인더뉴스 이진솔 기자ㅣ 증가하는 보안 위협에 대응하고자 기업에 정보보호최고책임자(CISO·Chief Information Security Office)를 두는 제도가 지난 2012년 본격적으로 시행된 지 7년이 지났다. 하지만 누구를 CISO에 앉혀야하고, 보안 인력은 어떻게 양성해야 하는지를 두고 혼선이 이어져왔다.
지난 4일 기업 CISO 지정 제도를 개선하는 법률 시행령 개정안이 국무회의를 통과했다. CISO 겸직금지와 자격요건을 명시하는 내용이 새로 담겼다. 반면 의무 신고 대상 기업은 줄어, 보안 규제가 완화된 것이 아니냐는 시각이 존재한다. 변경된 제도는 오는 13일부터 시행될 예정이다.
지난 4일 김정희 한국인터넷진흥원(KISA) 사이버보안빅데이터센터장은 “인터넷으로 거래하는 정육점 사장님까지 CISO를 지정해야했던 기존 법령을 개선한 것”이라며 “대상을 줄였다기 보다는 기준을 더욱 현실적으로, 확실하게 잡았다고 볼 수 있다”라고 말했다.
CISO는 기업에 필요한 정보보호 정책을 수립하는 임원을 말한다. 정보보안에 관한 한 CEO에 준하는 책임을 갖는다. 경영자 입장에서 정보기술을 다루는 CIO와도 구분되지만, IT시스템을 관리한다는 접점 때문에 CIO가 CISO를 겸직하는 경우가 많았다.
◇ CISO 의무 대상 현실화하는 대신 자격요건·겸직금지 대상 신설
우선 이번 개정안에서는 정보통신 서비스 제공자 중에서 CISO를 현실적으로 운영할 수 있는 조직을 대상으로 한다. 지정·신고 대상은 기업집단(대기업), 중견기업, 중기업이 포함된다. 소기업 중에서는 정보통신서비스와 밀접한 기업 일부가 대상이다.
자본금 1억 원 이하인 부가통신 사업자와 소상공인, 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 등은 CISO 지정·신고 의무에서 면제된다. 이에 따라 의무 지정 대상이 19만 9000여 개에서 약 3만 9000만 정도로 줄었다.
CISO 겸직금지 역시 모든 신고대상자가 아닌 해당 업무가 정보통신과 밀접하게 관련될 때에만 해당한다. 총자산 5조 원 이상인 기업과 총자산 5000억 원 이상인 기업 중 정보보호 관리체계(ISMS) 인증 의무대상자는 겸직 없이 정보보안 업무에 전념하는 CISO를 지정해야한다.
김정희 센터장은 “기업은 CISO 운영을 비용으로 받아들일 수 있다고 판단해 정책기관이나 기업책임자 의견을 수렴해 기준을 정한 것”이라며 “매년 내용이 변경될 수 있다”고 말했다.
기본적으로 정보보호 또는 정보기술분야 석사학위 이상 취득자를 대상으로 하는 자격요건이 신설됐다. 겸직금지 대상일 경우 ▲정보보호 분야 경력 4년 이상 ▲정보보호와 정보기술 업무 수행 경력이 합산 5년 이상(그중 2년 이상은 정보보호 업무 수행 경력) 등 요건이 추가된다.
◇ 해외에 비해 낮은 국내 CISO 지정률..인력 양성 지원해 제도 안착 노력
지난 4월 기준으로 국내에서 CISO를 지정해 신고한 기업은 9587개다. 국내 기업이 CISO를 임명하는 비율은 2016년 8.9%에서 이듬해 12.6%로 늘었지만 일본 45.9%(2016년 기준)와 미국 65%(2016년 기준)에 비해 낮은 편이다.
제도가 제대로 지켜지지 않는 주된 이유는 인력 수급이 어렵기 때문이다. 자격요건을 충족하는 임원급 인재를 찾기 어려운 데다 장기적으로 육성하려해도 인력 유출이 발생할 수 있다. 새로운 직책 신설과 인력 운용에 따른 비용도 걸림돌이다.
반면, 정보보안을 중시하는 측에서는 개정된 자격요건이 낮다고 주장한다. 규정을 지키지 않았을 때 내는 과태료가 적다는 의견도 있다. 과태료는 1차 위반 시 1000만 원으로 시작해 2000만 원(2차 위반), 3000만 원(3차 위반)으로 증가한다.
우선 KISA는 지정·신고 의무가 있는 4만여 대상 기업에 이행을 독려하며 개선사항을 확인할 계획이다. 김정희 센터장은 “자격 요건은 인력 수급을 고려해 정해진 것으로 인력 양성을 지원할 것”이라며 “상황에 맞춰 개선 노력을 지속하겠다”고 말했다.