시사위크=박설민 기자  과학기술정보통신부(이하 과기정통부)가 기업의 사이버 침해사고 예방 및 대응역량 강화를 위해 운영 중인 ‘정보보호 최고책임자(CISO, Chief Information Security Officer)’ 제도를 개선한다.

과기정통부는 30일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’ 시행령 개정안이 국무회의를 통과했다고 밝혔다. 해당 법안은 12월 9일부터 시행될 예정이다.

이번 시행령 개정은 지난 6월 8일 개정된 정보통신망법 후속조치 차원이다. 그간 획일적이던 기존 정보보호 최고책임자의 임원급 지위를 기업규모에 따라 정보보호 책임자(부장급) 또는 대표자도 지정·신고 가능토록 허용했다. 신고대상 범위도 정보보호 필요성이 큰 중기업 이상으로 조정하여 기업의 부담 완화에 중점을 뒀다.

정보통신망법 시행령 개정안의 주요내용은 △ CISO 임직원 범위 명확화 △ CISO 신고 의무대상 합리화 △ CISO 신고기한 연장 △ 과태료 금액 신설·정비의 4가지 항목으로 나뉜다.

먼저 ‘CISO 임직원 범위 명확화’에 따라 정보보호 최고책임자 신고의무를 가진 기업에 일률적으로 ‘임원급’ 지정을 강제하던 것을 기업 규모를 기준으로 세분화했다.

이에 따라, 신고의무 기업을 겸직제한 의무대상(대규모 기업)과 일반 신고의무대상(중기업 이상)으로 구분하며 겸직제한 대상 기업은 ‘이사’로 구체화 됐다. 일반 의무대상 기업은 정보보호 책임자(부서장급) 까지 지정이 가능하도록 개선하여 기업의 부담을 완화한다. 여기서 겸직제한 의무대상은 직전 사업연도 말 자산총액 5조원 이상이거나, 정보보호 관리체계(ISMS)의무대상 중 자산총액 5,000억원 이상인 자로 정보보호업무 외 타 업무 겸직이 제한된다.

두 번째 ‘CISO 신고 의무대상 합리화’ 항목에 따라 정보보호 최고책임자 신고 대상 기업을 정보보호 필요성이 큰 ‘중기업’ 이상으로 개선됐다. 이와 함께 신고의무가 면제된 기업은 사업주나 대표자를 정보보호 최고책임자로 간주한다는 조항을 추가하여 기업의 정보보호 공백을 방지한다.

세 번째 ‘CISO 신고기한 연장’ 항목은 신규로 신고의무 대상이 되는 기업의 인력수급 어려움 등 여건을 고려해 신고기한을 현행 90일에서 180일로 연장한다는 내용을 담고 있다.

네 번째 ‘과태료 금액 신설·정비’ 항목에 따라 겸직금지 의무 위반 실효성 제고를 위해 과태료 금액을 신설했다. 신설된 과태료 금액은 위반 횟수별로 부과되는데, 각각 △1회(1,000만원) △2회(2,000만원) △3회 이상(3,000만원)이다.

정보보호 최고책임자 미신고 시 과태료 금액은 △1회(1,000만원→750만원) △2회(2,000→1,500만원)으로 완화된다. 다만 3회 이상의 경우엔 3,000만원으로 이전과 동일하다. 이와 함께 중앙전파관리소에 행정처분에 대한 권한 위임근거를 마련됐다.

임혜숙 과기정통부 장관은 “이번 개정안을 통해 기업의 부담을 완화하는 동시에 주요 기업들의 정보보호 최고책임자가 기업 내 정보보호 업무에 집중·전담토록 했다”며 “사이버 침해사고를 예방하고 사고 발생 시 신속한 복구 및 피해 최소화 등을 가능하게 해 국내기업들의 전반적인 정보보호 역량이 보다 강화될 것으로 기대된다”고 밝혔다.