.gif)
3줄 요약
1. “정보보호 인프라, 수도권 위주로 편중...지역 중소기업 CISO 어려움 토로”
2. CISO 권한과 역할 강화 통한 기업내 정보보호 거버넌스 변화 필요
3. 지역의 영세·중소기업 CISO에 대한 정보보호 활동 지원에 최선
[보안뉴스 김경애 기자] 정보보호 최고책임자(CISO, Chief Information Security Officer)는 기업의 정보보호 업무를 총괄하는 최고책임자를 뜻한다.
▲중앙전파관리소 김정삼 소장[사진=중앙전파관리소]
CISO를 지정하고 신고해야 하는 사업자는 정보통신망법에 의거, 자본금 1억원을 초과하는 중기업 이상의 정보통신서비스제공자이다. 신고 대상자는 영리목적의 정보통신서비스제공자로 △상법상의 상인 및 회사 △공사·발전사 등 공기업 △정보통신서비스를 제공하는 의료기관, 금융회사 등이 해당된다.
이는 2014년 5월 개정된 정보통신망법(제45조의3 및 시행령 제36조의7)에 따른 CISO 지정·신고제도에 의해, 과기정통부 소속 중앙전파관리소에 신고해야 한다. 이를 위반할 경우 3천만원 이하의 과태료가 부과된다.
중앙전파관리소는 과학기술정보통신부에서 추진하는 전파·통신·방송 및 정보보호 정책과 법령에 따른 기술기준, 의무사항 등에 대해 현장에서 점검·조사·단속 등을 수행하는 78년된 과학기술정보통신부 소속기관이다.
1947년 전파감시업무로 개시한 중앙전파관리소는 그동안 전파관리 및 유·무선 방송통신사업자 관리가 주된 업무였으나, 2018년 KT 아현국사 화재, 2022년 SK C&C 데이터센터 화재 등으로 디지털 재난대비 업무가 추가됐고, 최근에는 보이스피싱 예방을 위한 전화번호 거짓표시 검사업무로 국민 피해 예방을 적극 추진하는 등 ‘디지털 재난 위기 대응 전담기관’ 역할로 기능을 확대해 나가고 있다.
이 가운데 중앙전파관리소의 CISO 관리 업무에도 이목이 관심이 모아지고 있다. 지난해 △권역별 CISO 순회 교육 △CISO 역량강화 워크숍 공동 개최 등 기업 CISO들에 대한 지원에 집중했기 때문이다.
2024년도에 최초로 추진한 권역별 CISO 순회 교육과 관련해 김정삼 소장은 “지역 기업 CISO들의 정보보호 역량 강화를 위해 주요 사건사고 판례, 보안사고 대응사례, 현직 CISO 보안 노하우 공유 등의 교육을 실시했다”며 “전국 7개 권역에서 약 400여명이 참석했는데, 호응이 높았다”고 말했다.
또한, KISA의 정보보호지원센터가 없는 제주 지역의 경우 2024년 7월 정보보호협의회를 발족해 보안 사각지대에 놓인 지역 기업들을 대상으로 보안 교육, 취약점 점검 등을 지원했다.
하지만 중소기업의 경우 정보보호 강화가 쉽지 않다. ISMS 인증, 보안 시스템 구축 등 보안투자 여력이 미흡하고, 정보보호 인프라도 수도권 위주로 편중돼 있기 때문이다.
이러한 애로사항을 해소하기 위해 김정삼 소장은 “지역전파관리소가 지자체, 유관기관 등과의 협업을 통해 지역 중소기업 대상으로 취약점 점검, 보안 교육 및 홍보, CISO간 네트워킹 구축 등을 지원하고 있다”며 “지역의 정보보호 활동을 지원하고, 지역 기업 CISO와의 협력을 통해 수도권과 지방의 균형 있는 정보보호 성장에 집중할 방침”이라고 밝혔다.
중앙전파관리소의 2025년 주요 업무계획은 △CISO 정보보호 역량강화 교육 △지역 CISO 협의회 구성·운영 △CISO 기업 정보보호 활동 지원 강화 등이다.
