小기업 아니면 CISO 지정 필수된다…겸직도 금지

중기업 이상 필수…4만1000개 기업 대상될 듯
CISO 자격 요건도 강화…겸직 근무 상근자로 지정
보안 경력 4년 이상 또는 보안+IT경력 5년 이상도 필요

[아시아경제 이민우 기자] 정보보호최고책임자(CISO) 의무지정 요건이 강화된다. 단순 업종·종업원수에 따랐던 과거 기준과 달리 매출 120억원 이상의 중기업 규모의 정보기술(IT) 기업이거나 정보보호관리체계(ISMS) 대상인 기업은 CISO 지정이 필수다. 타 직책과 겸직도 금지되며 정보보호 관련 경력도 필수로 갖춰야 한다.

과학기술정보통신부는 이 같은 내용의 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 개정안을 입법예고한다고 19일 밝혔다. 업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위해서다.

그동안 CISO 지정 대상 기업은 단순히 업종(내용 선별 소프트웨어 개발 사업자, 음란물 및 사행성 게임물 차단 프로그램 제공자 등) 및 종업원수 1000명 이상으로 지정됐다. 업계 상황에 맞지 않는 기준이라는 지적이 제기됐다.

이번 개정안에 따라 중기업(자산 총액 5000억원 미만 및 업종별 기준 매출액 이하) 이상의 정보통신서비스 제공자 및 모든 전기통신사업자(자본금 1억 원 이하 부가통신사업자 제외), ISMS 인증 대상 기업 등 4만1000여개 기업은 CISO를 의무 지정하고 과기정통부 장관에게 신고해야 한다.

특히 자산 총액 5조원 이상인 정보통신서비스 제공자와 ISMS 인증 대상 중 자산 총액 5000억원 이상인 기업에 대해선 CISO의 겸직이 금지된다.

CISO의 지정 요건도 강화됐다. 정보보호 또는 정보기술 관련 전문 지식과 실무 경험이 필수가 됐다. 최고경영자(CEO)나 전문성 없는 이들이 겸직하는 관례를 개선하기 위해서다. 특히 겸직이 제한된 CISO는 상근해야 하며 타 기업의 임직원으로 재직할 수 없다. 또한 4년 이상의 정보보호 분야 경력자 또는 2년 이상의 정보보호 분야 경력을 기본으로 IT분야 경력과 합산해 5년 이상의 경력을 갖춰야만 한다.

이번 개정안 입법 예고는 20일부터 오는 4월 20일까지다. 자세한 내용은 과기정통부 홈페이지와 통합입법예고센터에서 확인할 수 있다. 과기정통부 관계자는 "이번 개정안을 통해 사회 전반의 정보보호 역량을 강화함으로써 사이버 침해사고의 예방과 사고 발생 시 피해의 최소화 및 신속한 복구 등에 기여할 수 있을 것"이라고 했다.

이민우 기자 letzwin@asiae.co.kr