CISO 제도, 신고의무 완화로 기업 부담 덜고 합리적으로 바뀐다

(서울=뉴스1) 김정현 기자 = 기업들의 정보보호 최고책임자(CISO) 지위가 규모에 따라 세분화된다. 신고의무 대상도 정보보호 중요성이 큰 중기업 이상으로 완화된다.

30일 과학기술정보통신부는 기업의 사이버 침해사고 예방 및 대응역량 강화를 위해 운영 중인 CISO 제도개선을 담은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 시행령 개정안이 국무회의를 통과해 오는 12월9일부터 시행될 예정이라고 밝혔다.

이번 시행령 개정은 지난 6월8일 개정된 정보통신망법 후속조치 차원으로, 기업의 부담을 완화하는데 중점을 뒀다.

먼저 기존에는 정보보호 최고책임자 신고의무를 가진 기업에 일률적으로 '임원급' 지정을 강제했던 조항을 기업 규모를 기준으로 세분화했다. 대규모 기업은 겸직제한 의무대상으로 '이사'까지로 구체화됐고, 일반신고의무대상인 중기업의 경우 부서장급 정보보호 책임자까지 지정이 가능하도록 했다.

또 정보보호 최고책임자 신고 대상 기업을 기존에는 '모든 중기업 이상'으로 규정했었으나, 이를 △전기통신사업자 △개인정보처리자 △통신판매업자 △정보보호 관리체계 인증 의무대상자 등 '정보보호 중요성이 큰 중기업 이상'으로 개선해 신고 대상을 합리화했다.

신고의무가 면제된 기업은 사업주나 대표자를 정보보호 최고책임자로 간주한다는 조항을 추가해 정보보호 공백을 방지했다.

이외에도 겸직금지 의무 위반 실효성 제고를 위해 1회 1000만원, 2회 2000만원, 3회 이상 3000만원으로 과태료 금액을 신설했다. 단, CISO 신고의무 대상 기업의 경우 신고기한을 현행 90일에서 180일로 연장했으며, 미신고시 과태료 금액은 완화했다.

임혜숙 과기정통부 장관은 "이번 개정안을 통해 기업의 부담을 완화하는 동시에 주요 기업들의 정보보호 최고책임자가 기업 내 정보보호 업무에 집중·전담토록 했다"며 "사이버 침해사고를 예방하고 사고 발생 시 신속한 복구 및 피해 최소화 등을 가능하게 해 국내기업들의 전반적인 정보보호 역량이 보다 강화될 것으로 기대된다"고 밝혔다.

Kris@news1.kr