기업 부담 줄였다…中企 정보보호최고책임자, 임원급 아닌 부장급도 가능

[아시아경제 조슬기나 기자] 앞으로 자산총액 5조원 미만인 중소기업은 정보보호 최고책임자(CISO)에 임원급이 아닌 부장급을 선임할 수 있게 된다. 유사한 정보보호 관련 업무도 수행할 수 있게 겸직제한도 완화됐다.

과학기술정보통신부는 기업의 사이버 침해사고를 예방하고 대응 역량을 강화하기 위해 정보보호 최고책임자 제도 개선사항을 담은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’ 일부 개정안이 1일 국무회의에서 의결됐다고 밝혔다.

이번 개정으로 기업규모에 따른 정보보호 최고책임자의 획일적 지위(임원급)가 다양화되고 신고대상 범위는 명확화된다. 겸직제한도 완화돼 기업의 부담을 줄여주면서 제도의 실효성을 제고할 수 있을 것으로 기대된다.

개정안은 먼저 겸직제한 대상 기업을 제외한 중소기업은 부장급 정보보호 책임자도 지정 가능하도록 했다. 직전 사업연도 말 자산총액 5조원 이상이거나, 정보보호 관리체계(ISMS) 의무대상 중 자산총액 5000억 원 이상인 자가 겸직제한 대상에 해당한다. 추후 시행령에서 구체화할 예정이다.

이는 그동안 중기업 이상 모든 기업에게 일률적으로 ‘임원급’ 정보보호 최고책임자 지정을 강제하며 인력 채용?조직신설에 대해 기업의 어려움 호소가 많았던 것을 반영한 조치다. 과기정통부는 "이번 개정으로 부담을 완화시킬 것"이라고 기대했다.

또한 개정안은 정보보호 필요성이 큰 중기업 이상으로 정보보호 최고책임자를 신고하게 하고, 신고의무가 면제된 기업은 시행령에서 정보보호 최고책임자를 대표자로 간주해 정보보호 공백도 방지하도록 했다. 기존까지는 단순한 홍보?안내 홈페이지를 운영하는 연매출 10억 원 이상 음식점?학원 등도 정보보호 최고책임자 신고 의무 대상이었으나, 이번 개정으로 신고 의무 대상에서는 제외된다.

아울러 정보보호 최고책임자의 정보보호를 위한 업무를 명확히 하고 개인정보 보호책임자(CPO) 등 유사 정보보호 관련 업무도 수행할 수 있게 겸직제한을 완화했다. 겸직이 가능한 업무로는 정보보호 계획의 수립?시행, 정보보호 실태와 관행의 정기적인 정보보호 감사, 위험의 식별 및 정보보호대책 마련 등 의무적인 업무 외 개인정보보호 등이 추가됐다.

이와 함께 앞으로 한국인터넷진흥원은 정보보호 최고책임자 제도와 관련된 허위?부실 신고의 검증, 정책지원, 보안교육 등을 실시하는 역할을 맡게 된다.

정부는 제도 운영의 실효성 강화를 위해 과태료 규정도 정비했다. 허위신고 및 부적격자 지정에 대한 제재 규정을 마련해 시행령에서 구체적으로 정할 예정이다. 그간 부적격자 지정, 겸직 제한 위반의 경우에도 시정명령 조치만 가능해 제도 실효성 확보에 한계가 있었다는 지적이 잇따랐다.

홍진배 과기정통부 정보보호네트워크정책관은 “이번 법령 개정을 통해 기업 부담은 줄이면서 제도의 내실을 다질 수 있게 됐다”며 “많은 기업들이 사이버 침해사고 예방 및 대응 역량을 강화하여 기업 활동에 도움이 되고, 사이버 보안에 대한 국민 체감도를 높일 수 있게 될 것”이라고 말했다.

조슬기나 기자 seul@asiae.co.kr