임원급 CISO 전담제 시행

CISO 임원급 전담제 내용이 담긴 정보통신망법 개정안이 지난 6월 13일부터 시행되었다. 주요 골자는 ▲소기업 등 일정 규모 이하 기업 외의 정보통신서비스 제공자는 의무적으로 임원급으로 CISO를 지정하도록 하는 것과 ▲정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액 5천억원 이상인 정보통신서비스 제공자와 직전 사업연도 말 기준 자산총액이 5조원 이상인 정보통신서비스 제공자는 임원급 CISO가 정보보호 업무 외의 다른 업무를 하지 못하도록 하는 것이다.

따라서 자산 규모 5조원 이상인 정보통신서비스 제공자는 CISO를 임원급으로 지정해야 하는 것은 물론이고 CISO가 겸직을 할 수 없게 되었다.

CISO 전담제와 임원급 지정을 의무화한 법의 취지

정보통신망법 개정안이 발의되고 국회에서 통과된 결정적인 이유는 2008년 A사 1천만건의 개인정보 유출 사고 이후에도 은행, 카드사 등 1천만건 이상의 대규모 개인정보 유출사고가 지속적으로 발생하고 있기 때문이다. 국회에서는 이러한 문제의 원인이 개인정보 보호를 책임지는 CISO가 본 업무를 전담하지 않은 점과 임원급이 아니었기 때문에 권한이 부족했던 점에 있다고 진단한 것이다.

정보통신망법 개정 이전에는 CISO의 겸직이 가능했으므로 개인정보보호 업무 비중은 5%이내인 경우도 많았고 CISO가 임원급이 아니었으므로 회사 최고수준의 의사결정에 참여하기 어려운 경우가 대부분이었다.

실질적인 권한이 있어야 임원급에 해당

연말을 앞두고 11월 말부터 임원 인사가 시작된다. 실질적인 대우나 권한 측면에서 부장 급에 불과한데도 본부장이라는 직책을 주어 겉모습만 임원급 CISO를 지정한 것처럼 하는 기업이 있을 수 있다. 그러나 의사결정 권한, 연봉의 수준 및 계약의 형태, 업무 범위 등 실질적인 면에서 임원급에 해당하지 않다면 이는 정보통신망법에서 규정하는 “임원급”에 해당하지 않는다.

그러나 고객의 개인정보를 수백만 건 수집하고 처리하는 대규모 개인정보 처리자 중에서도 자산규모가 5조를 훌쩍 넘는 대기업에서 그러한 미꾸라지 전략을 쓸 것이라고는 생각하지 않는다. 자산 5조이상의 기업은 우리나라에서 70여개 정도에 불과하다. 이 기업들은 우리나라를 대표하는 최고 수준의 기업으로서 그에 상응하여 개인정보 보호에 더욱 주의를 기울일 것이라고 기대된다.

우리나라 대기업에서도 개정된 정보통신망법의 입법취지를 살려서 개인정보 보호를 위하여 충분한 권한과 책임이 있는 제대로 된 CISO 임원이 더 많이 탄생하기를 바란다.

글. 김일영 변호사 / 한국개인정보법제연구회 대표

★정보보안 대표 미디어 데일리시큐!★