CISO 겸업 금지 “CPO는 예외해 달라”

김평화 기자
입력 2020.05.13 08:11
기업의 정보보호 최고책임자(CISO) 겸직 금지를 담은 법안이 올해 본격적인 시행에 들어갔다. 2018년 국회 본회의를 통과하고 1년 동안의 유예기간과 추가 6개월의 유예기간을 거쳐 올해부터 본격화한다. 그럼에도 업계는 업무가 중첩돼 오랜 기간 겸직 비율이 높았던 CISO와 개인정보보호 최고책임자(CPO) 분리에 난색을 표한다. 정보보호 중요성을 높이려던 법안 취지와 달리 기업의 관련 업무에 어려움을 더한다는 주장이다.

아이클릭아트
코로나19 확신 이유로 올해까지 유예기간 연장 요청

12일 정보보호 업계에 따르면 한국CPO포럼은 기업 CISO 겸직을 막는 법안 시행 유예기간을 올해까지 재연장해 달라며 정부에 탄원서를 제출했다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’ 개정안과 시행령 등의 하위 법령이 2019년 6월 시행 후 6개월 유예기간을 마쳐 올해 본격적인 도입을 시작했기 때문이다.

한국CPO포럼은 "지난해 법 시행 후 6개월만에 통합해 운영하던 정보보호(CISO)와 개인정보보호(CPO) 관리 조직을 개편하는 데 한계가 있다"며 "특히 최근 신종 코로나바이러스 감염증(코로나19) 사태로 금융사 망분리 환경 의무화 조치에 예외를 두는 만큼 정보통신망법 시행도 기업이 위기를 극복하도록 유예기간을 늘릴 필요가 있다"고 주장했다.

정보통신망법(제45조의3 제3항)과 관련 시행령(제36조의6 제3항)은 "자산총액 5조원 이상이거나 정보보호 관리체계(ISMS) 인증 대상자 중 자산총액 5000억원 이상인 정보통신서비스 제공자"를 CISO 의무 지정 조건으로 제시한다.

또 정보통신법(제45조의3 제4항)은 CISO 업무를 총 7가지로 제시하며 이외 업무 겸직을 금지한다. 구체적인 업무는 ▲정보보호관리체계의 수립과 관리·운영 ▲정보보호 취약점 분석·평가와 개선 ▲침해사고 예방과 대응 ▲사전 정보보호대책 마련과 보안조치 설계·구현 ▲정보보호 사전 보안성 검토 ▲중요 정보 암호화와 보안 서버 적합성 검토 ▲그밖에 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 등이다.

CPO는 별개 "법 재검토 필요하다"

업계는 특히 CISO와 CPO의 경우, 유예기간 연장이 아닌 해당 법안 자체의 재검토까지 필요하다고 강조한다. CISO 겸직 금지로 업무 비효율성을 초래한다는 이유다. CISO와 CPO 간 업무 중첩이 발생함에도 기업 보안과 개인정보보호 업무를 분리해야 해 어려움이 생긴 탓이다.

심상헌 CPO포럼 사무국장은 "다수 기업이 CISO와 CPO를 겸직하는 이유는 두 업무 모두 ‘보호’를 담당하기 때문이다"며 "CPO가 조직과 고객 개인정보를 보호한다면 이를 돕는 기술·관리적 보호 업무는 CISO가 담당하기에 업무 연관성이 높을 수밖에 없다"고 설명했다.

그는 이어 "최고정보관리책임자(CIO)는 기업 인프라를 관리하다 보니 정보 활용에 방점을 둬 보안을 소홀할 수 있다"며 "CIO와 CISO는 상충하는 성격이기에 겸직을 금지하자는 게 업계의 통용된 생각이지만 CPO는 다르다"고 강조했다.

IT 업계 한 관계자도 "CISO가 다수 직책을 겸직하면서 생기는 기업의 정보보안 홀대를 막기 위해 CISO 겸직 금지 조항이 나왔다"며 "이같은 겸직 금지로 CPO 업무에까지 영향을 준다면 이는 잘못된 적용이라고 생각된다"고 말했다.

과학기술정보통신부(과기정통부)는 CISO와 CPO 겸직은 금지라는 원론적인 반응을 보인다. 유예기간 연장도 불가하다는 입장이다. 이미 업계 혼란을 줄이고자 일정 부분 예외를 뒀기 때문이다.

과기정통부 관계자는 "정부가 CISO 겸직을 금지하면서 생기는 업계 혼란을 막고자 2019년 12월 ‘CISO 지정·신고 제도 안내서’를 배포했다"며 "업계에서 요구하는 대로 법 유예기간을 연장하는 일은 곤란하다"고 밝혔다.

그는 이어 "이미 안내서에는 기술·관리적 정보보호 업무가 개인정보보호와 분리하기 어렵다면 CISO가 CPO를 겸직하도록 허용했다"며 "CPO의 나머지 업무는 CISO와 겸직하기 어렵다고 봤기에 불가하다고 안내한다"고 강조했다.

다만 업계 혼란이 지속되면 조사를 통해 법을 수정할 수 있다는 가능성은 내비쳤다. 그는 "겸직 금지 대상 기업을 상대로 실태조사를 진행하는 만큼 향후 문제가 있다면 법적 개선도 검토하겠다"고 말했다.

김평화 기자 peaceit@chosunbiz.com

T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기