.gif)
CISO 지정 및 신고 의무대상 기업이라면 반드시 알아야 할 제도 개선사항과 관련 쟁점
과기정통부 정재욱 사이버침해대응과장, ‘정보보호최고책임자 지정·신고제도’ 가이드 발표
[보안뉴스 원병철 기자] 최근 산업 인프라 분야 제조기업 등 국내외 기업을 대상으로 한 사이버공격이 기승을 부리는 이때, 이러한 사이버 공격으로 인한 침해사고를 효과적으로 예방 및 대응하고, 침해사고 피해의 대내외 확산 방지를 위해 전문지식과 경험을 보유한 임원급 전문가가 필요한 상황이다. 이에 정부는 2012년 2월 정보통신망법 개정안에 임원급 정보보호최고책임자 지정 제도를 신설하고, 2014년 5월 정보보호최고책임자 지정 및 신고를 의무화했다. 이어 2018년 6월 정보보호최고책임자(이하 CISO) 지정 및 신고 의무대상을 개선하고, 겸직금지 및 자격요건 등을 규정했다.
[이미지=iclickart]
과학기술정보통신부 정재욱 사이버침해대응과 과장은 12월 26일 개최된 ‘CISO 심포지엄’에서 ‘정보보호최고책임자 지정·신고제도’를 주제로 발표했다. 정재욱 과장은 “기업의 정보시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무의 총괄 책임자를 CISO라고 정보통신망법 제45조의3 제1항에서 정의했다”고 설명하면서 CISO의 업무에 대해 설명했다.
또한, CISO와 개인정보보호책임자(CPO)는 정보보호 업무와 개인정보보호 업무의 책임자라는 측면에서 다르며, CISO가 정보통신망법에 근거를 두고 있다면 CPO는 개인정보보호법에 근거를 두고 있다고 설명했다.
특히, 정재욱 과장은 이번에 이슈가 된 CISO 제도 개선과 관련해 몇 가지 중점사항을 설명했다. 우선 CISO 지정 및 신고 의무대상은 과거 통신판매업자와 특수한 유형의 온라인서비스 제공자, 상시 종업원수 1천명 이상인 자에서 ‘정보통신서비스 제공자는 정보보호최고책임자를 지정·신고하도록 하고, 대통령령에서 제외 대상을 규정’했다. 제외대상은 소상공인과 소기업, 자본금 1억원 이하의 부가통신사업자 등이다.
정보보호최고책임자의 겸직제한과 관련해 개선 전에는 겸직제한 제도가 없었지만, 이를 기업규모를 기준으로 자산총액 5조원 이상인 기업과 정보보호 관리체계 인증 의무대상자 중 자산총액이 5천억원 이상인 기업으로 개선했다. 아울러 정보보호최고책임자의 자격요건과 관련해 정보보호 분야 석사, 정보보호 분야 학사와 경력 3년 이상, 정보보호 부서의 장으로 1년 이상 근무 등의 자격요건을 신설했다.
정보통신서비스 제공자에 대한 정의
정재욱 과장은 “관련 법이 개선되면서 몇 가지 쟁점이 있다”면서 몇 가지 쟁점을 설명했다. 가장 큰 쟁점은 ‘정보통신서비스 제공자’에 대한 정의였다. 규정에 따르면 ‘정보통신서비스 제공자는 ①전기통신사업자와 ②영리를 목적으로 전기통신사업자의 전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개로 하는 자’로 되어 있다.
우선 △상법상의 상인 및 회사는 영리를 목적으로 사업을 영위하기 때문에 정보통신서비스 제공자에 해당된다. 또한 △비영리 법인은 기본적으로 해당되지 않지만, 수익사업을 통해 정보통신서비스를 제공할 경우 정보통신서비스 제공자에 해당된다. 공공기관을 살펴보면, △공기업은 영리를 목적으로 사업을 영위하기 때문에 해당이 되며, △준정부기관은 정부 업무의 수탁 또는 기금관리 업무를 수행하기 때문에 기본적으로 해당하지 않는다. △기타 공공기관은 개별적으로 영리 목적의 정보통신서비스 제공 여부를 바탕으로 해당 여부를 판단하며, △연구개발목적기관으로 분류된 경우는 정보통시서비스 제공자에 해당하지 않는 것으로 판단된다.