김정삼 소장은 “기업 내부에서 CISO가 제대로 일할 수 있도록 CISO 역할에 대한 인식 제고와 함께 CISO의 역할 강화가 필요하다”며 “CISO 역량강화 교육으로 유사업종 현직 CISO의 사고사례 및 대응 노하우 프로그램 강화와 수요와 공급 매칭을 통해 지역 기업이 기업 환경에 적합한 보안제품을 경험할 수 있도록 기회를 제공할 것”이라고 말했다. 이어 “특히, 정보보호 기업과 기업 CISO간 비즈니스 매칭 등 상호 협력을 위해 한국정보보호산업협회(KISIA)와 한국인터넷진흥원(KISA)과도 긴밀히 협업할 것”이라고 말했다.
또한, 김 소장은 “지역 CISO들 간의 정보공유 및 네트워크 구축과 정보보호 기업과의 상호협력을 지원하기 위해 부산·대구전파관리소를 시작으로 지역 CISO 협의회 구성·운영을 지원할 것”이라며, “부산전파관리소는 2024년 3월 구축된 동남정보보호클러스터와 협력해 경남지역의 정보보호 자생력을 강화하고, 대구지역은 정보보호에 대한 관심도가 높은 만큼 대구전파관리소와 협업해 좋은 성과를 낼 수 있을 것”이라고 기대감을 나타냈다.
아울러 “CISO 미신고 사업자 실태 파악 및 신고 계도를 위한 홍보활동, 신고 이후 폐업된 사업자 조사 등 CISO 현황 관리도 강화할 예정이며, 정보보호 우수사례집 발간을 통해 CISO 기업의 정보보호 활동 지원 및 CISO 지원 신규예산 편성에 노력하겠다”고 덧붙였다.
▲중앙전파관리소 전경[사진=중앙전파관리소]
김정삼 소장은 “2만 9천여 개에 달하는 CISO 신고 기업 중 정부의 정보보호 지원사업, ISMS 인증 의무 부여 등을 통해 일정수준 이상의 정보보호 체계를 구축하거나 전문인력 확보 및 보안 투자가 가능한 기업은 1천여 개에서 많아야 2천여 개 기업에 불과하며 정보보호 활동에 소외된 나머지 대다수의 영세·중소기업들은 각종 사이버 위협의 표적이 되고 있다”며, “중앙전파관리소는 정보보호 관리체계 구축에 어려움을 겪는 지역의 영세·중소기업 CISO에 대한 정보보호 활동 지원에 최선을 다하겠다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
1. “정보보호 인프라, 수도권 위주로 편중...지역 중소기업 CISO 어려움 토로”
2. CISO 권한과 역할 강화 통한 기업내 정보보호 거버넌스 변화 필요
3. 지역의 영세·중소기업 CISO에 대한 정보보호 활동 지원에 최선
[보안뉴스 김경애 기자] 정보보호 최고책임자(CISO, Chief Information Security Officer)는 기업의 정보보호 업무를 총괄하는 최고책임자를 뜻한다.
▲중앙전파관리소 김정삼 소장[사진=중앙전파관리소]
CISO를 지정하고 신고해야 하는 사업자는 정보통신망법에 의거, 자본금 1억원을 초과하는 중기업 이상의 정보통신서비스제공자이다. 신고 대상자는 영리목적의 정보통신서비스제공자로 △상법상의 상인 및 회사 △공사·발전사 등 공기업 △정보통신서비스를 제공하는 의료기관, 금융회사 등이 해당된다.
이는 2014년 5월 개정된 정보통신망법(제45조의3 및 시행령 제36조의7)에 따른 CISO 지정·신고제도에 의해, 과기정통부 소속 중앙전파관리소에 신고해야 한다. 이를 위반할 경우 3천만원 이하의 과태료가 부과된다.
중앙전파관리소는 과학기술정보통신부에서 추진하는 전파·통신·방송 및 정보보호 정책과 법령에 따른 기술기준, 의무사항 등에 대해 현장에서 점검·조사·단속 등을 수행하는 78년된 과학기술정보통신부 소속기관이다.
1947년 전파감시업무로 개시한 중앙전파관리소는 그동안 전파관리 및 유·무선 방송통신사업자 관리가 주된 업무였으나, 2018년 KT 아현국사 화재, 2022년 SK C&C 데이터센터 화재 등으로 디지털 재난대비 업무가 추가됐고, 최근에는 보이스피싱 예방을 위한 전화번호 거짓표시 검사업무로 국민 피해 예방을 적극 추진하는 등 ‘디지털 재난 위기 대응 전담기관’ 역할로 기능을 확대해 나가고 있다.
