>

정보보호최고책임자(이하 CISO) 선임 의무를 강화한 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 시행령 일부개정안이 재입법예고됐다.

과학기술정보통신부는 지난 2월 20일부터 4월 초까지 시행령 개정안을 입법예고하고 의견수렴을 거쳐 반영한 뒤 지난 15일 재입법예고했다. 이에 대한 의견은 오는 5월 1일까지 받는다.

지난해 5월 말 국회를 통과한 정보통신망법 일부개정안은 기업의 사이버 침해사고 예방·대응 역량을 강화하기 위해 CISO 겸직 금지를 명시하는 등 CISO 제도와 기준을 강화한 것이 가장 큰 특징이다. 이 개정 정보통신망법은 오는 6월 13일 시행을 앞두고 있다.

개정된 법안에는 기존 법률에 명시돼 있던 임원급의 정보보호 최고책임자를 ‘지정할 수 있다’는 표현을 ‘지정하고’로 변경했다. 기준도 ‘종업원 수, 이용자 수 등’으로 표기됐던 것을 ‘자산총액, 매출액’으로 바꿨다.

또 기준에 해당하는 정보통신서비스 제공자는 CISO를 지정한 후 과학기술정보통신부장관에게 신고토록 했다.

CISO는 법에서 정한 업무 외에는 다른 업무를 겸직할 수 없도록 했다. 해당 업무는 ▲정보보호관리체계의 수립 및 관리·운영 ▲정보보호 취약점 분석·평가 및 개선 ▲침해사고의 예방 및 대응 ▲사전 정보보호대책 마련 및 보안조치 설계·구현 등 ▲정보보호 사전 보안성 검토 ▲중요 정보의 암호화 및 보안서버 적합성 검토 ▲그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위해 필요한 조치의 이행이다.

CISO 자격요건 등은 대통령령으로 정하도록 했다.

과학기술정보통신부 홈페이지 정보통신망법 재입법예고 화면

개정 정보통신망법에 CISO 지정·신고 의무의 예외 대상 정보통신서비스 제공자의 범위, CISO 겸직이 제한되는 정보통신서비스 제공자의 범위, CISO의 자격요건 등이 대통령령으로 위임됨에 따라 시행령도 일부개정된다.

재입법예고된 시행령 개정안은 소기업, 전기통신사업자 중 부가통신사업을 신고한 것으로 보는 자 등 CISO 지정·신고의무의 예외가 되는 정보통신서비스 제공자와 CISO 겸직이 제한되는 정보통신서비스 제공자의 범위를 규정했다. CISO 자격요건도 마련했다.

시행령 개정안(제36조의6)에 따르면, ▲전기통신사업법에 따른 부가통신사업자 ▲소상공인보호 및 지원에 관한 법률에 따른 소상공인 ▲직전년도 말 기준 직전 3개월 간의 일일 평균 이용자 수가 100만명 미만이고 직전년도 정보통신서비스 부문 매출액이 100억원 미만인 소기업(전기통신사업자 및 집적정보통신시설 사업자 제외)은 CISO 지정·신고의무 대상에서 제외된다.

CISO 겸직이 제한되는 정보통신서비스 제공자는 전년도 말 기준 자산총액 5조원 이상인 자, 정보보호 관리체계 인증을 받아야 하는 자 중 전년도 말 기준 자산총액 5000억원 이상인 자로 규정했다.

CISO 자격요건은 정보보호 또는 정보기술 분야의 학력·경력 등이 기준이다. 재입법예고된 개정안에서는 CISO 기준이 한층 구체화됐다.

이에 따르면, CISO는 ▲정보보호 또는 정보기술 분야 석사학위 이상의 학위를 취득했거나 ▲정보보호 또는 정보기술 분야의 학사학위를 취득하고 정보보호 또는 정보기술 분야 업무를 3년 이상 수행한 경력이 있는 사람 ▲정보보호 또는 정보기술 분야의 전문학사학위를 취득하고 정보보호 또는 정보기술 분야 업무를 5년 이상 수행한 경력이 있는 사람 ▲정보보호 또는 정보기술 분야 업무를 10년 이상 수행한 경력이 있는 사람 ▲정보보호 관리체계 인증기관의 정보보호 관리체계 인증심사원 ▲해당 정보통신서비스 제공자의 정보보호 업무 관련 부서의 장으로 1년 이상 근무한 경력이 있는 사람이다.

다른 직무의 겸직이 제한된 CISO는 상근하는 자로서 다른 회사의 임직원으로 재직 중이지 아니한 자여야 한다. ▲4년 이상 정보보호 분야 업무를 수행한 경력자이거나 ▲2년 이상 정보보호 분야 경력자로 정보기술 분야 경력과 합해 5년 이상인 자로 지정하도록 했다.

CISO 겸직금지, 자격요건 개정 규정은 정보통신서비스 제공자가 시행령 시행 후 최초로 지정해 신고하는 CISO부터 적용된다.

과기정통부는 이번 시행령 개정안에 대한 의견을 국민참여입법센터(http://opinion.lawmaking.go.kr)를 통해 받고 있다.

<관련기사> CISO 의무지정 대상기업 4만1000개, 겸직금지 대상 123곳

<관련기사> 정보통신망법 개정…CISO 선임 의무 강화, 겸직 금지 명시

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network