CISO 지정 의무화 시행 3개월…75%가 여전히 미신고

변재일 더불어민주당 의원.

[이데일리 한광범 기자] 정보보호 최고책임자(CISO) 지정신고 의무화 제도가 시행 3개월이 지났지만 대상 기업·기관 70% 이상이 아직 신고를 하지 않은 것으로 확인됐다.

CISO는 사이버 침해사고 예방 및 사고대응 등 정보보안 업무를 총괄하는 책임자로서 일정 규모 이상의 기업과 기관은 ‘정보보호 최고책임자’를 의무 지정하고 과학기술정보통신부에 신고해야 한다. 이를 위해 과기정통부는 지난 2월 ‘정보통신망 이용촉진 및 정보보호법’ 시행령을 개정해 지난 6월부터 본격 시행했다.

1일 변재일 더불어민주당 의원이 과기정통부로부터 제출받은 자료에 따르면, 8월31일 기준 CISO 지정·신고 의무 기업·기관 3만9710곳 중 2만9513곳(74.32%)이 아직 신고를 하지 않았다. 특히 과기부 산하 68개 소속·유관기관 중 한국정보화진흥원(NIA)과 정보통신산업진흥원(nipa)을 포함한 11개 기관도 CISO를 신고하지 않았다.

지난해 정보화진흥원이 선정한 초연결 지능화사회 100대 DNA(Data, Network, AI) 기업들 중에선 총 15개 기업이 CISO를 신고하지 않았다. 이들 기업은 빅데이터, 네트워크, 인공지능 등을 활용한 혁신 서비스를 제공하는 기업들로 정보보안의 필요성이 특히 강조되는 기업들이다.

아울러 2019년 대한민국 100대 기업 중에선 SK텔레콤(017670), LG(003550), 롯데지주, CJ(001040), 한국전력(015760)공사 등 18개 기업이 CISO 지정·신고 의무를 다하지 않았다.

CISO 지정 의무화 제도는 올해 말까지 계도기간을 거쳐 내년 1월 1일부터 의무 미이행 사업자에게 3000만원 이하의 과태료가 부과된다.

변재일 의원은 “초연결사회로 대표되는 4차 산업시대에서는 작은 보안사고가 치명적인 위협으로 이어지기 쉽다”며 “과기정통부는 고도화되는 사이버 보안 위협에 제대로 대응할 수 있도록 대상 기업·기관들이 올해 안에 정보보호최고책임자를 지정하도록 적극 홍보하고 이행을 독려해야 한다”고 촉구했다.