[디지털투데이 석대건 기자] 여전히 기업은 정보보호를 등한시하고 있다.

정보보호 최고책임자(이하 CISO) 지정신고를 의무화한지 3개월이 지났지만, 지정 대상 기업‧기관 중 39,710곳 중 29,513곳이 아직 신고하지 않은 것으로 확인됐다. 약 75%에 달한다. 

변재일 의원(더불어민주당, 국회 과학기술정보방송통신위원회)이 과학기술정보통신부로부터 제출받은 정보보호 최고책임자 미신고 현황자료에 따르면, 8월31일을 기준으로 정보보호 최고책임자를 지정ㆍ신고한 기업은 10,197곳((25.68%)에 불과한 것으로 드러났다. 

지난 2월 과기정통부는 <정보통신망 이용촉진 및 정보보호 등에 관한 법률> 시행령 개정안을 통해, 일정 규모 이상의 기업과 기관은 사이버 침해사고 예방 및 사고대응 등 정보보안 업무를 총괄하는 책임자로서 CISO를 ‘정보보호 최고책임자’를 의무 지정하고 과학기술정보통신부에 신고해야 한다. 지난 6월13일부터 본격 시행했다. 
 
그러나 실상은 주무부처부터 CISO 지정에 뒷전이다. 주무부처인 과학기술정보통신부의 68개 소속·유관기관 중 한국정보화진흥원(NIA)과 정보통신산업진흥원(NIPA)을 포함한 11개 기관이 CISO를 신고하지 않았다.

또한 지난해 NIA 선정 초연결 지능화사회 100대 DNA(Data, Network, AI) 기업들 중에서도 총 14개 기업이 CISO 미신고 기업에 포함됐다. 100대 기업 중에서는 18개 기업도 CISO가 없다.

<과기정통부 소속ㆍ유관기관 중 CISO 미신고 기관>
한국과학창의재단, 한국우편사업진흥원, 한국원자력안전기술원, 한국과학기술기획평가원, 한국한의학연구원, 한국식품연구원, 한국천문연구원, 한국원자력통제기술원, 대구경북과학기술원, 한국정보화진흥원, 정보통신산업진흥원

<2019년 대한민국 100대 기업 중 CISO 미신고 기업>
㈜SNI코퍼레이션, ㈜LG, ㈜LG상사, ㈜포스코경영연구원, ㈜포스코인터내셔널, ㈜하림지주, ㈜고려아연, ㈜대우조선해양, ㈜롯데지주, ㈜삼성SDI, ㈜삼성전자서비스CS, ㈜CJ, ㈜SK가스, ㈜SK트레이딩인터내셔널, ㈜LS Nikko 동제련, ㈜현대중공업지주, ㈜SK텔레콤, ㈜한국전력공사

<NIA 선정 초연결 지능화 사회 100대 DNA 혁신기업>
㈜네패스, ㈜엠씨넥스, ㈜솔트룩스, ㈜위세아이텍, ㈜엔코아, ㈜다음소프트, ㈜데이터스트림즈, ㈜디스트릭트홀딩스, ㈜비플라이소프트, ㈜비아이매트릭스, ㈜굿모닝아이텍, ㈜미소정보기술, ㈜가이온, ㈜트윔 (정보보호 최고 책임자는 지정했으나 신고를 하지 않은 경우 미신고 기관ㆍ기업에 포함)

CISO 지정 의무화 제도는 연말까지 계도기간을 거쳐 내년 1월 1일부터 의무 미이행 사업자에게 3천만원 이하의 과태료가 부과된다.

변재일의원은 “제도가 도입된지 3개월이 지나도록 대상기관 4곳 중 3곳이 정보보호최고책임자 지정ㆍ신고의 의무를 이행하지 않고 있는 실정”이며, “특히 과기부는 정보보안 주무부처임에도 불구하고 아직도 의무이행을 하지 않고 있는 일부 소속기관들을 제대로 관리하지 못하고 있다”고 지적했다.

이어 변의원은 “초연결사회로 대표되는 4차산업시대에서는 작은 보안사고가 치명적인 위협으로 이어지기 쉽다”며 “과기부는 고도화되는 사이버 보안 위협에 제대로 대응할 수 있도록 대상 기업ㆍ기관들이 올해 안에 정보보호최고책임자를 지정하도록 적극 홍보하고 이행을 독려해야한다”고 전했다.