|
[이데일리 이후섭 기자] 과학기술정보통신부가 정보보호최고책임자(CISO)의 겸직제한에 더해 이를 어길 경우 최대 3000만원의 과태료를 내는 방안을 추진하면서 산업계의 반발을 사고 있다. 자산 5조원 이상 대기업의 경우 업종과 상관없이 임원급 CISO를 무조건 둬야 하기에 신규임원을 채용하도록 압박하는 과도한 규제라는 지적이다.
15일 과기정통부는 설명자료를 통해 지난 8일 CISO 지위 다양화, 겸직제한 완화 등이 담긴 정보통신망법 개정안을 공포했고, 구체적 사항을 정비한 시행령을 마련해 올해 12월 9일 시행할 예정이라고 밝혔다.
CISO 제도는 지난 2014년부터 도입돼 의무화됐으며, 2019년 개정을 통해 △직전 사업연도말 기준 자산총액 5조원 이상 △정보보호관리체계(ISMS) 인증을 받아야 하는 자 중 직전 사업연도말 기준 자산총액 5000억원 이상인 경우에는 CISO가 겸직을 할 수 없도록 했다.
또 단순히 홍보·안내 홈페이지를 운영하는 연매출 10억원 이상 음식점·학원 등의 경우 이번 개정으로 신고 의무 대상에서 제외됐는데, 이런 소기업은 해킹 등의 사고가 날 경우 대표자를 CISO로 간주할 예정이다.
하지만 겸직제한 대상인 대기업 입장에서는 과태료 부과 등 신고제도가 오히려 강화된 측면이 있다. 기존에는 CISO를 신고하지 않는 기업에 대해 과태료 처분을 내렸는데 이제는 겸직제한을 위반한 업체도 첫 해에 1000만원, 다음 해 부터는 2000만원, 3000만원까지 과태료를 물도록 추진한다.
이에 지주회사나 중공업·정유·화학 등 일반 소비자 정보를 취급하지 않는 기업간거래(B2B) 회사도 무조건 CISO를 따로 둬야 하기에 임원 채용 등으로 인한 비용 부담이 크다는 보도가 나왔다. 비효율적인 규제라는 지적이다.
다만, 과기정통부는 최근 랜섬웨어 사이버위협 동향을 살펴보면 미국 콜로니얼 파이프라인, 브라질 정육업체 JBS 등 개인정보와 관련이 적으나 사회·경제적 파장이 큰 기업을 공격하는 형태로 다양화되고 있어 CISO를 중심으로 사이버 침해사고 예방 및 대응 역량을 강화할 필요가 있다는 입장이다.
과기정통부 관계자는 “CISO는 개인정보와 상관없이 기업의 정보보안을 책임지고 해킹에 대응해야 한다”며 “대기업에서 사고가 나면 사회에 미치는 영향이 크기에 겸직제한을 위반할 경우 과태료를 부과하기로 했다. 국민권익위도 제도 실효성 확보를 위한 방안을 마련해야 한다고 지적한 바 있다”고 해명했다.