"CISO 겸직하면 과태료"…법 개정 추진에 보안업계 '환영'

[아이뉴스24 최은정 기자] 정보보호최고책임자(CISO)에 임원급이 아닌 인사를 지정하거나 보안 외 업무를 겸할 경우 처벌하도록 하는 내용의 법안이 추진되자, 보안 업계·학계가 이를 반기고 있다.

그간 '임원급'이라는 지위가 모호해 이를 악용하는 등 제도의 실효성이 떨어진다는 얘기가 많았기 때문이다. 다만 신고 의무는 면제해줬지만 소규모 기업이 CISO를 지정하도록 한 데 대해선 채용 여력 등을 우려하는 목소리도 나온다.

29일 업계에 따르면 김영식 의원(국민의힘)은 이 같은 내용의 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령 일부개정안을 지난 25일 대표 발의했다.

이번 개정안은 CISO의 지위와 업무를 대통령령에 위임, 임원급에 대한 세부기준을 정하도록 한 게 골자다. 대기업은 상법상 임원, 중견기업은 부장급 등 임원 직속, 소기업은 대표이사로 규정했다.

또 제도의 실효성을 높이기 위해 임원급이 아닌 CISO를 지정하거나 CISO에 정보보호 외 업무를 겸직하게 할 경우 과태료를 부과하는 규정도 포함됐다.

신고를 하지 않거나 혹은 임원급이 아닌 CISO를 신고했을 경우 1~3회 위반 시 각각 500만원, 1천만원, 1천500만원(3회 이상 포함)이 부과된다. 또 겸직 시에는 1~3회 위반 과태료가 각각 1천만원, 2천만원, 3천만원(3회 이상 포함)이다.

그동안 일부 기업에서 '임원급'이라는 모호한 표현을 악용해 실제 임원급이 아닌 직원을 CISO를 신고하는 등 주먹구구식으로 운영하는 사례가 많았기 때문이다.

실제로 과학기술정보통신부가 김영식 의원실에 제출한 자료에 따르면 지난 9월 기준 대림산업, SK인천석유화학, 주택도시보증공사, GS에너지가 CISO 업무 전담 직원을 임원급이 아닌 부장, 차장 등으로 지정한 것으로 나타났다.

또 현대오일뱅크의 경우 부장급 직원이 IT기획 등 업무와 CISO 업무를 겸하고 있었으며, 계명대동산병원, 소노호텔앤리조트, LG유플러스, 쿠팡, 한국수력원자력은 임원급 인사가 CISO 업무와 다른 업무를 겸직하고 있는 것으로 조사됐다.

이동범 한국정보보호산업협회(KISIA) 회장은 "그동안 팀장, 일반 사원급을 CISO로 지정해 형식적으로만 CISO를 갖춘 기업들이 있었다"며 "본래 CISO의 역할은 보안 리스크 등을 제대로 책임·관리할 수 있어야 하기 때문에 어느 정도 권한이 있는 사람을 지정해야 하는 것이 맞다"고 설명했다.

이어 "이번 개정안은 이를 방지하기 위한 차원의 개정안이라고 본다"고 덧붙였다.

염흥열 순천향대 정보보호학과 교수는 "(이번 개정안을 통해) 임원급 CISO 임명을 통해 기업의 보안 거버너스 책임성과 정책 이행의 효과성이 커질 것"이라고 말했다.

소규모 기업의 경우 CISO를 신고하지 않더라도 지정해야 한다는 점에 대해서는 우려의 목소리도 냈다.

이해원 국립목포대 교수 겸 변호사도 "기존에는 CISO를 겸직시키더라도 과태료를 부과하는 조항이 없었으나 이번에 해당 조항이 신설되는 것은 일부 의미가 있다"면서도 "개정안대로라면 소규모 기업이 CISO를 반드시 지정하고 망법(제45조의3 제4항)에 따른 각종 업무도 수행해야 하는데 그러한 여력이 있을지 의문"이라고 지적했다.

그러면서 "해당 업무를 제대로 하려면 CISO 자격이 있는 자를 추가로 채용해야 할 것으로 보여 기업들에 부담으로 다가올 것"이라고 했다.

현행 정보통신망법 제45조의3 제4항에서 지정한 CISO의 업무에는 정보보호관리체계의 수립 및 관리·운영, 정보보호 취약점 분석·평가 및 개선, 침해사고의 예방·대응, 사전 정보보호대책 마련 및 보안조치 설계·구현 등, 정보보호 사전 보안성 검토 등이 포함돼 있다.

최은정 기자 ejc@inews24.com