내달부터 대기업에 임원급 정보보호책임자 둬야..위반시 과태료

[머니투데이 차현아 기자]

(서울=뉴스1) 박정호 기자 = 임혜숙 과학기술정보통신부 장관이 25일 오전 서울 여의도 CCMM빌딩에서 열린 지하철 Wi-Fi 28㎓ 백홀 실증 결과 발표 및 농어촌 5G 공동이용망 시범상용화 개시 행사에서 인사말을 하고 있다. 과학기술정보통신부는 지난 4월 발표한 「농어촌 5G 공동이용 계획」에 따라 11월 25일부터 전국 12개 시·군 내 일부 읍면에서 시범상용화를 시작, 22년 연내 1단계 상용화를 실시하고 ‘24년 상반기까지 단계적으로 상용화를 완료할 계획이다. 임 장관은 이날 행사에 앞서 통신3사 대표들과의 간담회에서 네트워크 투자확대, 농어촌 5G 공동망 조기구축, 지하철 와이파이 확대 등 28㎓ 망 구축, 네트워크 안정성 확보, 청년 지원방안 등을 논의했다. 2021.11.25/뉴스1

사이버 침해사고 등 기업 보안을 책임지는 정보보호 최고책임자(CISO) 제도가 다음달부터 대기업과 중소기업에 차등 적용된다. 대기업은 CISO를 이사급 인사로 별도 지정해야 하며, 겸직의무를 위반하면 최대 3000만원까지 과태료를 부과할 수 있다. 반면 중소기업 CISO는 겸직이 가능하며, 일부 기업을 제외하고는 CISO 신고 의무도 면제했다.

기업내 중요한 정보가 많아 한 번의 사이버 공격으로 사회적 파장이 클 수 있는 대기업에는 규제를 강화한 반면, 별도의 CISO 임원을 두기 어려운 중소기업에는 부담을 낮춘 것이다.

과학기술정보통신부는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령 개정안이 30일 국무회의를 통과했다고 밝혔다. 내달 9일 시행되는 이번 정보통신망법 시행령 개정안은 기업의 사이버 침해사고 예방과 대응역량을 강화하기 위해 운영 중인 정보보호 최고책임자(CISO) 제도 개선이 골자다.

주요 내용은 기업 규모에 따라 CISO 제도를 세분화한 것이다. 직전 사업연도 말 자산총액 5조원 이상이거나 정보보호 관리체계(ISMS) 의무대상 중 자산총액 5000억원 이상인 대기업의 CISO는 반드시 이사급 임원으로 지정해야 하며 다른 업무와 겸직할 수 없다. 겸직의무 위반 시 최대 3000만원(1회 당 1000만원, 최대 3회)의 과태료를 부과할 수 있다는 내용도 이번에 신설됐다.

반면 중소기업에는 CISO 관련 규제를 완화했다. 기존에는 모든 중·대기업이 CISO 신고 의무 대상자였으나 중소기업 중에서도 △전기통신사업자 △개인정보처리자 △통신판매업자 △정보보호 관리체계 인증 의무대상자 등이 아니면 CISO 신고를 반드시 하지 않아도 된다. 또 중기업 CISO는 다른 업무를 겸직할 수 있으며, 임원이 아닌 부서장급 인사도 가능하다. 자본금 1억원 이하 소기업은 신고의무도 제외된다.

CISO 신고기한도 연장했다. 기존에는 해당하게 된 날부터 90일 내에 신고해야 했다면, 이번 개정안에선 기업 인력수급 어려움 등을 고려해 기한을 180일로 연장했다. 신고의무를 위반할 시 과태료 금액도 기존보다 낮췄다. 신고의무 위반시 1회 당 1000만원의 과태료 기준도 750만원으로 낮췄다. 단, 3번 이상 적발될 경우 최대 3000만원을 부과할 수 있다는 기준은 유지했다.

임혜숙 과기정통부 장관은 "이번 개정안을 통해 기업 부담은 완화하고 주요 CISO가 기업 내 정보보호 업무에 집중·전담토록 했다"며 "사이버 침해사고를 예방하고 사고 발생 시 신속히 복구하고 피해를 줄일 수 있도록 해 국내 기업들의 전반적인 정보보호 역량이 강화될 것"이라고 밝혔다.

차현아 기자 chacha@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>