[디지털투데이 석대건 기자] 기업 정보보호 최고책임자(Chief Information Security Officer, CSIO)의 겸직이 금지되고, 적용 대상 기업도 확대될 전망이다.

과학기술정보통신부(장관 유영민, 이하 ‘과기정통부’)는 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위한 정보보호 최고책임자(CISO) 제도 개선사항을 담은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」 개정안을 입법예고한다고 19일 밝혔다.

개정안의 골자는 세 가지로 ▲ CISO 지정 · 신고 의무 대상 기업 확대 ▲ CISO 겸직 제한 ▲ CISO 자격 요건 설정이다.

먼저 CISO 지정 · 신고 의무 대상 기업이 확대된다. 기존 소프트웨어 개발 사업자, 음란물 및 사행성 게임물 차단 프로그램 제공자 혹은 1천 명 이상 정보통신서비스 제공자에 그쳤다. 

개정안에서는 정보보호 관리체계(ISMS) 인증을 받아야 하는 모든  정보통신서비스 제공자가 CISO를 의무 지정하고, 이를 과기정통부 장관에게 신고해야 한다. 대상 기업은 약 41,000여 개 기업이며, 중기업 이상의 정보통신서비스 제공자와 자본금 1억 원 이하의 부가통신사업자는 제외됐다.

일부 기업은 CISO 겸직도 제한 된다. 그동안 많은 기업이 업무 유사성을 이유로, 정보책임자(CIO, Chief Information Officer) 직무와 겸직하게끔 지정해왔다. 그러나 과기정통부는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한한다고 설명했다.

CISO 겸직 금지가 해당되는 기업 조건은 자산총액 5조원 이상인 정보통신서비스 제공자와 ISMS 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5천억 원 이상이다.

CISO, 겸직 금지되고 자격 요건도 만들어져

또 겸직이 제한된 기업의 CISO의 자격요건도 만들어진다.

개정안에서는 CISO가 상근하는 자로서 다른 회사의 임직원으로 재직 중이지 아니한 자이어야 하며, 4년 이상의 정보보호 분야 경력자이거나 2년 이상의 정보보호 분야 경력자로서 정보기술 분야 경력과 합하여 5년 이상인 자로 지정토록 했다.

과기정통부는 이번 개정안이 주요 기업의 정보보호 업무를 전담할 수 있는 전문가를 정보보호 최고책임자로 지정하도록 하는 등 사회 전반의 정보보호 역량을 강화함으로써 사이버 침해사고의 예방과 사고 발생 시 피해의 최소화 및 신속한 복구 등에 기여할 수 있을 것이라고 밝혔다.