정보보호 최고책임자(CISO, Chief Information Security Officer) 지정·신고제도를 정비하는 「정보통신망 이용촉진과 정보보호 등에 관한 법률」(이하 “정보통신망법”) 개정 법률안이 ’21. 5. 21. 국회 본회의를 통과하였습니다. 개정 법률안은 ’21. 12. 9. 시행될 예정입니다.

 

1. 주요 내용

■ CISO의 지정·신고제도 정비

- CISO의 자격을 “대통령령으로 정하는 기준에 해당하는 임직원”으로 정하고, CISO 지정 의무 위반(미지정 및 자격조건 미비)에 대한 과태료 조항을 신설함
- 대통령령으로 정하는 일정한 기준에 미달하는 정보통신서비스 제공자의 경우에는 CISO를 신고하지 아니할 수 있도록 함

■ CSIO의 업무 명확화

- 정보보호의 발전 방향 등을 반영하여 CISO의 총괄 업무 내용 및 겸직할 수 있는 업무를 명확히 함

[CISO 업무(제45조의3제4항) 비교]

  현행법 개정법
  총괄 업무
  1. 정보보호관리체계의 수립 및 관리ㆍ운영
2. 정보보호 취약점 분석ㆍ평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
1. 정보보호 계획의 수립・시행 및 개선
2. 정보보호 실태와 관행의 정기적인 감사 및 개선
3. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
4. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
  겸직 가능 업무
    1. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
2. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무
3. 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무
4. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
5. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

 

2. 관련 기업들에 대한 시사점

현행 정보통신망법은 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 정보통신서비스 제공자로 하여금 임원급의 CISO를 지정하고 이를 신고하도록 하고 있습니다. 각 기업에서 지정된 CISO는 기업 내 정보기술 부문의 안전성 확보, 이용자 보호를 위한 전략과 계획 수립, 보안사고 예방 및 조치 등의 정보보안 업무를 총괄하는 역할을 수행하여야 합니다.

현행법상 ‘임원급’이라는 지위가 모호하여, 기업들이 이를 악용하고 있다는 지적이 있었으며, 부적정 지정·신고에도 불구하고 관련 법률상 이를 제재할 수 있는 수단이 없어 CISO 지정제도의 실효성 확보에 한계가 있다는 비판이 존재하였습니다. 이에 개정법은 CISO의 자격을 대통령령으로 정하는 기준에 해당하는 임직원으로 개정하고, 겸직이 가능한 업무를 명시하였습니다.

과학기술정보통신부는 시행령 개정을 통해 ① 겸직제한 대상 기업(직전 사업연도 말 자산총액 5조원 이상이거나, 정보보호체계(ISMS)인증 의무대상기업 중 자산총액 5천억 원 이상인 기업)을 제외한 중소기업의 경우 대표자 또는 부장급 직원도 정보보호 최고책임자로 지정할 수 있도록 허용하고, ② 정보보호 필요성이 큰 ‘중기업’ 이상을 대상으로 CISO를 신고하게 하고 신고의무가 면제된 기업은 대표자를 CISO로 간주하겠다는 계획을 밝힌바 있습니다.

이번 정보통신망법 개정을 통하여 CISO의 자격이 일부 완화되고 겸직 가능한 업무가 법률에 명시되었다는 점에서 일부 규제가 완화된 측면이 존재하나, CISO 지정의무를 위반한 경우에는 과태료 부과 대상이 된다는 점이 명시되었다는 점에서 기업들은 CISO 지정의무를 다하여 과태료를 부과받지 않을 수 있도록 하여야 할 것입니다.

 

About Shin & Kim’s ICT Group

법무법인(유) 세종은 IT 산업 전반 및 개인정보, 데이터 분야의 독보적인 전문성과 인적 네트워크를 보유하고 있으며, 기업들을 위하여 국내외 AI, 데이터를 포함한 신기술에 관한 전문적인 자문을 제공하고 있습니다. 그 외에도 IT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.