CISO 의무지정 D-3개월, 기업들 여전히 혼선

실시간
뉴스

법제도/정책

CISO 의무지정 D-3개월, 기업들 여전히 혼선

디지털데일리 발행일 2019-03-13 08:38:33

홍하나

URL복사

정보통신망법 개정...자산총액 5조원 이상 정보통신서비스 제공자, CISO 겸직 금지

[디지털데일리 홍하나기자] 정보통신망법 개정으로 오는 6월 13일부터 약 4만1000여개 기업들이 정보보호최고책임자(CISO)를 지정해야 한다. 현 시점에서 법안 발효까지 약 3개월이 남은 만큼 여기에 속하는 정보통신서비스 제공자들의 CISO 지정 현황을 살펴봤다.

지난 2월, 과학기술정보통신부는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령’ 개정안을 입법예고했다. 개정안의 골자는 ▲CISO 지정·신고 의무 대상 기업 확대 ▲CISO 겸직 제한 ▲CISO 자격요건 설정이다.

개정안에 따르면, 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호관리체계(ISMS) 인증을 받아야하는 정보통신서비스 제공자 중 자산총액 5000억원 이상인 곳은 CISO의 겸직이 금지된다.

CISO 자격요건은 ‘직무 수행에 필요한 정보보호 또는 정보기술 관련 전문지식이나 실무 경험이 풍부한 자’로 정의했다. 단, 겸직이 금지되는 CISO는 ‘상근하는 자로 타 회사의 임직원이 아닌 자로 하고, 4년 이상의 정보보호 분야 또는 5년 이상 정보기술 분야의 경력을 구비하도록 함’이라고 지정했다.

이번 개정안에 속하는 정보통신서비스 제공자인 통신3사, 포털사, 게임사 가운데 약 3분의 2가량이 시행령에 맞춰 관련 조직을 운영하고 있는 것으로 나타났다. 약 3분의 1에 해당되는 기업들은 시행령 시기에 맞춰 대응할 계획이다.

통신3사 중에서는 SK텔레콤(SKT)만 CISO가 겸직을 하고 있다. SKT의 CISO는 유영상 이동전화(MNO) 사업부장이 맡고 있다. SKT 측은 개정안 발효시점에 맞춰 CISO 선임을 준비할 계획이라고 밝혔다.

KT와 LG유플러스의 CISO는 단일 업무를 수행하고 있다. KT는 지난 2017년 1월부터 문영일 정보보안단 상무가 CISO를 맡고 있다. LG유플러스는 지난해 12월 김기용 CISO를 선임했다.

포털사의 현 대응 상황은 상반됐다. 네이버는 이진규 CISO가 관련 업무를 수행하고 있다. 반면 카카오는 고우찬 보안-인프라 조직장이 CISO를 겸직하고 있다. 카카오도 개정안 발효시점에 맞춰 대응할 계획이라고 밝혔다.

게임3사도 마찬가지다. 넥슨은 정찬규 CISO가, 엔씨소프트는 신종회 CISO가 해당 업무를 맡고 있다. 반면 넷마블은 이준영 기술전략담당 사장이 CISO를 겸직하고 있다. 넷마블은 “발효 시점에 맞춰 전담 전문가를 지정할 계획”이라고 밝혔다.

이번 CISO 지정 제도를 두고 업계에서는 엇갈린 평가가 이어지고 있다. 일각에서는 이번 개정안의 실효성이 담보되지 않을 뿐만 아니라, 오히려 과도한 규제를 부과했다는 의견이 이어지고 있다. 특히 비(非) IT기업들은 개정안 발효를 앞두고 혼란에 빠졌다는 후문도 들려온다.

반면 그동안 미흡했던 국내 기업들의 보안 수준을 높여줄 것이라는 관측도 있다. 지금까지 국내 기업 대부분은 CISO가 다른 업무를 겸하는 경우가 많았다. 금융권을 제외하고 정보최고책임자(CIO)가 겸직하거나, 보안업무와 관련이 없는 담당자가 CISO를 겸직하는 경우가 대부분이었다. 하지만 기업들의 대규모 해킹사고가 터질때마다 CISO의 필요성이 대두되기도 했다.

한 IT업계 관계자는 "기업들도 CISO 의무지정에 대한 필요성에 대해 충분히 공감하고 있으나 현실은 여력이 되지 않는 경우가 많다"며 "상대적으로 쉽고 빠르게 대응할 수 있는 대기업이나 IT기업과 달리 비 IT 기업에 대한 정부의 정책적 지원 확대가 필요하다"고 전했다.

<홍하나 기자>hhn0626@ddaily.co.kr