김정희 KISA 사이버보안빅데이터센터장이 달라진 CISO 제도에 대해 설명하고 있다.(KISA 제공)© 뉴스1

오는 13일 정보통신망법 시행령 개정안이 시행되면서 3만9000여개 기업이 '정보보호 최고책임자'(CISO)를 지정해 신고하도록 법적으로 의무화된다. 정부는 기업들의 이행을 독려하기 위해 개도기간을 가질 예정이지만, 이후에도 수행하지 않으면 3000만원 이하의 과태료가 부과된다.

7일 한국인터넷진흥원(KISA)에 따르면 지난 2014년 정보통신망법 개정을 통해 도입된 CISO 지정신고제 시행 이후 CISO를 신고한 기업은 지난 4월 기준으로 9587개사다. 아직 국내 CISO 임명률은 미국 65%, 일본 45.9%에 비해 한참 낮은 수준이다.이번 정보통신망법 시행령 개정안에선 제도의 실효설을 높이기 위해 그동안 CISO 지정이 현실적으로 어려운 것으로 파악된 소기업, 소상공인 등을 의무대상에서 제외했다. 이에 따라 CISO 지정신고 의무대상이 19만9000여곳에서 3만9000여곳으로 줄었다.

대신 △총 자산 5조원 이상 △총 자산 5000억원 이상인 기업 중 정보보호 관리체계(ISMS) 인증 의무대상인 기업은 CISO와 다른 직무의 겸임이 제한된다. 현재 두 조건에 해당되는 기업은 각각 78개사, 48개사로 파악된다.

김정희 KISA 사이버보안빅데이터센터장은 "이전에는 직원이 5명인 동네 정육점에서 인터넷으로 고기를 팔아도 CISO를 지정해야 했다"며 "이번 시행령 개정에서는 현실적인 CISO 활동을 담보할 수 있도록 의무대상을 개선한 것"이라고 설명했다.CISO는 기업에서 정보보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원을 말한다. 기업에 필요한 정보보호 관리체계를 수립하고, 이에 따른 인력, 예산 등을 총괄 관리하는 역할을 한다.

CISO를 의무적으로 두도록 하는 이유는 기업의 정보보호 역량을 강화하기 위해서다. 국내 기업이 전체 정보기술(IT) 투자에서 보안에 투자하는 비중은 미국(40%)의 10분의 1도 안되는 3% 수준에 불과할 정도로 정보보호에 대한 인식이 아직 낮은 수준이다. 이에 기업 정보보호에 대한 책임과 권한을 가진 임원을 지정해 보안 투자를 확대하는 중추적인 역할을 맡도록 하는 게 이 제도의 목표다.

또 KISA는 CISO를 연결하는 '핫라인'을 통해 실시간 침해사고 정보와 대응방안을 수시로 공유한다. 

정부는 이번 CISO 지정신고 의무대상과 CISO 자격기준을 정하기 위해 수차례 기업간담회를 여는 등 수위 조절을 고민해왔다. 의무대상을 늘리거나 자격요건을 높이면 당장 보안투자를 늘리기 어려운 중소기업 등의 부담이 커지고, 반대로 너무 낮추면 기업의 보안수준을 높인다는 당초 취지가 무색해지기 때문이다.

김 센터장은 "대기업과 중소중견기업이 바라보는 시각 차이가 커 맞춰가는 단계가 필요하다"며 "현재 기준으로 시작은 하되 운영실태 점검 등을 통해 개선 노력을 해나갈 계획"이라고 말했다.

과기정통부와 KISA는 우선 처벌보단 CISO 지정신고를 독려하는 방향으로 제도를 운영할 방침이다. 아직 계도기간이 명확히 정해지진 않았으나, 최소 연말까진 계속될 것으로 전망된다. 이 기간 동안 관련부처 및 기관과 협력해 안내문과 해설서를 배포하고, CISO 겸직금지 해당 기업 등에 공문을 발송할 예정이다. 또 2020년엔 CISO 운영현황 실태조사를 실시해 보다 내실있는 제도운영 방안을 마련할 방침이다.


hyun@