[디지털데일리 이종현기자] 정보보호최고책임자(CISO) 신고제도가 유명무실하다는 비판이 제기됐다. 임원급의 보안업무 전담 CISO를 지정·신고토록 했지만 다수 기업이 현행법을 어기고 있는 것으로 나타났다.

5일 국회 과학기술정보방송통신위원회(이하 과방위) 소속 김영식 의원(국민의힘)이 과학기술정보통신부(이하 과기정통부)에 제출받은 자료에 따르면 부적정 CISO 지정·신고한 사례가 다수다.

지난해 6월부터 자산총액 5조원 이상, 정보보호관리체계 인증 의무대상자 중 자산총앨 5000억원 이상인 정보통신서비스 제공자는 임원급의 보안업무 전담 CISO를 지정·신고해야 하도록 한다.

하지만 다수 기업이 이를 준수하지 않고 있는 것으로 확인됐다. 김영식 의원이 북적정 지정·신고 사례로 공개한 기업은 ▲한국수력원자력 ▲주택도시보증공사 ▲쿠팡 ▲LG유플러스 ▲GS에너지 ▲현대오일뱅크 ▲대림산업 ▲SK인천성규화학 ▲계명대동산병원 ▲소노호텔앤리조트 등 10개 기업이다.

김 의원은 “CISO 제도가 도입 초기인 점을 감안해도 신고제도가 지나치게 느슨하게 운영되고 있다”며 “기업의 우선순위를 나눠서라도 CISO 신고 내용에 대한 검증과 신고 수리방법의 개선이 필요하다”고 지적했다.

이어서 “한국수력원자력은 국가 발전산업을 책임지는 기관으로 어느곳보다 보안의 중요성이 높은 곳인데 CISO가 총무와 인사, 노무 업무까지 겸직하고 있다”며 “민간기업이 아닌 공기업에서도 다수가 이를 위반하고 있어서 국정감사에서 이 문제를 짚을 것”이라고 전했다.

한편 김 의원은 CISO가 개인정보보호최고책임자(CPO)를 겸직하지 못하도록 한 것은 지나친 규제라는 입장을 내비쳤다. 정기국회 내에 CISO 신고제도와 관련한 보안 입법을 추진할 것이라고 밝혔다.

<이종현 기자>bell@ddaily.co.kr