CISO 자격 요건 규정한 정보통신망법 시행령 어떻게 개정되나 [알아야 보이는 법(法)]

정보보호 최고책임자(CISO·Chief Information Security Officer)의 자격 요건에 관한 정보통신망법 시행령 개정안이 지난 3일 입법예고되었다.

현행 정보통신망법은 CISO를 ‘임원급’으로 지정하라고 추상적으로 규정하면서 시행령 및 하위 행정규칙에서 임권급의 의미를 구체화하지 않았다. 대신에 유사 제도인 전자금융거래법 제21조의2에서 일정 규모 이상의 금융회사 및 전자금융업자로 하여금 정보보호 최고책임자를 “임원(상법 제401조의2 제1항 제3호에 따른 자를 포함한다)으로 지정하여야 한다”고 규정하고 있었기에(그 의미에 대해서는 후반부에서 상세히 논한다) 이를 참고하여 정보통신망법상 CISO 자격 요건인 임원급의 의미를 해석하고 있었다. 이번에 입법예고된 개정안에서는 이 부분이 아예 명문화되었다. 그리고 기업 규모별로 유형을 나누어 CISO 자격 요건을 차등했다.

개정안에 따른 첫번째 유형으로 직전 사업연도 말 기준 자산총액 5조원 이상인 정보통신 서비스 제공자, 또는 정보보호 및 개인정보 보호 관리체계인증(ISMS-P) 의무대상자 가운데 자산총액 5000억원 이상인 자가 있다. 참고로 이 유형의 기관은 CISO 지정 현황을 정부에 신고할 의무가 있을 뿐만 아니라 CISO가 법에서 예외적으로 허용한 업무(개인정보 보호책임자 등)를 제외한 다른 업무를 겸직할 수 없다는 점에서 가장 강한 규제를 받는다.

이 유형에서 CISO의 자격 요건은 i) ‘이사’, ii) ‘상법 제401조의2 제1항 제3호에 따른 자’, 또는 iii) ‘상법 제408조의2에 따른 집행임원’으로 규정되어 있다. i)의 이사란 법률상 이사, 즉 등기이사를 가리키는데, 등기이사는 아무리 대기업이라 할지라도 통상 10명 이내다. iii)의 집행임원이란 회사의 선택에 의하여 대표이사를 없애고 그 권한을 경영(CEO·최고경영자), 기술(CTO·최고기술책임자), 재무(CFO·최고재무책임자) 등 분야별 집행임원에게 분산시킬 수 있도록 한 제도를 가리키는데, 이는 2012년 시행된 개정 상법에서 신설되었지만 실제 국내 기업에서 채택된 사례는 드물다. 따라서 실무상 CISO는 ‘상법 제401조의2 제1항 제3호에 따른 자로 지정되는 사례’가 대부분일 것이다.

두번째 유형으로 일정 규모 이하의 중소기업은 CISO 신고의무 자체가 면제된다. 대표자를 CISO로 지정한 것으로 의제된다. i) 자본금 1억원 이하인 자 및 ii) 중소기업기본법상 소기업은 CISO 신고의무가 항상 면제된다. 한편, iii) 중소기업기본법상 중기업의 경우 면제요건이 협소하여 CISO 신고의무가 있는 사례가 많다. 중기업이 전기통신사업자, ISMS-P 인증 의무대상자, 개인정보 처리자, 통신판매업자 가운데 어느 하나라도 해당되면 CISO 신고의무가 면제되지 않기 때문이다.

세번째 유형으로 CISO 신고의무는 있으나 겸직금지 의무는 없는 기관이 있다. 앞서 본 첫번째 및 두번째 유형에 해당하지 않는, 그 중간지대에 속한 기관들이다. 이 유형에서 CISO의 자격 요건은 i) ‘사업주 또는 대표이사’, ii) ‘이사’(집행임원 및 상법 제401조의2 제1항 제3호에 따른 자 포함), 또는 iii) ‘사업주 또는 대표이사로부터 직접 지시를 받는 정보보호 부서장’으로 규정되어 있다. 이 중 ii)는 첫번째 유형에서와 동일하다. iii)의 정보보호 부서장이 추가되어 있는데, 이 부서장은 사업주 또는 대표이사로부터 직접 지시를 받으면 되고, 반드시 임원급일 필요는 없다. 이 규모의 기관에서 임원의 수가 적을 수 있음을 고려한 조치다.

‘상법 제401조의2 제1항 제3호에 따른 자’라는 규정이 자주 등장하는데, 이것은 과연 누구를 가리키는가. 해당 상법 조문은 “이사가 아니면서 명예회장·회장·사장·부사장·전무·상무·이사, 기타 회사의 업무를 집행할 권한이 있는 것으로 인정될 만한 명칭을 사용하여 회사의 업무를 집행한 자”라고 규정하고 있다. 사실 이 상법 조문은 비등기이사가 불법행위로써 회사 또는 회사의 거래 상대방에게 손해를 입혔을 때 배상책임을 지우기 위한 취지로 마련된 것이다. 판례는 비자금 조성에 적극 관여한 상무(비등기이사)에게 손해배상 책임을 인정하면서, 직명 자체에 업무집행 권한이 표상되어 있기만 하면 그러한 상무이사가 회사 내 100명 이상 있는 선임부장 정도 지위에 불과하더라도 그러한 실질과 관계없이 불법행위에 있어 등기이사와 동등한 법적 책임을 부과할 수 있다고 판단한 바 있다. 가령 어느 회사의 ‘대외협력 이사’가 외견상 권한이 있다고 여겨지는 규모로 외주업체와 계약을 체결하였는데 알고 보니 그 이사가 등기이사도 아니고 실제 권한도 없었다고 할 때, 이 법리를 응용하면 그 외주업체는 대외협력 이사를 믿고 체결한 계약이 유효하다고 주장할 여지가 생긴다.

CISO 자격 요건으로 규정된 ‘상법 제401조의2 제1항 제3호에 따른 자’에는 민간 기업의 상무, 전무 등 비등기이사인 임원이 대부분 포함될 것이다. 그런데 가령 정보보호 담당 상무가 CISO로 지정·신고되어 있는데 그 상위에 영업비밀 보호나 물리적 보안 등까지 총괄하는 전무가 있다고 하면 이는 적법한가.

다른 한편 상무이사 등의 직함을 쓰지 않는 공공기관은 어떠한가. 공공기관은 임원급으로 승진을 한다고 해서 예컨대 정규직에서 계약직으로 변경되는 등 근로계약의 형식에 명백한 변동이 생기는 것도 아니므로 그 구분이 상대적으로 명확하지 않다.

따라서 어느 정도 직위의 관리자까지가 ‘상법 제401조의2 제1항 제3호에 따른 자’에 해당하는지에 관하여 조직별 특성을 반영한 해석지침이 필요한 상황이다. 생각건대 이 문제는 그 관리자의 직함은 물론, 조직도상 지위, 부서의 독립성, 기관의 정보보호 전략이나 내규 등을 수립·실행하기 위한 권한 보유 여부 등을 종합적으로 고려하여 판단해야 할 것이다.