△학교는 교육이 비영리 목적에 해당되지만, 사립학교가 상행위 등 영리목적으로 정보통신서비스를 제공할 경우에는 포함된다. △금융회사는 기본적으로 정보통신서비스 제공자에 해당하지만, 정보보호최고책임자에 관한 규정 등에 있어서 정보통신망법은 ‘일반법’, 전자금융거래법은 ‘특별법’으로 볼 수 있기 때문에 ‘전자금융거래법’에 우선 적용받는다.
CISO의 직무와 업무
▲과학기술정보통신부 정재욱 사이버침해대응과 과장[사진=보안뉴스]
이어 정재욱 과장은 CISO의 직무와 관련해서도 쟁점 내용을 설명했다. “계열사에 대한 정보보호 지원 업무가 포함되는지 묻는 분들이 많은데, 영업과 판매 등 사업성이 없고, 정보통신망법 제45조의3 제4항 각호의 업무를 수행하는 경우, 다른 회사에 대한 정보보호 지원업무는 정보보호 업무에 포함되는 것으로 봅니다. 다만 개인정보와 관련해 중요 정보의 암호화나 보안서버 운영 관리 등은 정보보호 업무에 포함되지만, 개인정보 관리 및 유출 대응과 조치, 개인정보 관련 이용자 고충처리 업무는 정보보호 업무에 해당하지 않는 것으로 보고 있습니다.”
임원급의 CISO 지정 및 신고와 관련해서도 논란이 많다. 우선 ‘임원’급에 대해서 명시적인 규정은 없지만, 임원급은 통상적으로 명칭과 관계없이 다른 임원과 직무상 독립해 권한과 책임을 가진 자를 의미하며, 이는 이사회 참석 여부, 회사 대표에 대한 직보 여부, 정보보호 관련 업무에 대한 최종 결정권 및 책임, 정보보호 업무 관련 예산·인사에 대한 직접적인 권한 등으로 판단한다.
이러한 상황에서 기업의 계열사에 ‘보안업체’가 기업집단의 개별회사에 대한 정보보호 업무를 수행하는 경우 개별회사의 CISO가 될 수 있을지에 대한 쟁점이 있는데, 우선 법적으로는 개별 법인별로 CISO를 두어야 하기 때문에 불가능한 경우라 할 수 있다. 다만, 보안업체의 CISO가 겸직제한 대상에 해당하지 않는 경우, 겸직제한 대상에 해당하지 않는 다른 계열사에 임원급으로 소속되어 CISO를 겸직할 수는 있다.
또한, CISO가 임원급인지 소명해야 할 경우 ①상법상 이사 및 감사 등 등기임원일 경우 법인등기사항증명서 등을 통해 소명이 가능하며, ②비등기 임원일 경우 직무·직위기술서, 조직도, 위임·전결규정 등 CISO가 임원에 준하는 권한과 책임을 가진 직무를 수행하고 있음을 나타내는 문서를 통해 소명이 가능하다.
특히, ‘부장’급이 CISO일 경우 임원급으로 볼 수 있을지에 대해 정재욱 과장은 “다른 임원과의 대응성과 지휘관계, 직급 체계와 대우 등을 종합적으로 고려해 판단해야 하지만, 일반적인 차장, 부장, 상무, 전무, 부사장, 사장 등의 체계 내의 직급일 경우 임원급으로 보기는 곤란하다”고 설명했다. “공공기관일 경우 법인세법 시행령 제40조제1항의 임원에 관한 규정을 준용하며, 본부장과 실장, 처장 등이 이에 해당하는 것으로 판단됩니다.”