이 가운데 중앙전파관리소의 CISO 관리 업무에도 이목이 관심이 모아지고 있다. 지난해 △권역별 CISO 순회 교육 △CISO 역량강화 워크숍 공동 개최 등 기업 CISO들에 대한 지원에 집중했기 때문이다.
2024년도에 최초로 추진한 권역별 CISO 순회 교육과 관련해 김정삼 소장은 “지역 기업 CISO들의 정보보호 역량 강화를 위해 주요 사건사고 판례, 보안사고 대응사례, 현직 CISO 보안 노하우 공유 등의 교육을 실시했다”며 “전국 7개 권역에서 약 400여명이 참석했는데, 호응이 높았다”고 말했다.
또한, KISA의 정보보호지원센터가 없는 제주 지역의 경우 2024년 7월 정보보호협의회를 발족해 보안 사각지대에 놓인 지역 기업들을 대상으로 보안 교육, 취약점 점검 등을 지원했다.
하지만 중소기업의 경우 정보보호 강화가 쉽지 않다. ISMS 인증, 보안 시스템 구축 등 보안투자 여력이 미흡하고, 정보보호 인프라도 수도권 위주로 편중돼 있기 때문이다.
이러한 애로사항을 해소하기 위해 김정삼 소장은 “지역전파관리소가 지자체, 유관기관 등과의 협업을 통해 지역 중소기업 대상으로 취약점 점검, 보안 교육 및 홍보, CISO간 네트워킹 구축 등을 지원하고 있다”며 “지역의 정보보호 활동을 지원하고, 지역 기업 CISO와의 협력을 통해 수도권과 지방의 균형 있는 정보보호 성장에 집중할 방침”이라고 밝혔다.
중앙전파관리소의 2025년 주요 업무계획은 △CISO 정보보호 역량강화 교육 △지역 CISO 협의회 구성·운영 △CISO 기업 정보보호 활동 지원 강화 등이다.
김정삼 소장은 “기업 내부에서 CISO가 제대로 일할 수 있도록 CISO 역할에 대한 인식 제고와 함께 CISO의 역할 강화가 필요하다”며 “CISO 역량강화 교육으로 유사업종 현직 CISO의 사고사례 및 대응 노하우 프로그램 강화와 수요와 공급 매칭을 통해 지역 기업이 기업 환경에 적합한 보안제품을 경험할 수 있도록 기회를 제공할 것”이라고 말했다. 이어 “특히, 정보보호 기업과 기업 CISO간 비즈니스 매칭 등 상호 협력을 위해 한국정보보호산업협회(KISIA)와 한국인터넷진흥원(KISA)과도 긴밀히 협업할 것”이라고 말했다.
또한, 김 소장은 “지역 CISO들 간의 정보공유 및 네트워크 구축과 정보보호 기업과의 상호협력을 지원하기 위해 부산·대구전파관리소를 시작으로 지역 CISO 협의회 구성·운영을 지원할 것”이라며, “부산전파관리소는 2024년 3월 구축된 동남정보보호클러스터와 협력해 경남지역의 정보보호 자생력을 강화하고, 대구지역은 정보보호에 대한 관심도가 높은 만큼 대구전파관리소와 협업해 좋은 성과를 낼 수 있을 것”이라고 기대감을 나타냈다.
아울러 “CISO 미신고 사업자 실태 파악 및 신고 계도를 위한 홍보활동, 신고 이후 폐업된 사업자 조사 등 CISO 현황 관리도 강화할 예정이며, 정보보호 우수사례집 발간을 통해 CISO 기업의 정보보호 활동 지원 및 CISO 지원 신규예산 편성에 노력하겠다”고 덧붙였다.
▲중앙전파관리소 전경[사진=중앙전파관리소]
김정삼 소장은 “2만 9천여 개에 달하는 CISO 신고 기업 중 정부의 정보보호 지원사업, ISMS 인증 의무 부여 등을 통해 일정수준 이상의 정보보호 체계를 구축하거나 전문인력 확보 및 보안 투자가 가능한 기업은 1천여 개에서 많아야 2천여 개 기업에 불과하며 정보보호 활동에 소외된 나머지 대다수의 영세·중소기업들은 각종 사이버 위협의 표적이 되고 있다”며, “중앙전파관리소는 정보보호 관리체계 구축에 어려움을 겪는 지역의 영세·중소기업 CISO에 대한 정보보호 활동 지원에 최선을 다하겠다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
