과학기술정보통신부는 이 같은 내용을 포함해 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위한 CISO 제도 개선사항을 담은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 일부 개정안이 1일 국무회의에서 의결됐다고 밝혔다.
그동안 중기업 이상 모든 기업에게 일률적으로 '임원급' 정보보호 최고책임자 지정을 강제해 인력 채용·조직신설에 대해 기업의 어려움 호소가 많았는데 이번 개정으로 부담을 완화시킬 것으로 기대된다.
CISO의 정보보호를 위한 업무를 명확히 하고 개인정보 보호책임자(CPO) 등 유사 정보보호 관련 업무도 수행할 수 있게 겸직제한을 완화했다. 정보보호 계획의 수립·시행, 정보보호 실태와 관행의 정기적인 정보보호 감사, 위험의 식별 및 정보보호대책 마련 등 의무적인 업무 외 개인정보보호 등을 겸직 가능한 업무로 추가해 기업부담을 완화했다.
한국인터넷진흥원(KISA)이 정보보호 최고책임자 제도와 관련된 허위·부실 신고의 검증, 정책지원, 보안교육 등을 실시 할 수 있도록 역할을 추가했다.
CISO의 적법한 지정과 내실 있는 운영은 기업의 중요 정보보호와 밀접하게 관련된 사항으로서 제도의 실효성을 확보하기 위해 반드시 필요한 조치이지만, 그간 부적격자 지정, 겸직 제한 위반의 경우에도 시정명령 조치만 가능해 CISO 제도 실효성 확보에 한계가 있었다. 이에 기존 과태료 규정을 정비해 허위신고 및 부적격자 지정에 대한 제재 규정 마련하여 시행령에서 구체적으로 정할 예정이다.
이번 개정으로 현장에서 지속적으로 개선을 요구한 기업규모에 따른 정보보호 최고책임자의 획일적 지위(임원급) 다양화, 신고대상범위 명확화, 겸직제한 완화 등으로 기업의 부담을 줄여주면서 제도의 실효성을 제고할 수 있을 것으로 기대된다.
여용준 글로벌이코노믹 기자 dd0930@g-enews.com
