정보보호최고책임자(CISO) 지정 및 요건

CISO의 ①의무화 ②겸직금지 ③자격요건 법제화됐다

정보통신서비스 제공자 자산총액/총매출에 따라 CISO 지정 의무
오세정 의원 발의 정보통신망법 대안 국회 본회의 통과
현업 CISO들 우려의 뜻 나타내기도...실효성 확보가 관건

▲정보통신망법 대안 제45조의3[이미지=오세정의원실]

http://www.boannews.com/media/view.asp?idx=69903

---

정보통신망법 대안이 법안을 통과한 후

현재 대기업과 글로벌 기업 등 일부 기업만 지정하고 있는 정보보호최고책임자(CISO)가 정보통신서비스 제공자를 대상으로 의무화 된다고 한다. 

이 대안은 대통령 재가를 거친 후 공표되며, 1년의 유예기간을 거친후 시행되므로 늦어도 19년 6월경에 시행 예상이다.

또한 대안에 명시되지 않은 자산총액/매출액, 자격기준은 대안 통과후 시행령에서 정확히 될 것으로 보이나 전자거래기준법상 CISO 자격 기준을 따를 가능성이 높다고 과기정통부 관계자는 설명했다.

이번 정보통신망법 대안은 '제45조의3 ①'로 신설되었으며 

'정보통신서비스 제공자는 임원급의 정보보호최고책임자를 지정하고, 과기정통부 장관에게 신고해야 한다. 다만 자산총액과 매출액에 따라 제외될 수 있다.'로 명시하고 있다.

'제45조의3 ③'에서는 

'지정된 CISO는 지정된 업무외에 겸직할 수 없다'라고 명시하였는데 

많은 기업이 CTO(최고기술책임자,경영활동총괄책임자)가 CISO를 겸임하면서 정보보안에 대한 투자와 관리에 소홀했던 측면에 대해 개선을 기대하며 발의한 것으로 전해지고 있다.

경영활동총괄책임자는 회사를 대표하는 최고 임원이기 때문에 모든 분야를 총괄함에 따라 정보보안에 온전히 신경쓸 수 없는게 사실이다. 

이러한 측면에서 본다면 CISO를 따로 지정하여 관리토록한다면 회사의 보안성이 훨씬 더 상향할 것이므로 긍정적인 법안이 발의된 것이라 생각한다.

'제45조의3 ⑦'에서는

'CISO 자격요건에 필요한 사항은 대통령령으로 정한다'고 지정되어있다.

이 부분은 자격요건(전공, 경력, 자격) 강화를 예고하는 의미이며, CISO의 전문성을 추구하여 보다 정확하고 튼튼한 보안 관리가 가능하도록 하는 것이다.

대안 발의 후 부정적인 시선은 무엇일까?

이 법은 전반적으로 과다한 규제라는 의견이 있다 

또한 임원 대부분은 계약직이기 때문에 입원급으로 CISO 지정하는 것을 의무화하더라도 기업에서 대우를 안해주는 경우 불리하게 작용할 수 있다는 것이다. 

나는 보안을 전문적으로 강화할 수 있음에 이 법안이 긍정적인 부분만 있을 것이라 생각하였다. 

그러나 부정적인 시선으로 보는 사람들의 의견도 납득이 가기때문에 중립적인 시선으로 바라봐야 한다는 생각을 다시 한번 했다.

또한 이 법안이 유예기간동안 어떻게 적용되며 어떠한 시행령이 발의될 지 지켜봐야 할 것이다.