[디지털데일리 이종현기자] 과학기술정보통신부(이하 과기정통부)는 정보보호최고책임자(CISO) 제도 개선사항을 담은 정보통신망법 및 일정 규모 이상의 기업에게 정보보호 공시 의무를 부과하는 정보보호산업법 일부 개정안이 국무회의에서 의결됐다고 1일 밝혔다.

CISO 제도 개선사항을 담은 정보통신망법의 주요 개정내용은 ▲겸직제한 대상 기업을 제외한 중소기업은 부장급 정보보호 책임자도 지정 가능 ▲정보보호 필요성이 큰 중기업 이상은 CISO를 신고하고 신고의무가 면제된 기업은 대표자를 CISO로 간주 ▲개인정보보호책임자(CPO) 등 유사 정보보호 관련 업무도 수행할 수 있게 겸직제한 완화 등이다.

그동안 중기업 이상 모든 기업에게 일률적으로 임원급 CISO 지정을 강제했다. 또 단순 홍보·안내 홈페이지를 운영하는 연매출 10억원 이상 음식점·학원 등도 CISO 신고 의무 대상이었는데, 이는 실효성이 떨어진다는 비판을 받아왔다.

유사 업무를 맡고 있는 임직원이 해당 업무를 겸직할 수 없다는 점도 문제로 꼽혔다. 중소기업의 경우 개별 업무마다 인력을 할당하기 어려운데, 법 개정을 통해 이와 같은 문제를 해소했다는 것이 과기정통부의 설명이다.

제도 운영의 실효성 강화를 위해 CISO 제도와 관련된 허위·부실신고 검증 및 보안교육 강화와 과태료 규정도 정비했다. 부적격자 지정, 겸직 제한 위반 등에도 시정명령 조치만 가능했던 것에서 제재 규정이 마련됐다. 해당 내용은 시행령에서 구체적으로 정해질 예정이다.

정보통신망법과 함께 의결된 정보보호산업법은 기업들의 정보보호 투자·인력·인증현황 등 기업의 정보보호 현황을 스스로 공개토록 하는 정보보호 공시제도 실효성 강화를 골자로 한다.

정보보호 공시제도는 2015년 12월 시행됐음에도 시장에 안착하지 못했다. 법이 발의되는 작년 9월 기준 37개 기업만이 정보보호 현황을 공시했다. 이에 개정안에서는 정보보호 공시 의무를 위반하면 1000만원 이하의 과태료를 부과하도록 했다. 세부적인 의무 대상 기준은 시행령으로 정한다.

홍진배 과기정통부 정보보호네트워크정책관은 “CISO 제도개선을 통해 기업 부담을 줄이고 제도 실효성을 높였다. 사이버 침해사고 예방 및 대응 역량을 강화해 기업 활동에 도움이 될 것”이라며 “이와 함께 추진된 정보보호 공시 의무화로 정보보호 강화와 정보보호산업 진흥이 함께 이뤄질 것을 기대한다”고 말했다.

<이종현 기자>bell@ddaily.co.kr