CISO의 지정과 신고, 겸직 제한
규정에 따르면 모든 정보통신서비스 제공자는 CISO를 지정하고 신고해야 한다. 그렇다면 같은 법인에서 사업장이 다를 경우 1명의 CISO만 있으면 될까? 예를 들어 학교법인에서 CISO를 지정 및 신고한 후, 같은 학교법인 소속의 병원은 CISO를 지정해야 할지를 묻는 질문에 정재욱 과장은 그럴 필요가 없다고 답했다. 법인당 1명의 CISO만 있으면 된다는 설명이다.
아울러 겸직제한 대상에 CPO도 포함되는지에 대해 정재욱 과장은 CPO도 정보통신망법의 별도 조항(제27조제1항)에서 해당 업무를 규제한 만큼, 원칙적으로 CISO와 CPO는 겸직이 제한된다고 설명했다. 다만, CISO가 총괄하는 하위 부서로 CIO나 CSO를 담당할 조직을 들 수 있는지에 대해서는 CIO나 CSO는 법령에서 규정하지 않기 때문에 업무의 범위를 특정할 수 없어 일률적으로 판단하기 곤란하다고 답변했다.
또한, 모기업 소속의 정보보호 담당자를 CISO 겸직이 제한되는 자회사로 파견한 경우 해당 담당자를 자회사의 CISO로 지정이 가능한지에 대한 쟁점에서 정재욱 과장은 모회사의 임직원이 자회사로 파견되어 자회사의 지휘와 감독을 받으며 상근하는 경우 겸직제한을 위배하지 않는 것으로 판단된다고 설명했다. 이와 함게 국외 거주자와 국내거소 외국인을 CISO로 지정할 수 있을지에 대해서는 “국내거소 여부와 국적은 CISO 자격요건과 관계가 없다”고 설명했다.
한편, 정재욱 과장은 “오늘 참석한 많은 CISO분들께서 하신 질문과 제출하신 설문지를 바탕으로 좀 더 제도를 가다듬겠다”면서, “내년 1월 1일부터 시행되는 만큼 관련 기업의 임직원들께서는 CISO 임명에 좀 더 적극적으로 임해주길 바란다”고 말했다.
[원병철 기자(boanone@boannews.com)]
과기정통부 정재욱 사이버침해대응과장, ‘정보보호최고책임자 지정·신고제도’ 가이드 발표
[보안뉴스 원병철 기자] 최근 산업 인프라 분야 제조기업 등 국내외 기업을 대상으로 한 사이버공격이 기승을 부리는 이때, 이러한 사이버 공격으로 인한 침해사고를 효과적으로 예방 및 대응하고, 침해사고 피해의 대내외 확산 방지를 위해 전문지식과 경험을 보유한 임원급 전문가가 필요한 상황이다. 이에 정부는 2012년 2월 정보통신망법 개정안에 임원급 정보보호최고책임자 지정 제도를 신설하고, 2014년 5월 정보보호최고책임자 지정 및 신고를 의무화했다. 이어 2018년 6월 정보보호최고책임자(이하 CISO) 지정 및 신고 의무대상을 개선하고, 겸직금지 및 자격요건 등을 규정했다.
[이미지=iclickart]
과학기술정보통신부 정재욱 사이버침해대응과 과장은 12월 26일 개최된 ‘CISO 심포지엄’에서 ‘정보보호최고책임자 지정·신고제도’를 주제로 발표했다. 정재욱 과장은 “기업의 정보시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무의 총괄 책임자를 CISO라고 정보통신망법 제45조의3 제1항에서 정의했다”고 설명하면서 CISO의 업무에 대해 설명했다.
또한, CISO와 개인정보보호책임자(CPO)는 정보보호 업무와 개인정보보호 업무의 책임자라는 측면에서 다르며, CISO가 정보통신망법에 근거를 두고 있다면 CPO는 개인정보보호법에 근거를 두고 있다고 설명했다.
