CISO 의무지정 대상기업 4만1000개, 겸직금지 대상 123곳

– 정보통신망법 시행령 개정안 입법예고

정보보호최고책임자(CISO) 의무지정 대상 기업이 4만1000여곳으로 늘어난다.

과학기술정보통신부는 기업의 사이버 침해사고 예방·대응 역량을 강화하기 위한 CISO 제도 개선사항을 담은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 시행령’ 개정안을 마련해 입법예고한다.

지난 2018년 정보보호최고책임자(CISO) 선임 의무를 강화한 정보통신망법 개정 후속조치다. 개정 정보통신망법은 오는 6월 13일 시행된다.

이번 시행령 개정안은 업종 특성과 종업원수(상시종업원 수 1000명 이상 정보통신서비스 제공자 등) 등을 기준으로 정하던 CISO 지정·신고 의무 대상자를 기업 규모와 전기통신사업의 성격을 기준으로 개선해 신고대상을 합리화한다.

이에 따라 중기업 이상 정보통신서비스제공자, 자본금 1억원 이하의 부가통신사업자를 제외한 모든 전기통신사업자와 정보보호 관리체계(ISMS) 인증을 받아야 하는 모든 정보통신서비스 제공자 등의 기업이 CISO를 의무지정하고 과기정통부장관(중앙전파관리소장에게 위임)에 신고해야 한다.

중기업은 중소기업기본법 제2조제2항에 따라 중소기업 중 소기업을 제외한 기업으로, 자산총액이 5000억원 미만이고 업종별 기준 매출액 이하인 기업이다.

이를 기준으로 한 CISO 의무지정 대상기업 수는 4만1000여개다. 정보통신망법에 따라 CISO 지정·신고제가 의무화된 이후 과기정통부에 CISO 지정을 신고한 기업 수는 현재 9000여곳이다.

또한 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억원 이상인 기업의 CISO는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한했다.

이 기준에 따른 겸직 금지 대상 기업은 123개로 과기정통부는 파악하고 있다.

CISO는 정보보호 또는 정보기술 관련 전문 지식이나 실무 경험이 풍부한 자 중에서 지정해야 한다. 특히, 다른 직무의 겸직이 제한된 정보보호 최고책임자는 상근하는 자로 다른 회사의 임직원으로 재직 중이지 아니한 자여야 한다. 4년 이상의 정보보호 분야 경력자이거나 2년 이상의 정보보호 분야 경력자로 정보기술 분야 경력과 합해 5년 이상인 자로 지정하도록 자격요건을 정했다.

과기정통부는 이번 개정안이 주요 기업의 정보보호 업무를 전담할 수 있는 전문가를 CISO로 지정하도록 하는 등 사회 전반의 정보보호 역량을 강화함으로써 사이버 침해사고의 예방과 사고 발생시 피해의 최소화 및 신속한 복구 등에 기여할 수 있을 것으로 보고 있다.

정보통신망법 시행령 일부개정령안 입법예고는 오는 4월 20일까지다. 과기정통부 홈페이지(www.msit.go.kr, 업무안내/법령정보/입법·행정예고)와 통합입법예고센터(opinion.lawmaking.go.kr)에서 확인할 수 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network