과학기술정보통신부는 정보보호 최고책임자(CISO, Chief Information Security Officer) 제도 개선을 골자로 하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’ 일부 개정안이 1일 국무회의에서 의결됐다고 밝혔다.
정보통신망법 개정안은 ▲겸직제한 대상 기업(직전 사업연도 말 자산총액 5조원 이상)을 제외한 중소기업은 부장급 정보보호 책임자도 CISO로 지정할 수 있도록 하고 ▲CISO의 정보보호를 위한 업무를 명확히 하며, 개인정보 보호책임자(CPO) 등 유사 정보보호 관련 업무도 수행할 수 있게 겸직 제한을 완화하는 내용이 담겼다.
또 한국인터넷진흥원이 기업들의 CISO 제도와 관련된 허위·부실 신고를 검증하고, 정책지원, 보안교육 등을 실시하는 역할을 추가했다. CISO 제도 운영의 실효성을 위해 과태료 규정도 정비했다.
홍진배 과기정통부 정보보호네트워크정책관은 “이번 법령 개정을 통해 기업 부담은 줄이면서, CISO 제도의 내실을 다질 수 있게 됐다”라며 “많은 기업들이 사이버 침해사고 예방 및 대응 역량을 강화해 이에 대한 국민 체감도를 높일 수 있게 될 것”이라고 말했다.
이날 국무회의에서는 기업의 정보보호 공시를 의무화하는 ‘정보보호산업의 진흥에 관한 법률(이하 정보보호산업법) 개정안’도 의결됐다.
정보보호 공시제도는 정보보호산업법 제13조에 따라 정보보호 투자·인력·인증현황 등 기업의 정보보호 현황을 기업 스스로 공개하는 제도다.
과기정통부 관계자는 “4차 산업혁명과 신종 코로나바이러스 감염증(코로나19) 발생 후 기업들의 디지털 전환이 가속화되면서 정보보호에 대한 중요성이 커지고, 침해사고 발생 시 파급효과도 커짐에 따라, 정보보호 투자를 비용으로 바라보는 인식을 전환하고 정보보호 투자 현황을 이용자들에게 투명하게 공개할 수 있는 정보보호 공시가 필요하다는 의견이 있었다”고 했다.
정보보호산업법 개정안이 의결됨에 따라 일정 규모 이상의 기업은 반드시 정보보호를 공시해야하며, 이를 위반하면 1000만원 이하의 과태료가 부과된다. 세부적인 의무 대상 기준은 하반기 대통령령으로 만들 예정이다. 이를 위해 산학연 전문가 및 이해관계자들의 의견을 수렴하게 된다.