지난 11월 7일 오세정 의원 외 10인(오세정, 신용현, 김중로, 김경진, 송기석, 이용호, 장정숙, 김삼화, 김종회, 김정재 의원)은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정통망법) 일부개정안을 발의했다.

주요 내용은 △정보통신서비스 제공자는 정보보호 최고 책임자를 임원으로 지정하고 신고해야 한다. 또 △임원으로 지정된 정보보호 최고책임자의 겸직을 금지(신설)하고 △정보보호 최고책임자의 자격요건 등을 대통령령으로 정하도록 한다는 내용이다.

이번 개정안을 발의한 이유에 대해 오세정 의원은 “연이어 발생하는 해킹사고로 기업에서 정보보안을 위한 기술적 대책과 법률대응까지 책임지는 정보보호 최고책임자(CISO)의 중요성이 날로 높아지고 있다”며 “금융권에서는 신용카드사 개인정보유출 이후, 전자금융거래법상 정보보호 최고책임자의 지정에 대한 규정을 강화했음에도, 정보유출 위협이 가장 큰 정보통신서비스 제공자의 정보보호 최고책임자 지정 및 신고 규정은 형식적으로 운영되고 있어 이에 대한 보완이 시급했기 때문”이라고 밝혔다.

이에 정보통신망법의 정보보호 최고책임자 관련 규정을 개정해 ‘전자금융거래법’이 정하는 수준인 중소 사업자를 제외한 대규모 사업자의 임원급 CISO 선임, 정보보호 업무 외 겸직 금지와 정보보호최고책임자의 자격요건을 법령으로 정하도록 하고자 한 것이다.

보안업계 관계자는 “CISO 전담제가 보안생태계 활성화 측면에서 핵심이라고 생각한다”며 “한국 기업들의 정보보호 수준 제고를 위해서도 꼭 필요한 사안이다. 꼭 통과되길 바란다”고 밝혔다.

한편 미래부는 이번 ‘CISO 전담제’ 실시 개정안에 대해 정보통신사업자의 부감이 커진다는 측면에서 다소 부정적인 의견을 내고 있지만 국가 전반에 CISO 전담제가 실시되어야 한다는 대세는 거스를 수 없을 것으로 보인다. 현재 국내 전담 CISO는 100명도 채 되지 않는 것을 감안하면 국내 정보보호 수준제고를 위해서라도 미래부가 보다 더 앞장서야 할 사안이다.

발의한 의원들은 CISO 전담제 실시가 시행하는데 특별히 예산이 필요한 것이 아니기 때문에 법안 통과를 낙관하고 있는 분위기다.

다만 개정안 통과 후에 대통령 시행령에서 일정수준의 정보통신 서비스 사업자의 기준을 선정하는데 있어 고객개인정보 보유량이나 직원수 규정 등이 관건이다.  

모 기업 CISO는 “우리나라에서 임원급 전담 CISO가 300명 이상이 된다면 정보보호 수준제고와 정보보호 생태계의 선순환에 결정적인 계기가 될 것”이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★