CISO 신고제 유명무실

장미 기자
입력 2020.10.05 11:33 수정 2020.10.06 14:27
각 기업에서 보안업무를 전담하는 정보보호최고책임자(CISO) 신고 제도가 유명무실하게 운영되고 있다는 지적이 제기됐다.

5일 김영식 국회 과학기술정보방송통신위원회 의원(국민의힘)은 "CISO를 신고한 국내 기업 중 현행법을 위반했음에도 처벌받은 기업은 없는 것으로 드러났다"며 "부적정 CISO 신고를 여러 건 확인하고 이 중 10개 기업 사례를 공개했다"고 밝혔다.

CISO 부적정 지정·신고 현황 / 김영식 의원실
현행법(정보통신망법제45조의3 정보보호 최고책임자의 지정 등)에 따르면 정보통신서비스 제공자는 보안 강화를 위해 2019년 6월부터 CISO를 지정, 과기정통부에 신고해야 한다. 또 자산 총액 5조원 이상, 정보보호 관리체계 인증 의무대상자 중 자산총액이 5000억원 이상인 정보통신서비스 제공자는 임원급 보안업무 전담 CISO를 지정·신고해야 한다.

하지만 김영식 의원 측이 과학기술정보통신부 CISO 신고자료 열람을 통해 제공받은 자료를 확인한 결과에 따르면 현재 운영되는 CISO 신고는 단순 신고 제도로 운영되고 있어 신고 단계에서 부적정 CISO 선임 여부를 판별하지 못하는 것으로 드러났다. 임원급이 아닌 차·부장급에 책임을 전가하거나 CISO가 겸직을 하는 경우가 부적정 사례에 해당한다.

구체적으로 대림산업, GS에너지 등은 정보 보호 책임을 부장급 또는 차장급에 전가했다. 한국수력원자력 등은 보안업무를 전담할 CISO가 총무, 인사, 노무 등 다른 업무를 겸직했다.

김영식 의원은 "한국수력원자력은 국가 발전산업을 책임지는 기관으로 어느 곳보다 보안의 중요성이 높은 곳인데 CISO가 법을 어겨가면서 총무와 인사, 노무 업무까지 겸직하고 있다"며 "특히 민간기업이 아닌 공기업에서도 다수가 이를 위반하는 문제에 대해 국정감사에서 따져 물을 것이다"고 강조했다.

그는 이어 "CISO 제도가 도입 초기인 점을 감안하더라도 신고제도가 지나치게 느슨하게 운영되고 있다"며 "기업의 우선순위를 나눠서라도 CISO 신고 내용에 대한 검증과 신고 수리방법의 개선이 필요하다"고 밝혔다.

김영식 의원은 정기 국회 내에 CISO 신고제도 개정안을 발의할 계획이다. CISO가 CPO(개인정보보호최고책임자)를 겸직하지 못하도록 한 규제를 해소하겠다는 취지다.

김 의원은 "CISO가 CPO(개인정보보호최고책임자)를 겸직하지 못하도록 한 것은 지나친 규제다"며 "정기국회 내에 CISO 신고제도와 관련한 보완 입법을 추진하겠다"고 했다.

장미 기자 meme@chosunbiz.com


T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기