그동안 혼선을 빚어 왔던 정보보호 최고책임자(CISO)에 대한 정보통신망법 시행령 일부개정안이 8월 3일 입법예고됐다.

주요 개정 내용으로는 겸직금지 대상인 자산 5조원 이상 기업 CISO는 명확하게 상법상 '이사'(혹은 집행임원)로 명시되고, CISO 겸직금지 의무 위반에 따른 과태료 부과규정이 신설됐다.

개정 전에는 '임원급'이라는 모호한 표현을 사용해 혼선이 있었고, CISO 임명을 하지 않아도 별도로 처벌할 규정 없었던 점을 감안하면 진일보한 개정이라고 볼 수 있다.

과기정통부는 이번 일부개정안에 대해 “기존 정보보호 최고책임자의 획일적 지위(임원급)를 기업규모에 따른 임직원으로 세분화하고, 정보보호 필요성이 큰 중기업 이상으로 신고 및 개인정보 보호책임자 등 유사 정보보호 관련 업무도 수행 할 수 있도록 겸직제한 완화 등을 주요 내용으로 하고 있다”고 설명했다.

주요 개정 내용은 다음과 같다.

△기업규모별 정보보호 최고책임자 지위(임원급) 기준을 구체화했다.(안 제36조의7제1항 신설) 겸직제한 대상 기업을 제외한 중기업 이상은 부서장급 정보보호 최고책임자도 지정 가능하도록 개정한 것이다.

겸직제한 대상 기업은 직전 사업연도 말 자산총액 5조원 이상이거나, 정보보호 관리체계(ISMS) 의무대상 중 자산총액 5천억 원 이상인 자다.

△정보보호 최고책임자 신고의무 제외대상자를 명확화했다.(안 제36조의7제2항 개정) 정보보호 필요성이 큰 ‘중기업’ 이상으로 정보보호책임자를 신고하도록 했다.

△신고의무 없는 자의 경우 별도의 지정이 없는 경우 대표이사로 간주한다는 규정을 마련해 법적 혼란을 방지했다.(안 제36조의7제3항 신설)

△정보보호 최고책임자 신고 기한을 당초 90일에서 180일로 연장했다.(안 제36조의8 개정)

△겸직금지의무에 대한 과태료 규정이 신설되어 중앙전파관리소에 행정처분에 대한 권한 위임 규정을 마련했다.(안 제70조제1항제2호, 제2항제1호, 제2항제8호 개정)

△한국인터넷진흥원에 정보보호 최고책임자의 정보보호 역량 강화를 지원할 위탁근거를 마련했다.(안 제70조제5항 신설)

△정보보호 최고책임자 지정신고의무 위반 과태료 완화 및 겸직금지 의무 위반 시 과태료 부과를 신설했다.(제74조 별표9)

이번 개정안에 대해 박나룡 보안전략연구소장은 “기업 규모별 정보보호 최고책임자 지위 기준과 신고의무 제외 대상자, 겸직 금지 기준 등을 구체화한 것은 일부 혼란스러웠던 부분을 해소시켜 줬다는데 의미가 있다”며 “다만, 겸직제한 대상 기업이 아닌 중기업 이상에서 부서장급 정보보호 최고책임자 지정이 가능하게 된 부분을, 기업들이 부서장에게만 책임을 전가시키는 방식으로 악용하지 않도록 하는 방안도 함께 고민할 필요가 있다”고 의견을 전했다.

이어 “장기적으로, 정보보호 책임자 지정을 완화해주는 방식보다는 정보보호 최고책임자나 개인정보보호 책임자 역할을 수행할 수 있는 역량있는 인재들이 양성될 수 있는 토대를 마련하는 것이 필요하다”고 덧붙였다.

이번 개정안에 대해 의견이 있는 기관·단체 또는 개인은 오는 9월 13일까지 국민참여입법센터를 통해 온라인으로 의견을 제출하면 된다.

★정보보안 대표 미디어 데일리시큐!★