특히, 정재욱 과장은 이번에 이슈가 된 CISO 제도 개선과 관련해 몇 가지 중점사항을 설명했다. 우선 CISO 지정 및 신고 의무대상은 과거 통신판매업자와 특수한 유형의 온라인서비스 제공자, 상시 종업원수 1천명 이상인 자에서 ‘정보통신서비스 제공자는 정보보호최고책임자를 지정·신고하도록 하고, 대통령령에서 제외 대상을 규정’했다. 제외대상은 소상공인과 소기업, 자본금 1억원 이하의 부가통신사업자 등이다.
정보보호최고책임자의 겸직제한과 관련해 개선 전에는 겸직제한 제도가 없었지만, 이를 기업규모를 기준으로 자산총액 5조원 이상인 기업과 정보보호 관리체계 인증 의무대상자 중 자산총액이 5천억원 이상인 기업으로 개선했다. 아울러 정보보호최고책임자의 자격요건과 관련해 정보보호 분야 석사, 정보보호 분야 학사와 경력 3년 이상, 정보보호 부서의 장으로 1년 이상 근무 등의 자격요건을 신설했다.
정보통신서비스 제공자에 대한 정의
정재욱 과장은 “관련 법이 개선되면서 몇 가지 쟁점이 있다”면서 몇 가지 쟁점을 설명했다. 가장 큰 쟁점은 ‘정보통신서비스 제공자’에 대한 정의였다. 규정에 따르면 ‘정보통신서비스 제공자는 ①전기통신사업자와 ②영리를 목적으로 전기통신사업자의 전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개로 하는 자’로 되어 있다.
우선 △상법상의 상인 및 회사는 영리를 목적으로 사업을 영위하기 때문에 정보통신서비스 제공자에 해당된다. 또한 △비영리 법인은 기본적으로 해당되지 않지만, 수익사업을 통해 정보통신서비스를 제공할 경우 정보통신서비스 제공자에 해당된다. 공공기관을 살펴보면, △공기업은 영리를 목적으로 사업을 영위하기 때문에 해당이 되며, △준정부기관은 정부 업무의 수탁 또는 기금관리 업무를 수행하기 때문에 기본적으로 해당하지 않는다. △기타 공공기관은 개별적으로 영리 목적의 정보통신서비스 제공 여부를 바탕으로 해당 여부를 판단하며, △연구개발목적기관으로 분류된 경우는 정보통시서비스 제공자에 해당하지 않는 것으로 판단된다.
△학교는 교육이 비영리 목적에 해당되지만, 사립학교가 상행위 등 영리목적으로 정보통신서비스를 제공할 경우에는 포함된다. △금융회사는 기본적으로 정보통신서비스 제공자에 해당하지만, 정보보호최고책임자에 관한 규정 등에 있어서 정보통신망법은 ‘일반법’, 전자금융거래법은 ‘특별법’으로 볼 수 있기 때문에 ‘전자금융거래법’에 우선 적용받는다.
CISO의 직무와 업무
▲과학기술정보통신부 정재욱 사이버침해대응과 과장[사진=보안뉴스]
이어 정재욱 과장은 CISO의 직무와 관련해서도 쟁점 내용을 설명했다. “계열사에 대한 정보보호 지원 업무가 포함되는지 묻는 분들이 많은데, 영업과 판매 등 사업성이 없고, 정보통신망법 제45조의3 제4항 각호의 업무를 수행하는 경우, 다른 회사에 대한 정보보호 지원업무는 정보보호 업무에 포함되는 것으로 봅니다. 다만 개인정보와 관련해 중요 정보의 암호화나 보안서버 운영 관리 등은 정보보호 업무에 포함되지만, 개인정보 관리 및 유출 대응과 조치, 개인정보 관련 이용자 고충처리 업무는 정보보호 업무에 해당하지 않는 것으로 보고 있습니다.”
임원급의 CISO 지정 및 신고와 관련해서도 논란이 많다. 우선 ‘임원’급에 대해서 명시적인 규정은 없지만, 임원급은 통상적으로 명칭과 관계없이 다른 임원과 직무상 독립해 권한과 책임을 가진 자를 의미하며, 이는 이사회 참석 여부, 회사 대표에 대한 직보 여부, 정보보호 관련 업무에 대한 최종 결정권 및 책임, 정보보호 업무 관련 예산·인사에 대한 직접적인 권한 등으로 판단한다.
