[정보통신신문=박광하기자]

정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 따르면, 신고 의무 제외 대상자를 제외하고 정보보호 필요성이 큰 '중기업' 이상의 정보통신서비스 제공자는 정보보호 최고책임자(CISO)를 지정하고 과학기술정보통신부 장관에게 신고해야 한다. 이와 관련, 정부는 신규 신고의무 대상 및 겸직제한에 해당하는 경우 인력수요 등을 고려해 신고 기한을 90일에서 180일로 연장했다.

과학기술정보통신부와 한국인터넷진흥원(KISA)는 최근 이 같은 내용의 '정보보호 최고책임자(CISO) 지정신고 제도 안내서'를 발간했다.

안내서는 △정보통신서비스 제공자 △CISO 지정·신고 △CISO 직무·지위 △CISO 겸직 제한 △CISO 자격요건 △CISO 신고 요령 등 항목별 설명과 함께 침해사고 예방 및 대응 지원, 정보보호 공시제도 관련 내용을 담고 있다.

안내서에 따르면, CISO 지정·신고 대상인 정보통신서비스 제공자란 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개하는 자를 뜻한다. 따라서, 모든 전기통신사업자(기간통신사업자, 부가통신사업자)는 정보통신서비스 제공자에 해당한다. 상법상의 상인·회사는 구체적 영리행위가 없더라도 영리목적으로 서비스를 제공하므로 기본적으로 정보통신서비스 제공자로 간주한다.

CISO 지정·신고 의무대상은 신고 의무 제외 대상자를 제외하고 정보보호 필요성이 큰 '중기업' 이상의 정보통신서비스 제공자다. 신고 의무대상은 CISO를 지정하고 과기정통부 장관(중앙전파관리소장에게 위임)에게 신고해야 한다. 정부는 신규 신고의무 대상 및 겸직제한에 해당하는 경우 인력수요 등을 고려해 신고 기한을 90일에서 180일로 연장한 바 있다.

CISO의 직무는 △정보보호 계획의 수립·시행 및 개선 △정보보호 실태와 관행의 정기적인 감사 및 개선 △정보보호 위험의 식별·평가 및 정보보호대책 마련 △정보보호 교육 및 침해사고 모의훈련 계획의 수립·시행 등이다. CISO는 기업규모에 따라 대표자 또는 정보보호 책임자(부서의 장)도 CISO로 지정·신고할 수 있다. CISO는 형식적인 직위가 아니라 정보통신망법 제45조의3제4항 각 호의 정보보호 업무를 실질적으로 책임지는 자를 의미한다.

대규모 기업 등의 경우에는 정보보호 대응능력 강화를 위해 CISO가 정보보호 업무 이외의 다른 업무를 겸직할 수 없다. 겸직 제한 대상은 직전 사업연도 말 기준 자산총액이 5조원 이상이거나 정보보호 관리체계 인증 의무대상자 중 직전 사업연도 말 기준 자산총액이 5000억원 이상인 정보통신서비스 제공자 등이다. 자산총액은 개별 법인별로 산정한다. 다만, 정보보호 관리체계 인증 의무대상자 중 자산총액이 5000억원 이상인 자인 경우에도 정보통신서비스 제공자에 해당하지 않는 경우에는 CISO 지정·신고 및 겸직제한 대상이 아니다. 정보통신망법 상 CISO의 겸직 제한은 직위에 대한 겸직 제한(형식적)이 아니라, 업무에 대한 겸직 제한(실질적)이다.

지정·신고 의무대상 CISO는 임직원급으로서 미리 정해진 자격 요건을 갖춰야 한다. 한편, 겸직이 제한되는 정보보호 최고책임자는 일반 자격요건을 충족하고 상근하는 자로서 △정보보호 분야 업무 경력 4년 이상 △정보보호 분야 업무경력과 정보기술 업무경력 합산이 5년(그 중 2년 이상은 정보보호 분야 업무경력 필요) 이상 등의 특별 자격요건을 추가로 갖춰야 한다.

CISO 신고방법은 회사 대표자, 정보보호 최고책임자, 회사 소속 대리인 등이 신고자가 돼 △과기정통부 전자민원센터 온라인 민원신청 △지역별 관할 전파관리소 방문·우편 또는 팩스 접수 등을 통해 신고하면 된다. 제출서류는 CISO 지정 신고서, 법인등기사항 증명서(또는 사업등록증 사본) 등이다. 행정정보 공동이용 동의 시 법인등기사항증명서(사업자등록증 사본) 제출은 필요 없다. 신고는 접수 후 원칙적으로 즉시 처리한다.

박광하 기자 다른기사 보기