김정희 KISA 사이버보안빅데이터센터장[사진=KISA]

[이뉴스투데이 송혜리] 13일부터 정보보호최고책임자(CISO)지정신고제 개정안이 시행됨에 따라 CISO 지정신고제 대상이 기존 19만9000개 기업에서 3만9000개로 줄어들고 대규모 기업과 중견기업 이상 중 정보통신 관련이 높은 기업에서 CISO 겸직이 금지된다.

CISO는 기업에서 정보보안을 위한 기술적 대책과 법률대응까지 총괄책임지는 최고 임원을 지칭한다. 정부는 2014년 국내 사이버 침해사고에 따른 연평균 피해규모가 3조6000억원이 이르자 기업 정보보호에 대한 책임과 권한을 가진 CISO 지정신고제도를 마련했다.
 
이번에 시행될 개정 CSIO 지정신고제는 CISO 겸직금지, CISO 자격요건 등 조항이 신설됐고 정보통신서비스 제공자 전체에 CISO 지정신고 의무를 부과하되 대통령령으로 정하는 자는 지정신고 의무를 면제하도록 개정했다.

이에 정보보호 최고책임자 지정·신고 의무대상 정보통신서비스 제공자는 19만9000여개에서 3만9000여개로 감소하게 되고 소상공인, 소기업 등은 의무 부담을 완화하게 돼 규제 개선 직접적 혜택을 보게 될 예정이라고 과기정통부는 설명했다. 

아래는 김정희 KISA 사이버침해대응본부 위협정보공유센터 센터장 일문일답

Q: 겸직금지 관련해 령을 적용하는 시행 시기 질문이다. 과기정통부 자료에서는 개정 전에 겸직을 하고 있으면 후에도 가능하다고 돼 있다. 겸직이 가능한건가?
A: 시행일을 기준으로 겸직금지가 시행되는데 지속적으로 해당 기업들과 겸직금지를 독려해 나갈 예정이다.

Q: 계도 기간은?
A: 과기정통부와 얘기한 바로 특정 기간은 정해져있지 않고 적정 계도기간을 통해 지속적으로 독려할 예정이다.

Q: 3차에도 적용안되면?
A: 과태료가 부과된다. 최대가 3000만원이다.

Q: CISO 굳이 의무화하는 이유는. 변호사도 가능한가?
A: 변호사가 현직 법에 의해 자격요건을 갖고 있다면 그 기능을 수행할 수 있다. CISO자체에 대한 필요성은 국가적으로도 또 기업적으로도 큰 보안사고를 겪고 나서 해외 사례나 활동내용을 보니 실제로 그 내용을 책임질 수 있는 분이 인력 등 체계적인 활동을 하는 것이 수준 제고에도 도움이 될 것이라고 생각한다.

Q: 자격요건이 낮은 것 같은데?
A: 얼토당토 안 한 상황에서 CISO를 지정해야 하는 상황이 생긴 부분을 인식했다.실질적으로 활동을 이끌어가는 사람 기준에 대해 고민을 많이 했다. 실제 기준에 따라 나온 3만 9천 곳도 다양하다. 중견, 중기업 간담회를 통해 체크해본 바 지금 제시된 기준을 만족시키기도 버거운 부분이 있다. 일부러 기준을 낮춘게 아닌 이를 시작으로 지속적인 운영 실태 점검 등을 통해 높여가는 방향이 바람직하지 않을까 하는 부분에서 자격요건이 정해졌다.
   
Q: 자격요건에 맞는 인력 수급 고려했는지. CISO 인재 양성은?
A: CISO 유사하게 운영하는 금융권, 개인정보 등이 있는데 그런 부분 기준을 함께 검토해서 민간 분야에 어떤 부분이 적절한지를 고려해서 자격요건이 나왔다. 인력양성 부분은 실제 전문성 강화를 위한 내용을 함께 진행할 예정이다.

Q: 겸직금지 기업 리스트 공개는?
A: 자산 총액이 기준이다 보니 매년 바뀌는 부분이 있다. 해당 기업에 개별적으로 안내하는 방식이다. 올해도 내용이 전달된 것으로 알고 있다. 따로 공개하거나 이런 계획은 없는 것으로 안다. 제도 시행 초기이다 보니 인식제고나 계도 형식으로 진행될 예정이다.

Q: 실태조사는 어느 정도 범위인가?
A: CISO 자체적인 실태조사는 공식적으로 크게 한 부분은 없다. 올해 예산 신청해 내년에 할 예정인데 지정 대상들을 고려해서 실태조사 이뤄질 예정이다.

Q: CISO가 실제로 적정한 역할을 하고 있는지에 대한 제도는?
A: 센터, 해당 담당부서 쪽에서 기업들에게 내용을 안내하고 있고 앞으로 함께 진행할 예정이다.

Q: 겸직금지 기업 126개사 중에 선임이 완료된 곳은?
A: 관련부처에서 확인 중인 것으로 알고 있다. 비율 자체는 높은 것으로 알고 있다.

Q: 개인정보보호책임자(CPO)와 겸직을 금지하는 것은 너무 과도하지 않나?
A: 기업간담회에서 나온 이야기는 반반이다. 겸직할 수 있다고 하면 한 사람이 업무를 다해야 하는데 현실적으로 어렵다는 이야기가 많이 나왔다.
  
Q: 건설사도 포함되는 것인가?
A: 일반적으로 포함된다. (온라인으로 정보를 제공한다면)
 
Q: 자산기준은 바뀔 수 있나?
A: 최초 기준을 잡았는데, 운영 상에서 체크를 해봐야 할 것 같다. 일반 중소기업에서는 부담이 많이 될 수도 있다.

※ 여러분의 제보가 뉴스가 됩니다. 각종 비리와 부당대우, 사건사고와 미담, 소비자 고발 등 모든 얘깃거리를 알려주세요

이메일 : webmaster@enewstoday.co.kr

카카오톡 : @이뉴스투데이

저작권자 © 이뉴스투데이 무단전재 및 재배포 금지