[뉴스토마토 이선율 기자] 임원급이 아닌 정보보호최고책임자(CISO)를 지정하거나 CISO에 정보보호 외 업무를 겸직하게 하면 과태료를 부과하는 내용의 법안이 이르면 6개월 뒤 본격 시행될 전망이다. 그동안 다수 기업들이 현행법을 위반해 CISO 신고를 해도 처벌 규정이 없어 제재에 한계가 있었으나, 이번 법안 마련으로 정보보호 공백을 예방할 조치가 될지 주목된다.
국회 과학기술정보방송통신위원회 정보통신법안심사소위(2소위)는 지난 22일 김영식 국민의힘 의원이 발의한 CISO제도 실효성 강화를 골자로 한 '정보통신망법' 일부개정안을 가결했고, 29일 본회의 처리를 앞두고 있다. 이후 해당 법안이 본회의에 상정돼 공포되면 6개월 뒤부터 본격적으로 시행된다.
사진/픽사베이
개정안을 보면 CISO 지위(임원급)을 대통령령으로 위임(제 45조의 3제1항)하고, CISO 업무는 대통령령으로 위임(제45조의 3제4항)하도록 했다. 임원급에 대한 세부기준을 대통령령으로 위임한 것이다. 또한 대기업은 상법상 임원, 중견기업은 부장급 등 임원 직속, 소기업은 대표이사로 규정했다.
이번 개정안은 비대면 근무가 확대되면서 기업 정보보호에 대한 중요성이 커진만큼 허술한 정보보호 관리체계를 사전에 예방하고자 마련됐다. 그동안은 개인정보라는 이유로 겸직 유무에 대한 정확한 조사가 어렵고, 기업별 제출된 서류에 의존하다보니 적법성을 판단하기 어려운 실정이었다. 하지만 이번에 과태료 부과하는 규정이 포함되면서 겸직을 했거나, 겸직 위반 유무를 잘못 고지할 경우에 대해서도 처벌이 가능해졌다.
신고를 하지 않거나 혹은 임원급이 아닌 CISO를 신고했을 경우 1~3회 위반 시 각각 500만원, 1000만원, 1500만원(3회 이상 포함)이 부과된다. 또 겸직을 하게되면 1~3회 위반 과태료가 각각 1000만원, 2000만원, 3000만원(3회 이상 포함)이다. CISO 겸직 금지 기업은 Δ자산총액 5조원 이상 Δ총 자산 5000억원 이상 기업 중 정보보호관리체계(ISMS) 인증 의무대상 중 자산총액 5000억원 이상 기업 등이다.
또한 법안이 시행될 때 중요한 것은 과기정통부와 한국인터넷진흥원(KISA)와의 업무협력이 원활하게 이뤄져 제대로된 조사가 처리돼야 처벌이 가능해진다. 김영식 의원실 측은 “과기부에서 신고해 KISA를 통해 검증하는 방식으로 운영하겠다는 얘기를 했다. 그간 ISMS 신고기업이 너무 많아 일일이 대조해서 검증이 어렵다는 과기부의 입장을 들었는데, 이제는 검증작업을 KISA에도 위임한 것”이라고 설명했다.
과기정통부 관계자는 “그동안 겸직 관련해 폰 번호, 사업자등록번호 등이 개인정보로 분류돼 중앙전파관리소를 통해 신고서를 접수받아 조사를 진행해왔는데 제대로 된 조사를 하는 데 어려움이 있었다”면서 “지난해 국정감사때 겸직 제한업체가 145곳 정도로 이들 업체에 대한 사실관계 파악이 어려웠다. 개정안이 시행되면 한국인터넷진흥원(KISA)도 조사에 같이 나서게 된다”고 말했다.
한국인터넷진흥원 관계자는 “우리는 겸직 제한 기업들이 겸직하는지에 대한 현황조사를 하는 역할을 하고 법 위반사안 발견시 과태료 부과는 과기부가 처리하게 된다”면서 “처벌 조항이 생기면 위법유무를 따질 수 있어 기업들이 바뀔 가능성이 커질 것으로 전망된다”고 말했다.
이선율 기자 melody@etomato.com