오세정 의원 발의 정보통신망법 대안 국회 본회의 통과
현업 CISO들 우려의 뜻 나타내기도...실효성 확보가 관건
[보안뉴스 원병철 기자] 현재 대기업과 글로벌 기업 등 일부 기업만 지정하고 있는 정보보호최고책임자(CISO)가 의무화된다. 바른미래당 과방위 간사인 오세정 의원이 대표발의한 ‘정보통신망법 대안’이 28일 국회 본회의를 통과하면서, 앞으로 정보통신서비스 제공자(자산총액 및 매출액에 따라 제외 가능)는 의무적으로 CISO를 임명하게 됐다.
▲정보통신망법 대안 제45조의3[이미지=오세정의원실]
이번 정보통신망법 대안은 ‘제45조의3 ①’에서 ‘정보통신서비스 제공자는 임원급의 정보보호최고책임자를 지정하고, 과기정통부 장관에게 신고해야 한다’고 명시하고, 다만 ‘자산총액과 매출액에 따라 제외될 수 있다’고 여지를 남겼다.
또한, 신설된 ‘제45조의3 ③’에서는 ‘지정된 CISO는 지정업무외에 겸직할 수 없다’고 못 박아 겸직을 금지했다.
신설된 ‘제45조의3 ⑦’에서는 CISO의 자격요건 등에 필요한 사항은 대통령령으로 정한다고 지정함으로써 전자금융거래법의 CISO 규정처럼 CISO의 자격요건(전공, 경력, 자격)을 강화할 것을 예고했다.
법안을 발의한 오세정 의원은 “해킹과 개인정보유출 등 정보보안 사고가 날로 증가하는 지금, 국내 정보통신서비스기업들은 기업의 규모에 비해 정보보안에 대한 투자에 소홀했던 측면이 있으며, 많은 기업들이 CISO를 CTO가 겸임하면서 정보보안에 대한 투자와 관리가 명확히 이뤄지지 않았다”고 지적하고, “개정안 시행을 통해서 국내 정보통신서비스 제공기업들이 정보보안에 책임 있는 투자·관리에 나설 것으로 기대한다”고 밝혔다.
또한, 오 의원은 “현행 정보보호최고책임자 제도는 임명·신고와 관련한 기준이 없어 형식적으로 운영되고 있는 등 제도개선이 시급한 상황이었다”며 “개정안을 통해 기업 규모에 따라 자격기준을 갖춘 임원급·전임 CISO를 지정·신고하는 의무를 부과해 기업의 정보보안 역량 강화를 유도하고자 했다”고 밝혔다.
국회 본회의를 통과한 정보통신망법 대안은 대통령 재가를 거친 후 공포되며, 1년의 유예기간을 거친 후 시행된다. 때문에 이번 대안은 늦어도 2019년 6월경에는 시행될 것으로 예상된다.
대안에 명시되지 않은 CISO 지정 의무를 결정지을 자산총액/매출액과 CISO의 자격기준은 대안이 통과된 후, 마련되는 시행령 등에서 정확하게 가려질 것으로 보인다. 다만 CISO 자격기준의 경우 전자거래기준법상의 CISO 자격기준을 그대로 따를 가능성이 높다고 과기정통부 관계자는 설명했다.
한편, 이번 정보통신망법 대안의 국회 본회의 통과와 관련해 현업의 CISO들은 우려의 뜻을 나타내기도 했다. 이번 대안이 적정한 시점에 발의됐고, 정치권의 관심이 많다는 점은 고무적이나, 법적 규제로 시행되어도 실제 기업 내에서 실효성이 담보될 수 있을지 의문이며, 전반적으로 과다한 규제라는 의견이 제기됐다. 또한, CISO를 임원급으로 지정하더라도 기업에서 실제 임원 대우를 안 해주는 문제가 생길 수 있으며, 임원은 대부분 계약직이므로 더 불리하게 작용할 수 있을 것이라는 의견도 나왔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>