-'정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 개정안 시행예정
자본금 1억원 이하의 소상공인, 소기업 등은 사내에 정보보호 최고책임자(CISO)를 두지 않아도 된다.
과학기술정보통신부는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 개정안이 국무회의를 통과했다고 4일 밝혔다. 개정안은 공포절차를 거쳐 13일부터 시행된다.
시행령의 핵심은 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위해 CISO 제도를 개선하는 것이다. 우선 CISO 지정·신고 의무 대상에서 자본금 1억원 이하의 부가통신사업자, 소상공인, 소기업 등은 제외됐다.
이에 따라 지정·신고 의무대상 정보통신서비스 제공자는 19만9000여개 기업에서 3만9000여 곳으로 줄어들게 됐다. 이는 소상공인, 소기업 등에서 별도의 CISO를 둔다는 것이 현실성이 떨어지는데다 실효성도 없다는 지적에 따른 것이다. 업계 관계자는 "소상공인이나 소기업들의 부담이 완화돼 규제 개선의 직접적 혜택을 보게 될 것으로 기대한다"고 말했다.
CISO가 정보보호 관련 학력·경력 등의 자격요건을 갖춘 자를 지정·신고하도록 하는 내용도 포함됐다. 정보보호의 전문성과 경험을 갖춘 전문가가 해당 정보통신서비스 제공자의 정보보호 업무를 담당해야 한다는 의미다. 과기정통부 관계자는 "기업의 사이버 침해사고 대응능력이 강화될 것"이라고 설명했다.
CISO는 다른 직무의 겸직이 제한된다. 자격요건으로는 △정보보호 업무 4년 이상 수행 △정보보호와 정보기술 업무 수행 경력을 합산한 기간 5년 이상으로 자격요건이 강화됐다. 이는 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억원 이상인 기업의 CISO는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한한 데 따른 것이다.
과기정통부는 해당 제도가 신설된 점을 감안해 계도기간을 두고 CISO 지정·신고를 독려한 후 계도기간이 지나도 의무를 위반한 사업자에 대해서는 과태료 처분 등 필요한 조치를 할 방침이다.
오용수 과기정통부 정보보호정책관은 "이번 정보보호 최고책임자 제도 개선을 통해 대기업, 중견기업, 중기업, 소기업 등 기업 규모에 따라 의무 부담을 차등화함에 따라 규제 부담을 합리화 했다"며 "5G 상용화와 함께 사이버 위협과 사고 위험 증가가 우려되는 초연결 환경에서 5G의 안전한 이용 환경 마련에 기여할 것으로 기대된다"고 설명했다.