3만여개 기업의 개인정보보호최고책임자(CISO) 지정·신고 의무를 부여하는 정보통신망법 개정안과 관련 시행령이 올해 본격 시행됐다. 하지만 여전히 절반에 가까운 기업이 미신고 상태에 머물러 있다. 설상가상 글로벌 기업 한국 법인은 법적 대상 여부조차 명확하지 않아 법 사각지대 머물러 있다는 지적이다.

IT조선 편집
IT조선 편집
4일 관련 업계에 따르면 1월 1일부로 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 개정안과 관련 시행령이 본격 시행됐다. 당초 2019년 6월부터 시행됐어야 하지만 업계 혼란을 감안해 6개월 계도 기간을 거쳤다.

정보통신망법 개정안과 관련 시행령은 기업의 보안 조치 소홀로 발생하는 침해 사고를 막고자 소규모를 제외한 정보통신서비스 제공자에 CISO 지정을 의무화했다. 지정 사실을 과학기술정보통신부(과기정통부)에 신고하는 것도 의무다. 미이행 사업자는 최대 3000만원의 과태료가 부과된다. CISO는 사이버 침해 사고를 예방, 대응하는 등 기업 정보보안 업무를 총괄하는 책임자다.

CISO를 둬야 하는 대상 기업은 ▲중기업 이상의 정보통신서비스 제공자 ▲자본금 1억원 이하의 부가통신사업자를 제외한 모든 전기통신사업자 ▲정보보호 관리체계(ISMS) 인증을 받아야 하는 모든 정보통신서비스 제공자 등 총 3만4000여곳으로 파악된다.

또 법은 기업 규모가 클수록 침해 사고 피해도 커진다는 점에서 최고정보관리책임자(CIO)나 최고정보보책임자(CSO) 등이 CISO를 겸직하지 못하도록 했다. 자산총액 5조원 이상이거나 정보보호 관리체계(ISMS) 인증 대상자 중 자산총액 5000억원 이상인 정보통신서비스 제공자가 대상이다. 120여개 기업이 이 기준에 부합된다.

신고 기업 50% 넘겼다지만…업계 "CISO가 뭔가요"

현재 CISO 의무 지정·신고 대상인 3만400여곳 중 법을 이행한 기업은 절반이 넘는다. 지난해 발표된 수치(35%)보다는 올랐다. 과기정통부 관계자는 "정확한 수치는 얘기하기 어렵다"면서도 "CISO 의무 신고 대상 중 50% 넘은 기업이 신고를 했다"고 말했다.

IT조선이 취재한 결과 지난해 10월 변재일 더불어민주당 의원실에서 내놓은 자료에서 언급된 CISO 미신고 기업 다수는 현재 신고 의무를 마친 상태다. 실제 한국 100대 기업 안에 2019년 미신고 기업으로 분류됐던 18개 업체 중 포스코인터내셔널과 포스코경영연구원, 롯데지주, SK텔레콤, SK가스, 삼성SDI, 대우조선해양, 현대중공업그룹, CJ그룹, 한국전력공사, LG상사, S&I코퍼레이션 등 12곳은 CISO 지정과 신고 의무를 마쳤다.

문제는 2018년 6월 법안이 국회 본회의를 통과한 후 1년 후인 2019년 6월 본격적인 시행에 앞서 추가로 6개월 유예기간을 뒀음에도 미신고 기업 개선 비율이 비교적 낮다는 점이다. 본격적인 법 시행에 나선 지 5개월도 추가로 지났음에도 여전히 절반에 가까운 기업은 신고를 하지 않았다.

CISO를 지정한 곳도 조직 구성원 다수가 CISO 역할과 존재 여부조차 몰랐다. 인사 부서 일부 관계자만 CISO 존재 여부를 알 뿐이었다. CISO 지정 여부를 묻는 기자 질문에 "CISO가 어떤 직책인지 설명을 해달라"는 기업 관계자가 많았다.

해외 한국 법인, CISO 지정·신고 대상인지 파악도 힘들다

한국에 진출해 있는 글로벌 기업의 개선 비율이 낮은 점도 문제로 지적된다. IT조선이 확인한 결과에 따르면 한국마이크로소프트(MS)나 구글코리아 등 기업을 제외한 다수 기업은 "다른 법인이나 본사에만 CISO를 두고 있다"며 미지정 사실을 밝혔다. CISO 지정 의무를 묻는 기자 질문에 "내부 정보를 확인해주기 어렵다"는 답변을 해온 곳도 있다.

업계 관계자는 이와 관련해 "본사와 지사가 구분돼 있다 보니 인사권이나 행정권이 제한돼 그럴 수 있다"며 "제약 문제가 아니라면 버티고 있는 게 아닐까 생각한다"고 말했다. 또 다른 정보보호 전문가는 "지사 형태로 있다 보니 여러 책임을 회피하고 있는 경우가 많은 것 같다"고 꼬집었다.

설상가상 해당부처인 과기정통부는 한국 법인의 CISO 지정·신고 대상 여부를 밝히는 것에 조심스러운 반응을 보였다.

과기정통부 관계자는 "글로벌 기업의 회계 정보를 투명하게 얻을 수 없다 보니 의무 대상 기업인지 여부를 파악하기가 어려운 측면이 있다"고 답했다. 자칫 한국 기업에 더 엄격한 법 잣대가 적용되거나 사각지대가 발생할 수 있다고 우려하는 이유다.

한편 과기정통부는 5월 29일까지 CISO 지정·신고 의무 기업을 대상으로 실태 조사를 진행했다. 업계는 과기정통부가 기업 현황을 살피고 과태료 처분과 개선 사항을 안내할 것이라고 예상했다.

김평화 기자 peaceit@chosunbiz.com