[데이터넷] 정보보호책임자(CISO) 지정 신고 의무제가 2019년 6월 시작됐다. 개정 정보통신망법 시행령에 따라 정보통신서비스 제공 기업은 CISO를 지정해야 하며 ▲자산총액 5조원 이상인 정보통신서비스 제공자 ▲정보보호 관리체계(ISMS) 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억 원 이상 기업의 CISO는 다른 직무와 겸직하지 못한다.
이번 시행령에서는 자본금 1억원 이하 부가통신사업자, 소상공인, 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 등은 CISO 신고 의무에서 제외됐다. 실제 의무 제공 사업자는 3만9000여개이며, 겸직금지 대상 기업은 126개 정도다.
CISO 의무제를 도입하게 된 것은 기업의 정보보호 책임 의무를 강화하기 위한 것이다. 지금까지 많은 기업들이 수많은 개인정보 유출 사고를 일으켰지만 피해를 입은 소비자에게 제대로 보상을 하거나 보안 정책을 개선하지 않았다. 반복적으로 보안 사고를 일으키면서도 대책 마련에 소홀하다는 비판을 받아왔다.
정보보호 전문가를 책임과 권한 있는 임원의 자리에 선임하게 되면 해당 분야 전문성을 기반으로 정보보호 전략을 수립하고 목적에 맞는 제품과 서비스를 선택해 저가수주 관행을 없앨 수 있을 것이라는 기대도 있다.
그러나 일각에서는 CISO 지정 대상이 되는 임원급 인사 중 보안사고 시 과도하게 책임을 지게 되지 않을까, CISO로 지정되면 승진에 제약을 받지 않을까 등의 염려도 있다. 기업은 CISO 자격 요건을 갖춘 고급 인력을 찾기 어렵다고 호소한다.
그럼에도 불구하고 CISO는 업계에 긍정적인 메시지를 주고 있다. 기업의 보안 투자를 시스템을 도입하는데 그치는 것이 아니라 내부 인력의 역량을 높여 기업 전반의 보안 체질을 개선할 수 있을 것으로 기대된다.
