정보보호최고책임자(CISO) 제도를 손질한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 시행령’ 개정안이 6월 4일 국무회의를 통과했다.

과학기술정보통신부(장관 유영민)은 향후 공포절차를 거쳐 이달 13일부터 시행될 예정이라고 밝혔다.

개정된 정보통신망법 시행령은 정보보호 최고책임자 지정·신고 의무 대상에서 자본금 1억원 이하의 부가통신사업자, 소상공인, 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 등을 제외했다.

이에 따라 정보보호 최고책임자 지정·신고 의무대상 정보통신서비스 제공자는 19만9000여개에서 3만9000여개로 감소했다. 소상공인, 소기업 등은 정보보호 관련 학력·경력 등을 갖춘 정보보호 최고책임자 지정·신고 의무의 부담을 완화하게 됐다.

CISO는 정보보호 관련 학력·경력 등의 자격요건을 갖춘 자를 지정·신고하도록 했다.



특히 다른 직무의 겸직이 제한되는 CISO는 일반 자격요건을 갖추고 상근하는 자로 ▲정보보호 업무를 4년 이상 수행한 경력이 있는 사람 ▲정보보호와 정보기술 업무 수행 경력을 합산한 기간이 5년 이상(그 중 2년 이상은 정보보호 업무 수행 경력)인 사람으로 지정·신고토록 해 자격요건을 더 강화했다.

자산총액 5조원 이상인 정보통신서비스 제공자, 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억 원 이상 기업 CISO는 다른 직무 겸직을 제한한다.

과기정통부는 정보보호의 전문성과 경험을 갖춘 전문가가 정보통신서비스 제공자의 정보보호 업무를 담당하게 됨으로써, 기업의 사이버 침해사고 대응능력이 강화될 것이란 기대를 나타냈다.

오용수 과기정통부 정보보호정책관은 “이번 CISO 제도 개선은 대기업, 중견기업, 중기업, 소기업 등 기업 규모에 따라 의무 부담을 차등화해 규제 부담을 합리화했다”면서 “사이버 위협과 사고 위험 증가가 우려되는 초연결 환경에서 5G 안전한 이용 환경 마련에 기여할 것으로 기대한다”고 말했다.

한편, 과기정통부는 정보통신서비스 제공자 CISO 자격요건, 겸직제한 제도가 올해 처음 신설된 점을 고려해, 적정 계도기간을 둔다. CISO 지정·신고를 독려하고, 계도기간이 지난 후 지정·신고 의무를 위반한 사업자에 대해 과태료 처분 등 조치할 계획이다.

CISO 지정·신고는 과학기술정보통신부 전자민원센터(www.emsit.go.kr)를 통해 온라인으로 신고하거나, 관할 전파관리소에 신고(방문, 우편, 팩스 등)할 수 있다.

<관련기사> CISO 겸직금지 의무대상 기업 126곳 “CISO·CPO 업무 분리해야”

과기정통부 CISO 관련 정보통신망법 시행령 Q&A

* 정보통신망법과 전자금융거래법의 관계

Q. 전자금융거래법 적용대상인 금융회사, 전자금융업자의 정보통신망법 적용 여부



A. 정보통신망법은 정보통신망 이용촉진 및 정보보호 등에 관해 다른 법률에 특별히 규정된 경우 외에는 정보통신망법을 따르도록 규정(제5조). 따라서 CISO에 관해 정보통신망법은 일반법, 전자금융거래법은 특별법의 관계에 있으므로 전자금융거래법 적용

* 정보통신서비스 제공자의 의미

Q. 정보통신망법은 정보통신서비스 제공자를 “전기통신사업자와 영리를 목적으로 전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개하는 자“로 규정함. 이 경우 단순히 홈페이지를 운영하는 기업(실제 영리 행위는 없음)이 정보통신서비스 제공자에 해당하는지 여부

