CISO 겸직제한에 과태료 부과까지.."과도하다" 업계 반발

정보통신망법 개정안 공포..12월 9일까지 시행령 마련
중소기업은 부장급도 CISO 선임할 수 있어 '완화'
대기업은 임원급 필수..겸직제한 어기면 최대 3000만원 과태료
지주사·중공업·정유도 무조건 둬야 하나.."임원 채용 비용부담"
과기부 "개인정보 상관없이 보안 책임지고 해킹 대응해..

과학기술정보통신부는 지난 11일 조경식 제2차관 주재로 `랜섬웨어 대응강화를 위한 정보보호최고책임자(CISO) 간담회`를 개최했다. 주요 기업을 대상으로 랜섬웨어 대응현황을 긴급 점검하고, 최근 랜섬웨어 사이버위협 동향을 공유했다.(사진=과학기술정보통신부 제공)

[이데일리 이후섭 기자] 과학기술정보통신부가 정보보호최고책임자(CISO)의 겸직제한에 더해 이를 어길 경우 최대 3000만원의 과태료를 내는 방안을 추진하면서 산업계의 반발을 사고 있다. 자산 5조원 이상 대기업의 경우 업종과 상관없이 임원급 CISO를 무조건 둬야 하기에 신규임원을 채용하도록 압박하는 과도한 규제라는 지적이다.

15일 과기정통부는 설명자료를 통해 지난 8일 CISO 지위 다양화, 겸직제한 완화 등이 담긴 정보통신망법 개정안을 공포했고, 구체적 사항을 정비한 시행령을 마련해 올해 12월 9일 시행할 예정이라고 밝혔다.

CISO 제도는 지난 2014년부터 도입돼 의무화됐으며, 2019년 개정을 통해 △직전 사업연도말 기준 자산총액 5조원 이상 △정보보호관리체계(ISMS) 인증을 받아야 하는 자 중 직전 사업연도말 기준 자산총액 5000억원 이상인 경우에는 CISO가 겸직을 할 수 없도록 했다.

중소기업을 중심으로 일률적인 `임원급` CISO 지정으로 인해 부담이 너무 크다는 하소연이 이어지면서 이번 개정안에는 기업 규모에 따라 임원급이 아닌 부장급 CISO 지정도 가능하도록 지위(임원급)를 다양화했고, 전기통신사업자 중 소기업은 신고면제, 개인정보 보호책임자(CPO) 등 유사 정보보호 관련 업무도 수행할 수 있게 겸직제한을 완화하는 내용이 담겼다.

또 단순히 홍보·안내 홈페이지를 운영하는 연매출 10억원 이상 음식점·학원 등의 경우 이번 개정으로 신고 의무 대상에서 제외됐는데, 이런 소기업은 해킹 등의 사고가 날 경우 대표자를 CISO로 간주할 예정이다.

하지만 겸직제한 대상인 대기업 입장에서는 과태료 부과 등 신고제도가 오히려 강화된 측면이 있다. 기존에는 CISO를 신고하지 않는 기업에 대해 과태료 처분을 내렸는데 이제는 겸직제한을 위반한 업체도 첫 해에 1000만원, 다음 해 부터는 2000만원, 3000만원까지 과태료를 물도록 추진한다.

이에 지주회사나 중공업·정유·화학 등 일반 소비자 정보를 취급하지 않는 기업간거래(B2B) 회사도 무조건 CISO를 따로 둬야 하기에 임원 채용 등으로 인한 비용 부담이 크다는 보도가 나왔다. 비효율적인 규제라는 지적이다.

업계 전문가는 “보안의 목적이 반드시 고객정보가 아니라는 점에서 CISO 제도의 방향은 타당하지만, 임원의 겸직까지 제한해 신규임원을 뽑도록 한 것은 과도해 보인다”고 일침했다.

다만, 과기정통부는 최근 랜섬웨어 사이버위협 동향을 살펴보면 미국 콜로니얼 파이프라인, 브라질 정육업체 JBS 등 개인정보와 관련이 적으나 사회·경제적 파장이 큰 기업을 공격하는 형태로 다양화되고 있어 CISO를 중심으로 사이버 침해사고 예방 및 대응 역량을 강화할 필요가 있다는 입장이다.

과기정통부 관계자는 “CISO는 개인정보와 상관없이 기업의 정보보안을 책임지고 해킹에 대응해야 한다”며 “대기업에서 사고가 나면 사회에 미치는 영향이 크기에 겸직제한을 위반할 경우 과태료를 부과하기로 했다. 국민권익위도 제도 실효성 확보를 위한 방안을 마련해야 한다고 지적한 바 있다”고 해명했다.

이후섭 (dlgntjq@edaily.co.kr)