Home > 전체기사

CISO 제도, 어떻게 달라질까? 정보통신망법 개정 시행령 입법예고

  |  입력 : 2021-08-04 09:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기업 규모에 따라 정보보호 담당하는 부서의 장도 CISO로 지정 가능
겸직제한 대상기업 CISO도 정보보호 공시, 개인정보 보호 등 유사 업무 겸직 가능


[보안뉴스 이상우 기자] 정보보호 최고책임자(이하 CISO) 제도 개선을 위해 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 시행령이 일부 개정된다. 이번 개정을 통해 기업 규모별 CISO의 직급 기준을 구체화하고, 한국인터넷진흥원을 통해 CISO의 정보보호 역량 강화를 지원할 위탁 근거도 마련했다. 이와 함께 지정신고의무 위반 과태료를 완화하는 한편, 겸직금지 의무 위반 시 과태료 부과에 대한 항목을 신설했다.

[이미지=utoimage]


과학기술정보통신부는 국민참여입법센터를 통해 시행령 일부 개정령(안)을 입법예고하고 오는 9월 13일까지 의견을 받는다. 과기정통부는 기존 CISO의 획일적 지위(임원급)를 기업규모에 따른 임직원으로 세분화하고, CPO 등 유사 정보보호 관련 업무도 수행 할 수 있도록 겸직제한을 완화하는 등 기업의 CISO 지정 신고 관련 부담을 대폭 완화시킬 수 있을 것이라며 개정 취지를 밝혔다.

개정 시행령을 살펴보면, 우선 제36조의7 각 항을 신설 및 개정해 CISO 직급 기준을 구체화하고, 신고의무 제외 대상자를 명확히 하는 한편, CISO 지정 의무가 없는 경우 대표이사를 CISO로 간주해 법적 혼란을 방지한다.

신설되는 제36조의7제1항은 기업 규모에 따른 CISO 직급 기준을 명시한다. 우선 중소규모 기업의 경우 상대적으로 정보보호 필요성이 낮은 기업은 ‘사업주’‘대표이사’를 CISO로 지정할 수 있다. △자본금이 없거나 자본금이 1억 원 이하 △중소기업기본법 제2조제2항에 따른 소기업·중기업 중 일부가 이에 해당한다.

중소기업기본법에 따른 중기업이라 할지라도 △전기통신사업법 제2조제8호에 따른 전기통신사업자 △ISMS 의무대상자 △개인정보보호법 제30조제2항에 따라 처리방침을 공개하는 개인정보처리자 △전자상거래법 제12조에 따라 신고해야 하는 통신판매업자 등은 별도의 CISO를 지정해야 한다. 반면, 전기통신사업자 가운데 소기업과 단순 안내·홍보위주의 홈페이지만 운영하던 제조업은 신고의무에서 제외된다.

△직전 사업연도 말 자산총액이 5조 원 이상인 ‘공시대상기업집단’ △ISMS 의무대상자 중 직전 사업연도 말 기준 자산총액이 5,000억 원일 경우 ‘이사’급의 임원을 CISO로 지정해야 한다. 전자는 준대기업~대기업에 해당하며, 후자는 유출사고 발생 시 파급력이 큰 기업이다. 참고로 여기서 이사는 상법 제401조의2제1항제3호에 해당하는 사람 혹은 제408조의2에 따른 집행임원 등을 포함한다. 반드시 이사 직함이 아니더라도 명예회장, 회장, 사장, 부사장, 전무, 상무 등 회사 업무 집행의 권한이 있는 명칭을 사용하는 사람 혹은 권한을 위임받은 집행임원 역시 CISO로 지정할 수 있다.

앞서 언급한 기업 규모에 모두 해당하지 않는다면 △사업주 혹은 대표이사 △이사 △사업주로부터 지시를 받는 정보보호 업무 총괄 부서의 장 등을 CISO로 지정할 수 있다. 이와 함께, 정보통신망법 제54조의3제1항을 근거로 CISO를 신고하지 않은 기업에 대해서는 사업주 혹은 대표이사를 CISO로 지정한 것으로 간주하는 규정을 마련해 법적 혼란을 방지한다.

기존 제36조의8에서 신고의무가 발생한 날로부터 90일 이내 CISO 지정 및 신고해야 한다는 규정은 180일로 연장해 보안 전문인력 수급에 대해 고려했으며, 제70조제1항제2호, 제2항제1호, 제2항제8호 등을 개정해 기존의 ‘신고’라는 표현을 ‘신고 및 겸직금지 업무 위반에 대한 행정조치’로 변경해 겸직금지의무를 강화했다.

CISO는 정보통신망법 제45조의3제4항제2호에 따라 △정보보호산업법 제13조에 따른 정보보호 공시에 관한 업무 △정보통신기반 보호법 제5조제5항에 따른 정보보호책임자의 업무 △전자금융거래법 제21조의2제4항에 따른 정보보호최고책임자의 업무 △개인정보 보호법 제31조제2항에 따른 개인정보 보호책임자의 업무 △이밖에 관계 법령에 따라 정보보호를 위해 필요한 조치의 이행 등을 겸직할 수 있다. 앞서 언급한 이사 이상의 임원을 CISO로 지정해야 하는 기업(직전 사업연도 말 자산총액 5조 원 이상, ISMS 의무대상자 중 직전 사업연도 말 자산총액 5,000억 원 이상)은 CISO가 타 업무를 함께 할 수 없는 ‘겸직제한 대상기업’에 해당하지만, CPO 등 상기한 정보보호 유사 업무는 겸직이 가능하다.

이밖에 CISO의 사고대응 지원 및 정보보호를 위한 협력활동을 한국인터넷진흥원에 위탁할 수 있도록 법적 근거를 마련했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)