이러한 상황에서 기업의 계열사에 ‘보안업체’가 기업집단의 개별회사에 대한 정보보호 업무를 수행하는 경우 개별회사의 CISO가 될 수 있을지에 대한 쟁점이 있는데, 우선 법적으로는 개별 법인별로 CISO를 두어야 하기 때문에 불가능한 경우라 할 수 있다. 다만, 보안업체의 CISO가 겸직제한 대상에 해당하지 않는 경우, 겸직제한 대상에 해당하지 않는 다른 계열사에 임원급으로 소속되어 CISO를 겸직할 수는 있다.
또한, CISO가 임원급인지 소명해야 할 경우 ①상법상 이사 및 감사 등 등기임원일 경우 법인등기사항증명서 등을 통해 소명이 가능하며, ②비등기 임원일 경우 직무·직위기술서, 조직도, 위임·전결규정 등 CISO가 임원에 준하는 권한과 책임을 가진 직무를 수행하고 있음을 나타내는 문서를 통해 소명이 가능하다.
특히, ‘부장’급이 CISO일 경우 임원급으로 볼 수 있을지에 대해 정재욱 과장은 “다른 임원과의 대응성과 지휘관계, 직급 체계와 대우 등을 종합적으로 고려해 판단해야 하지만, 일반적인 차장, 부장, 상무, 전무, 부사장, 사장 등의 체계 내의 직급일 경우 임원급으로 보기는 곤란하다”고 설명했다. “공공기관일 경우 법인세법 시행령 제40조제1항의 임원에 관한 규정을 준용하며, 본부장과 실장, 처장 등이 이에 해당하는 것으로 판단됩니다.”
CISO의 지정과 신고, 겸직 제한
규정에 따르면 모든 정보통신서비스 제공자는 CISO를 지정하고 신고해야 한다. 그렇다면 같은 법인에서 사업장이 다를 경우 1명의 CISO만 있으면 될까? 예를 들어 학교법인에서 CISO를 지정 및 신고한 후, 같은 학교법인 소속의 병원은 CISO를 지정해야 할지를 묻는 질문에 정재욱 과장은 그럴 필요가 없다고 답했다. 법인당 1명의 CISO만 있으면 된다는 설명이다.
아울러 겸직제한 대상에 CPO도 포함되는지에 대해 정재욱 과장은 CPO도 정보통신망법의 별도 조항(제27조제1항)에서 해당 업무를 규제한 만큼, 원칙적으로 CISO와 CPO는 겸직이 제한된다고 설명했다. 다만, CISO가 총괄하는 하위 부서로 CIO나 CSO를 담당할 조직을 들 수 있는지에 대해서는 CIO나 CSO는 법령에서 규정하지 않기 때문에 업무의 범위를 특정할 수 없어 일률적으로 판단하기 곤란하다고 답변했다.
또한, 모기업 소속의 정보보호 담당자를 CISO 겸직이 제한되는 자회사로 파견한 경우 해당 담당자를 자회사의 CISO로 지정이 가능한지에 대한 쟁점에서 정재욱 과장은 모회사의 임직원이 자회사로 파견되어 자회사의 지휘와 감독을 받으며 상근하는 경우 겸직제한을 위배하지 않는 것으로 판단된다고 설명했다. 이와 함게 국외 거주자와 국내거소 외국인을 CISO로 지정할 수 있을지에 대해서는 “국내거소 여부와 국적은 CISO 자격요건과 관계가 없다”고 설명했다.
한편, 정재욱 과장은 “오늘 참석한 많은 CISO분들께서 하신 질문과 제출하신 설문지를 바탕으로 좀 더 제도를 가다듬겠다”면서, “내년 1월 1일부터 시행되는 만큼 관련 기업의 임직원들께서는 CISO 임명에 좀 더 적극적으로 임해주길 바란다”고 말했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
