2020-10-23 17:10 (금)
CISO 임원급 겸직금지 대상기업 140여 개…처벌규정 없어 대부분 법 위반
상태바
CISO 임원급 겸직금지 대상기업 140여 개…처벌규정 없어 대부분 법 위반
  • 길민권 기자
  • 승인 2020.10.06 18:13
이 기사를 공유합니다

임원급 전담 CISO 신고해야 하지만, 부장급 신고에도 처벌 규정없어
김영식 의원, CISO 신고제도 개정안 발의 계획 밝혀
김승주 교수 “정부와 공공기관이 먼저 모범을 보여야 한다”
김영식 의원실 제공. 정보통신망법의 임원급 보안업무를 전담으로 하는 ‘정보보호최고책임자(CISO) 신고제도’가 유명무실하게 운영되고 있다. 위반시 처벌규정과 신고시 임원급 및 전담인지에 대한 검증 절차가 필요한 상황이다.
김영식 의원실 제공. 정보통신망법의 임원급 보안업무를 전담으로 하는 ‘정보보호최고책임자(CISO) 신고제도’가 유명무실하게 운영되고 있다. 위반시 처벌규정과 신고시 임원급 및 전담인지에 대한 검증 절차가 필요한 상황이다.

정보통신망법에 규정된 정보보호최고책임자(CISO) 임원급 전담제에 대한 처벌규정이 없어 제대로 지켜지지 않고 있다. CISO 임원급 전담제 위반시 처벌할 수 있는 개정안 마련이 시급한 상황이다.

페이스북이 2019년 개인정보관리소홀로 미국 정부에게 6조원의 과징금을 받은 것처럼 정보보호에 대한 리스크 관리는 전세계 기업들에게 아주 주요한 이슈다. 그럼에도 불구하고 한국의 정부·공공은 물론이고 기업들도 정보보호 최고책임자 지정제도를 위반하거나 제도를 교묘히 피해 운영하고 있어 대책마련이 필요한 시점이다.

CISO 임원급 겸직금지 대상기업 140여개…처벌규정 없어 대부분 법 위반

삼성그룹과 kt 등 몇몇 대기업만 법 취지를 살려서 CISO를 임원으로 선임해 겸직없이 업무를 수행하고 있지만 나머지 대다수 대기업은 CISO가 다른 업무를 겸직하거나 임원이 아닌 부장급을 CISO로 임명한 상황이다.

CISO 임원급 겸직금지 대상기업 140여개 중에서 많은 기업들이 부장급으로 CISO를 신고하고 있다. 이에 과학기술정보통신부는, 이와 관련해서 처벌규정이 없어서 신고과정에서 임원급이면서 전임자 임을 명확히 할 수 있는 자료를 함께 제출하도록 하고 위반시 처벌하도록 하는 개정안을 준비 중에 있다.


김영식 의원 “CISO 제도 유명무실…관련 보완 입법 추진”

김영식 의원(경북 구미을, 국민의힘 과방위)은 10월 5일, 정보통신망법에 의거 임원급 보안업무를 전담으로 하는 ‘정보보호최고책임자(CISO) 신고제도’가 유명무실하게 운영되고 있다고 밝혔다.

기업들의 보안 강화를 위해 2019년 6월부터, 정보통신서비스 제공자는 CISO를 지정, 과기정통부에 신고해야 하며, 자산 총액 5조원 이상, 정보보호 관리체계 인증 의무대상자 중 자산총액이 5천억원 이상인 정보통신서비스 제공자는 임원급의 보안업무 전담 CISO를 지정·신고하도록 하고 있다. (정보통신망법제45조의3(정보보호 최고책임자의 지정 등))

김영식 의원실이 과기정통부 자료 열람을 통해 제공받은 자료에 따르면, 다수의 기업들이 현행법을 위반해 CISO를 신고했지만, 이를 통해 처벌받은 기업은 없는 것으로 드러나 CISO 제도가 유명무실하게 운영되고 있는 것을 확인했다.

김영식 의원실은 과기정통부 CISO 신고자료 열람을 통해, 부적정 CISO 신고(임원급 CISO가 아닌 경우, 겸직을 하는 경우)가 다수가 있는 것을 확인하고, 10개 기업의 사례를 공개했다.

김영식 의원실이 확인한 바에 의하면, CISO 신고는 단순 신고제도로 운영되고 있어, 신고단계에서 부적정 CISO 선임 여부를 판별하지 못하는 것으로 드러났다.

김영식 의원은 “CISO 제도가 도입 초기인 점을 감안하더라도, 신고제도가 지나치게 느슨하게 운영되고 있다”고 지적하며 “기업의 우선순위를 나눠서라도 CISO 신고 내용에 대한 검증과 신고 수리방법의 개선이 필요하다”고 밝혔다.

또 “한국수력원자력은 국가 발전산업을 책임지는 기관으로 어느 곳 보다 보안의 중요성이 높은 곳인데, CISO가 법을 어겨가면서 총무와 인사, 노무 업무까지 겸직하고 있다”고 밝히며 “특히, 민간기업이 아닌 공기업에서도 다수가 이를 위반하고 있어서 국정감사에서 이 문제에 대해 따져 물을 것이다”라고 강조했다.

김승주 교수 “보안전담 CISO, 정부와 공공기관이 먼저 모범을 보여야”

박나룡 보안전략연구소 소장은 “CISO 임원급 겸직금지 제도는 정보보호를 위한 첫 걸음이다. 이를 위반하는 것은 여전히 기업들의 정보보호에 대한 관심이 부족하다는 증거다. 결국 이런 무관심들이 쌓여 대형 보안사고로 이어지게 된다. 법 개정을 통해 CISO 임원급 겸직금지 제도가 제대로 운영될 수 있도록 해야 한다”고 강조했다.

김승주 고려대 교수는 “정부도 보안전담 CISO를 두지 않고 있는 상황에서 기업들만 탓하기도 어려운 상황이다. 정부와 공공기관이 모범을 먼저 보여야 한다”고 강조하고 “실제로 보안사고 등이 발생했을 때 전담 CISO 임원을 뒀는지, 국제 표준을 준용했는지, 국제 CC인증을 받은 제품을 사용했는지 등의 여부를 확인하고 기업의 책임을 감면해주는 척도로 활용하는 것도 방안이다”라고 말했다.


[하반기 최대 공공·금융·기업 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★