[아이뉴스24 김국배 기자] 김영식 국민의힘 의원은 지난 26일 기업이 정보보호최고책임자(CISO)를 임원급으로 지정하지 않거나 정보보호 업무 외 다른 업무를 겸직할 경우 과태료를 부과하는 내용의 정보통신망법 개정안을 발의했다.
이번 개정안의 핵심은 모호했던 '임원급'에 대한 세부 기준을 대통령령으로 정하도록 한 것이다. 대기업은 상법상 임원, 중견기업은 부장급 등 임원 직속, 소기업은 대표이사로 CISO를 두도록 규정했다.
그간 기업에서 '임원급'이라는 표현이 애매하다는 점을 악용해 임원이 아닌 직원을 CISO로 신고하는 등 주먹구구식으로 운영하는 일이 적지 않았다. 업계에서는 이번 법안이 과태료 등 처벌 규정까지 포함된 만큼 실효성을 높일 것이라는 기대가 나온다. 업계 요구가 많았던 개인정보보호책임자(CPO) 겸직은 허용됐다.
그러나 민간 분야에서 CISO 제도가 개선되고 있는 것과 달리 공공 부문에서는 CISO를 여전히 찾아보기 힘들다. CISO에 해당하는 '정보보호책임관'을 두고 있는 중앙부처는 산업통상자원부, 국토교통부 등을 빼면 거의 없는 실정이다. 보안 전담 '과'가 있는 부처가 드물다.
업계에서는 공공 분야에서도 CISO 지정을 확대해야 한다고 줄기차게 지적해왔다. 보건복지부 등 정부·공공기관 역시 민감한 개인정보를 대량으로 보유한 경우가 적지 않은 데다 갈수록 북한 등 여러 국가의 사이버 공격 수위가 높아지고 있어 현행 제도로는 책임있는 대응이 어렵다는 이유다. 산업부만 하더라도 정보보호담당관이 생긴 후 한국전력, 한국수력원자력 등 17개 에너지 관련 산하기관 전부가 보안 전담조직을 갖추게 됐으며, 예산도 늘었다고 한다.
민간에 모범을 보여야 할 공공 분야는 오히려 민간보다 앞장서 CISO 지정에 나섰어야 한다. 뒤늦게 20대 국회에서 정부·공공기관의 정보보호책임관 지정을 의무화한 내용의 전자정부법 개정안이 발의됐지만, 이조차 우선순위에 밀려 국회 문턱을 넘지 못했다.
기업으로 치면 정보보호 정책을 수립하고, 인력·예산 등 투자를 집행하는 중추적 역할을 수행하는 게 CISO다. CISO의 필요성은 두 말할 나위가 없다. 공공 분야에서도 CISO가 늘어나 보안 산업의 생태계를 육성하는 마중물 역할을 해줄 수 있기를 기대해본다.
김국배 기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기