중기업 이상 IT업체 등 4만여 기업 정보보호최고책임자 지정의무화

[서울=뉴스핌] 김영섭 기자 = 정보보호 최고책임자(CISO)를 의무적으로 지정하고 신고해야 하는 기업이 대폭 늘어난다. 중기업 이상의 정보통신서비스 제공자를 비롯해 자본금 1억원 이하의 부가통신사업자를 제외한 모든 전기통신사업자, 정보보호 관리체계(ISMS) 인증을 받아야 하는 모든 정보통신서비스 제공자 등 4만1000여 기업이 대상이다.

과학기술정보통신부는 이런 내용의 CISO 제도 개선사항을 담은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법’ 시행령 개정안을 마련해 입법예고한다고 19일 밝혔다.

이번 입법예고는 지난해 개정된 정보통신망법의 6월 13일 시행을 앞두고 나왔다.

[사진=과기정통부]

개정안을 살펴보면 우선, 업종 특성과 종업원수 등을 기준으로 정하던 정보보호 최고책임자 지정·신고 의무 대상자를 기업 규모와 전기통신사업의 성격을 기준으로 개선해 신고 대상을 합리화하면서 4만1000여개 기업이 의무 지정 대상자가 됐다.

또 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억원 이상인 기업의 정보보호 최고책임자는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한했다.

아울러 정보보호 최고책임자는 정보보호 또는 정보기술 관련 전문 지식이나 실무 경험이 풍부한 인력 중에서 지정토록 했다.

특히, 다른 직무의 겸직이 제한된 정보보호 최고책임자는 상근하는 자로서 다른 회사의 임직원으로 재직 중이지 아니한 자이어야 한다. 자격요건은 4년 이상의 정보보호 분야 경력자이거나 2년 이상의 정보보호 분야 경력자로서 정보기술 분야 경력과 합해 5년 이상인 자로 정해졌다.

정보통신망법 시행령 일부 개정안 입법예고는 오는 20일부터 오는 4월 2일까지다. 내용은 과기정통부 홈페이지(www.msit.go.kr,업무안내/법령정보/입법·행정예고)와 통합입법예고센터(opinion.lawmaking.go.kr)에서 확인할 수 있다.

kimys@newspim.com