기업의 정보보호최고책임자(CISO) 의무지정 요건이 강화된다. 일정규모 이상의 기업들은 겸직없이 정보보호 경력을 갖춘 인력을 반드시 CISO로 두어야 한다.
과학기술정보통신부는 이 같은 내용의 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 개정안을 입법예고한다고 19일 밝혔다. 사이버 침해사고 예방 및 대응 역량을 강화하기 위해서라는게 과기부측 설명이다.
이번 개정안은 기존 기준을 좀 더 강화한 것이다. 중기업(자산 총액 5000억원 미만 및 업종별 기준 매출액 이하) 이상의 정보통신서비스 제공자 및 모든 전기통신사업자(자본금 1억 원 이하 부가통신사업자 제외), ISMS 인증 대상 기업 등 4만1000여개 기업은 CISO를 의무 지정하고 과기정통부 장관에게 신고해야 한다.
특히 매출 120억원 이상의 중기업 규모의 정보기술(IT) 기업이거나 정보보호관리체계(ISMS) 대상인 기업도 반드시 CISO를 둬야 한다.
최고경영자(CEO)나 전문성 없는 이들이 겸직하는 일을 없애기 위해 CISO는 상근직으로 지정해야 한다. 또 타 기업의 임직원으로 재직할 수 없고 4년 이상의 정보보호 분야 경력자 또는 2년 이상의 정보보호 분야 경력을 기본으로 IT분야 경력과 합산해 5년 이상의 경력을 갖춰야만 한다.
기준이 달라지는 이유는 업계 상황에 맞지 않는다는 지적이 꾸준히 제기됐기 때문이다. 그간 CISO 지정 대상 기업은 단순히 업종(내용 선별 소프트웨어 개발 사업자, 음란물 및 사행성 게임물 차단 프로그램 제공자 등) 및 종업원수 1000명 이상인 기업이 대상이었다.
이번 개정안 입법 예고는 20일부터 오는 4월 20일까지다. 자세한 내용은 과기부 홈페이지와 통합입법예고센터에서 확인할 수 있다.
과기부 관계자는 "이번 개정안을 통해 사회 전반의 정보보호 역량을 강화함으로써 사이버 침해사고의 예방과 사고 발생 시 피해의 최소화 및 신속한 복구 등에 기여할 수 있을 것"이라고 했다.