[단독] SKT사태 반면교사…정부 'CISO·CPO 겸직 제한' 카드 꺼내나

(서울=뉴스1) 한재준 이기림 기자 = 대통령실과 정부가 SK텔레콤 해킹 사태 재발을 방지하기 위해 기업·기관의 정보보호최고책임자(CISO) 및 개인정보보호최고책임자(CPO)의 권한을 강화하고 방향으로 법 개정을 추진한다.

3일 정부 등에 따르면 대통령실은 과학기술정보통신부, 개인정보보호위원회 등 관계 부처와 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 및 '개인정보보호법' 개정을 검토하고 있다.

정부는 SK텔레콤 해킹 사태 발생 과정에서 CPO의 관리·감독이 미흡했다고 보고 CISO와 CPO의 거버넌스 체계를 정비하는 방향의 법 개정이 필요하다고 보고 있다.

이를 위해 CISO에 기업 정보보호 예산편성권과 이사회 정기보고 권한을 부여하는 방향의 법 개정 논의를 진행 중이다. CPO 지정신고제 도입과 임기 보장을 명문화하는 작업도 함께 추진하고 있다. 앞서 국가안보실은 지난 1일 '사이버안보 현안 점검회의'를 열어 이같은 방안을 논의했다.

대통령실 관계자는 "SK텔레콤 해킹 사고를 조사한 결과 CISO와 CPO가 회사 전체의 정보보호 및 개인정보 체계를 총괄해야 함에도 일부 영역만 담당하는 것으로 나타났다"며 "회사 내에서 제 역할을 충분히 하기 어려운 환경이라고 판단하고 법적 지위와 권한을 강화하는 방향으로 법 개정을 검토 중"이라고 밝혔다.

CISO와 CPO의 겸직을 제한하는 방안도 거론되고 있다. 현행 정보통신망법 45조 4항은 CSIO가 CPO를 겸임할 수 있도록 규정하고 있다.

SK텔레콤은 정보통신(IT)과 이동통신 인프라 영역 모두에서 서비스를 제공하고 있음에도 CISO를 겸임하는 CPO 역할을 IT 영역에 한정해 운영했다. 이에 따라 앞서 개인정보보호위는 CPO가 회사 전반의 개인정보 처리 업무를 총괄하도록 체계 정비를 지시한 바 있다.

애초 CISO 제도가 도입된 이후 2019년 법 개정으로 자산총액 5조 원 이상 정보통신서비스 제공자와 정보보호 관리체계(ISMS) 인증을 받아야 하는 자산총액 5000억 원 이상인 정보통신서비스 제공자 기업은 CISO의 겸직이 금지됐다. 하지만 이후 기업 부담 등 우려로 재개정이 이뤄지면서 2021년부터는 CISO와 CPO의 겸직이 일반화했다.

CISO·CPO의 권한 강화와 함께 기업 자산 규모 등을 고려해 CISO의 겸직을 최소화하는 방안도 거론된다. 정부 관계자는 "작은 규모의 회사는 CISO와 CPO를 모두 두기 어려울 수 있다"며 "만약 관련 제도 개선이 추진될 경우 자산규모 등이 고려될 것으로 보인다"고 말했다.

다만 대통령실은 CISO와 CPO 겸직 제한 방안과 관련해 "아직까진 관계부처와 논의한 바 없다"고 밝혔다.

hanantway@news1.kr