A. 정보통신망법은 구체적 영리행위 존재유무를 정보통신서비스 제공자의 요건으로 규정하지 않음. 영리 목적의 기업이 홈페이지를 운영할 경우 정보통신서비스 제공자에 해당

Q. 홈페이지를 운영하는 기업이 홈페이지 운영·관리에 관한 업무 일체를 다른 회사에 위탁한 경우, 정보통신서비스 제공자에 해당하는지 여부

A. 위탁기업과 수탁기업의 계약에 따른 내부 법률관계는 별론으로 하고, 이용자와 대외관계에 있어서 책임자는 홈페이지 운영 기업이므로 정보통신서비스 제공자에 해당

Q. 해외사업자는 CISO를 신고해야하는 정보통신서비스 제공자에 해당하는지 여부 

A. 법률 적용의 일반원칙에 따라 판단 필요. 정보통신망법은 인적으로 내국인, 내국법인 등에 장소적으로 대한민국 내에서 영리를 목적으로 정보통신서비스를 제공하는 자에 적용

Q. 비영리법인이 홈페이지를 운영하며, 일부 영리행위를 하는 경우 정보통신서비스 제공자에 해당하는지 여부 

A. 정보통신서비스 제공자 해당여부는 영리법인과 비영리법인의 구분에 따른 것이 아니라, 영리목적 여부 등에 따른 것이므로 정보통신서비스 제공자에 해당

* CISO의 자격요건

Q. 정보통신망법 시행령 개정안은 CISO의 일반 자격요건과 겸직제한된 CISO의 특별 자격요건을 각각 규정. 이 경우 겸직이 제한된 CISO는 CISO의 일반 자격요건도 갖춰야 하는지 여부

A. 정보통신망법 시행령 개정안은 CISO의 일반 자격요건과 겸직제한 대상기업 CISO의 특별 자격 요건을 각각 규정. 따라서 겸직이 제한된 CISO는 일반 자격요건과 특별 자격요건을 모두 갖출 필요가 있음.

Q. CISO의 일반 자격요건으로 상근자를 규정하지 않음. 이 경우 다른 기업 재직자나 해당 기업 비상근자를 CISO로 지정할 수 있는지 여부

A. 정보통신망법 및 시행령 개정안은 CISO의 일반 자격요건으로 임원급의 지위와 학력·경력 등만을 규정하고 있음. 따라서 다른 기업의 재직여부 및 해당 기업의 상근여부는 자격요건과 관계없음



Q. CISO를 국외거소자 또는 국내거소 외국인으로 지정 가능한지 여부

A. 정보통신망법은 CISO의 국내 거소 유무나 국적에 관하여 별도의 규정을 마련하고 있지 않음. 국내거소 여부와 국적은 CISO의 자격요건과 관계없음

Q. CISO의 자격요건을 정보보호 관련 학력·경력을 갖추도록 규정. 이 경우 학위 취득 시기와 경력의 선·후관계

A. 정보보호 관련 학력과 경력을 갖추면 되고, 선·후는 관계없음

Q. 정보보호 관련 학력·경력의 증명방법

A. 졸업증명서 또는 경력증명서 등으로 증명 가능. CISO 신고 시 제출서류에는 포함되지 않으나 법 위반 여부 등을 판단하기 위한 자료제출 요구 대상이 될 수 있음(법 제64조)

Q. 정보통신망법 시행령 개정안은 해당 정보통신서비스 제공자의 정보보호 업무 관련 부서의 장으로 근무한 경력(1년 이상)이 있는 사람을 CISO 자격요건 중 하나로 규정. 이 경우 정보보호 업무 관련 부서의 장의 구체적 범위

A. 부, 팀 등 명칭에 관계없이 정보보호 업무를 담당하는 별도 조직이 있는 경우 해당 조직의 책임자를 의미. 여기서 별도조직이란 책임자와 업무 담당자가 정보보호 업무를 수행하는 부서

* 임원급의 의미

Q. 정보통신망법 상 CISO는 임원급으로 지정하도록 규정. 이 경우 임원급의 구체적 범위

A. 정보통신망법에 임원급의 범위에 대한 명시적 규정은 없음. 법인세법 시행령(제40조제1항)상 임원 관련 규정을 준용해 적용. 규정상 임원은 법인의 이사회 구성원, 감사 등과 그에 준하는 직무에 종사하는 자(참고. 전자금융거래법은 상법상 임원으로 명시)

* CISO 신고 대상

Q. 한 법인 내에 여러 개의 사업장이 있는 경우, 사업장마다 CISO 지정·신고할 수 있는지

A. 법인을 기준으로 CISO 지정·신고의무 이행여부를 판단. 법인에 CISO를 두고 사업장별 보안책임자를 둘 수는 있으나, 보안책임자가 CISO에는 미해당

* CISO의 지위

Q. 정보보호 책임자 지위의 판단 기준

A. CISO의 지위는 형식적인 직위가 아니라 정보통신망법 제45조의3제4항 각 호에 따른 정보보호 업무를 실질적으로 책임지는 자가 누구인지에 따라 결정. 예를 들어 CFO가 하위 직위로 형식상 CISO의 직위를 두고 해당 회사의 정보보호 업무의 책임을 수행하는 경우 CISO는 (직위 상의 CISO가 아니라) CFO이므로, CFO 겸직 제한 문제 발생

