 대상 기준이 정보통신서비스 제공자 중 자본금 1억원 이하의 부가통신사업자, 소상공인, 전기통신사업자와 집적정보통신시설사업자를 제외한 소기업 등을 제외하는 내용도 포함됐다.

CISO와 CPO의 겸직금지와 관련해서 CISO와 CPO의 업무가 상당 부분 중복됨에도 인력을 별도로 분리하면서 오히려 업무의 효율성이 떨어진다는 지적이 제기돼 왔고, 이에 일부 기업에서는 보안·개인정보보호 관련 조직을 기형적으로 운영하는 부작용도 발생했다. 기업내 보안업무의 중요성을 환기시키고, 정보보호 인력의 전문성을 강화한다는 좋은 취지에도 불구하고 기업의 인력 및 조직관리에 있어 어려움이 커졌다는 의견이 많았기 때문이다.

CISO 지정·신고 의무 제도도 마찬가지다. 지난해 정보통신망법 개정으로 지정·신고 의무 대상을 줄였지만, 3만 5천여 곳의 의무대상 기업 가운데 1만여 곳 정도는 아직도 CISO 지정 신고를 하지 않은 것으로 조사되는 등 지정·신고 제도의 실효성이 떨어진다는 지적도 있어왔다.

이에 따라 이번에 발족된 ‘CISO 제도개선 TF’에서는 겸직제한의 경우 기존 CPO와의 겸직금지에서 기준이 다른 금융권과의 비교·분석을 바탕으로 CPO를 비롯한 유사 직무와는 겸직을 허용하는 방안을 검토할 것으로 보인다.

또한, CISO 신고기준을 현재 중기업 이상에서 일정 규모의 정보통신서비스 이용자수 등을 충족하는 중기업 이상으로 상향 조정하는 방안도 검토한다는 계획이다.

이와 함께 CISO의 자격요건도 학력·경력 등 획일적인 자격요건과 임원급으로만 지정 가능한 상황에서 기업 규모에 따라 자격요건을 차등화하고, 부장급도 CISO로 지정 가능한 방향으로 개선하는 방안과 부정신고 시 과태료 부과 근거를 마련하는 방안도 논의하기로 했다.

‘CISO 제도개선 TF’에서는 이러한 과제들을 집중적으로 논의해 9월말까지 CISO 제도개선 방안을 마련하고, 이를 토대로 관련 법 개정에 나선다는 계획이다.

이와 관련 과기정통부 관계자는 “CISO 제도개선을 위한 TF가 발족해 다양한 논의를 하고 있는 건 사실이지만, 겸직제한이나 지정·신고 의무, 자격요건과 관련해서 아직까지 확정된 것은 전혀 없다”며, “충분한 논의를 거쳐 재도개선 방안을 마련할 예정이며, 이러한 과정을 거쳐 제도가 정비되기까지는 시일이 필요한 만큼 섣부른 판단을 할 상황은 아니”라고 신중한 입장을 보였다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>