세계일보

과학기술정보통신부는 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위해 정보보호 최고책임자(CISO·Chief Information Security Officer) 제도를 개선하기 위한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령’ 개정안이 4일 국무회의를 통과했다고 밝혔다. 개정안은 공포절차를 거쳐 오는 13일 시행될 예정이다.

개정된 정보통신망법 시행령은 CISO 지정·신고 의무 대상에서 자본금 1억원 이하의 부가통신사업자와 소상공인, 소기업(전기통신사업자·집적정보통신시설사업자 제외) 등을 제외하였다. 이에 따라 CISO 지정·신고 의무대상 정보통신서비스 제공자는 19만9000여개에서 3만9000여개로 감소(2019년 5월 기준)하게 되고 소상공인, 소기업 등은 정보보호 관련 학력·경력 등을 갖춘 CISO 지정·신고 의무의 부담을 완화하게 되어 규제 개선의 직접적 혜택을 보게 될 예정이다.

관련 학력·경력을 갖추도록 하는 등 관련 자격요건도 강화됐다. 주요 요건으로는 정보보호 업무를 4년 이상 수행한 경력이 있는 사람과 정보보호와 정보기술 업무 수행 경력을 합산한 기간이 5년 이상(그중 2년 이상은 정보보호 업무 수행 경력)인 사람 등이다.

이밖에 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억원 이상인 기업의 CISO는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한했다.

김준영 기자 papenique@segye.com

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]