앞으로는 일부 대기업 외에는 임원이 아닌 부서장급도 기업 정보보호최고책임자(CISO·Chief Information Security Officer)를 맡을 수 있게 된다.

30일 과학기술정보통신부는 이런 내용의 CISO 제도 개선안을 담은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 시행령 개정안이 국무회의를 통과했다고 밝혔다.

다음 달 9일 시행될 이번 개정안은 임원급으로 획일화됐던 기존 CISO 지위를 기업 규모에 따라 세분화하고, CISO 신고 대상 범위를 조정하는 등 기업 부담을 완화하는 것이 골자다.

이에 따라 중기업 이상의 일반 신고 의무 기업은 부서장급까지 CISO를 지정할 수 있게 된다.

그러나 CISO의 겸직이 제한되는 대규모 기업은 반드시 이사로 CISO를 지정해야 한다.

또한 개정안은 CISO 신고 대상 기업을 기존 모든 중기업 이상에서 정보보호 필요성이 큰 중기업 이상으로 변경했다. 구체적으로는 전기통신사업자, 개인정보처리자, 통신판매업자, 정보보호 관리체계 인증 의무 대상자가 정보보호 필요성이 큰 경우로 정해졌다.

신고 의무가 면제된 기업은 사업주나 대표자를 CISO로 간주하도록 했다.

아울러 겸직 금지 의무를 위반한 경우 최대 3천만원의 과태료를 부과하는 규정을 신설했고, CISO 미신고에 따른 과태료 제재는 완화했다.

임혜숙 과기정통부 장관은 "이번 개정안을 통해 기업의 부담을 완화하는 동시에 주요 기업의 CISO가 정보보호 업무에 집중하도록 함으로써 사이버 침해사고 예방과 피해 최소화가 가능해질 것"이라고 말했다.

정종희 기자  jhjung2@jeonpa.co.kr

<저작권자 © 전파신문, 무단 전재 및 재배포 금지>