Q. 기업집단의 계열회사인 SI업체 또는 보안업체가 기업집단의 개별 회사에 대한 정보보호 업무를 수행하는 경우 SI업체 또는 보안업체의 CISO가 개별 회사의 CISO의 지위를 가질 수 있는지

A. 정보통신망법은 계열회사 관계를 규율하지 않음. 개별 법인별로 임원급의 CISO를 두어야 함. 다만 계열회사의 SI업체 또는 보안업체의 CISO가 겸직제한 대상에 해당하지 않을 경우 겸직제한 대상에 해당하지 않는 다른 계열사의 정보보호 최고책임자 겸직이 가능

* 겸직제한 대상 기업의 기준

Q. 정보통신망법 시행령 개정안은 직전년도 기준 자산총액 5조원 이상인 자 또는 ISMS 인증을 받아야 하는 자 중 자산총액 5000억원 이상인 자를 CISO 겸직금지 대상으로 규정. 이 경우 기업집단의 자산총액 산정은 계열회사 전체의 자산총액 기준인지 개별 계열회사 기준인지 여부

A. 정보통신망법은 계열회사 관계를 규율하지 않음. 자산총액 기준은 개별 법인별로 산정

Q. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수의 산정 방법

A. 전년도 10월〜12월의 순 방문자수(UV)의 일일 평균. 동일 IP 방문자 수 기준 1명으로 산정.

Q. 전년도 정보통신서비스 부문 매출액의 산정 방법

A. 정보통신서비스 제공을 통한 온라인 판매, 광고, 콘텐츠 제공 등으로 인한 수익과 부가수익, 수수료 수입 등 관련 매출액의 총합

* CISO의 겸직 제한업무 범위

Q. 정보통신망법 상 대규모 기업 등은 정보보호 업무 외에 다른 업무 겸직이 제한. 이 경우 겸직제한 대상에 CPO도 포함되는지 여부

A. 정보통신망법(제45조의3제3항 및 제4항)은 CISO의 업무를 명시하고, 이 이외의 다른 업무의 겸직이 제한됨을 규정. CPO는 정보통신망법의 별도 조항(제27조제1항)에서 해당 업무를 이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리로 규정. 따라서 원칙적으로 CISO와 CPO는 겸직이 제한됨

Q. (CISO 겸직이 제한되는 정보통신서비스 제공자) CISO가 총괄하는 조직의 하위 부서로 정보자원 운영·관리(CIO), 보안업무(CSO) 등을 담당하는 조직을 둘 수 있는지 여부

A. 정보통신망법 제45조의3제4항은 명시돼 있는 CISO 업무 이외의 다른 업무의 겸직이 제한됨을 규정. 기업별 CIO 및 CSO 업무의 범위는 특정할 수 없으므로 CISO의 하위조직으로 CIO, CSO 담당 조직을 둘 수 있는지 판단하기는 곤란. 개별적으로 해당 업무가 정보통신망법 제45조의3제4항제7호의 “그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행”에 관한 사항인지 판단 필요

Q. 인프라(서버, 네트워크) 운영·관리업무가 정보보호 업무 포함 여부

A. 정보보안의 차원에서 운영·관리하는 서버·네트워크 관련 업무는 정보보호 업무에 해당

Q. 프로그램 개발업무가 정보보호 업무에 포함되는지 여부

A. 자체 보안 프로그램 개발 업무 등은 정보보호 업무에 해당되나, 일반 프로그램 개발업무는 정보보호 업무에 미해당

Q. 보안서비스 사업이 정보보호 업무에 포함되는지 여부

A. 기업 내부의 정보보호 서비스는 정보보호 업무에 해당되나, 다른 기업에 대한 보안서비스 사업은 정보보호 업무에 미해당

Q. 정보보안 업무를 담당하는 총무책임자의 겸직 여부

A. 정보보안 업무와 총무업무를 겸직하는 것으로 볼 수 있음

* 겸직제한 대상규정 적용시기

Q. 개정 시행령 시행 전 신고한 CISO의 겸직 가능 여부

A. 개정 시행령에 겸직제한 규정 적용과 관련한 별도의 규정이 없으므로 겸직제한 규정은 개정 시행령 시행일부터 효력 발생. 법제처 심사에 따라 입법예고 원안 부칙에서 규정했던 겸직제한에 대한 적용례가 삭제됨(위임근거 없음)

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network