[리걸타임즈 칼럼] 정보보호 최고책임자 관련 정보통신망법령 개정과 시사점
[리걸타임즈 칼럼] 정보보호 최고책임자 관련 정보통신망법령 개정과 시사점
  • 기사출고 2019.10.16 06:55
이 기사를 공유합니다

[이주연 변호사]

디지털 시대에 기업의 주요 과제 중 하나는 단연코 사이버 보안이 아닐까 싶다. 그렇다면 기업에서 정보의 안전한 관리를 담당하고 정보보호 조직을 책임지는 자는 누구이며, 어떤 업무를 하는가?

◇이주연 변호사
◇이주연 변호사

지난 2014년부터 정보통신망 이용촉진 및 정보보호 등에 관한 법률("정보통신망법")에서는 정보통신서비스 제공자로 하여금 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 담당하는 정보보호 최고책임자(Chief Information Security Officer, CISO) 지정 제도를 마련하였다. 정부는 제도 시행 이후 실제 운영 경험을 바탕으로 2018년 6월 정보통신망법 개정을 통해 임원급의 CISO 지정 · 신고를 의무화하고 일정 규모 이상의 기업의 CISO에 대해서는 겸직을 금지하였다.

이어서 최근 2019년 6월에는 정보통신망법 시행령을 개정함으로써, CISO 지정 · 신고 제외 대상자를 규정하고 CISO의 겸직이 금지되는 대상 사업자의 조건 및 겸직 금지 CISO의 세부 자격요건을 규정하는 등 작년 개정된 정보통신망법의 내용을 구체화하였다.

이하에서는 개정 정보통신망법 및 동법 시행령("개정 법령")을 기초로 CISO의 지정 · 신고 대상 및 그 역할을 소개하고, 개정 법령에 따른 CISO의 지정 · 신고의무 및 겸직금지의 구체적인 내용에 관하여 알아보기로 한다.

CISO 지정 · 신고의무 대상 사업자

기본적으로 정보통신망법의 수범자인 정보통신서비스 제공자라면 CISO 지정 · 신고의무 대상이 아닌지 확인할 필요가 있다. 정보통신망법은 정보통신서비스 제공자를 '전기통신사업자와 영리를 목적으로 전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개하는 자'로 정의하고 있다(정보통신망법 제2조 제1항 제3호).

예를 들어 인터넷상에 상업적인 목적으로 홈페이지를 개설하여 운영하거나 인터넷 기반 서비스를 제공한다면 정보통신서비스 제공자에 해당한다. 정보통신망법은 구체적인 영리행위의 존재 유무를 정보통신서비스 제공자의 요건으로 규정하지 않으므로, 영리 목적의 기업이 실제 영리행위 없이 단순히 홈페이지를 운영하더라도 정보통신서비스 제공자에 해당한다. 홈페이지 운영 · 관리 업무 일체를 다른 회사에 위탁하더라도, 이용자와의 대외관계에 있는 홈페이지 운영자 즉 위탁기업이 정보통신서비스 제공자에 해당한다.

CISO 신고 · 지정의무 부담 차등화

다만 개정 법령에서는 기업 규모 등에 따라 CISO 신고 · 지정의무 부담을 차등화하였다. ▲자본금 1억원 이하의 부가통신사업자, ▲소상공인, ▲정보보호 관리체계(ISMS) 인증 의무를 부담하지 않는 소기업(전기통신사업자, 집적정보통신시설사업자 제외)은 CISO 지정 · 신고의무 대상에서 제외된다(정보통신망법 제45조의3 제1항 단서 및 동법 시행령 제36조의6 제1항).

바꿔 말하면 위 지정 · 신고가 면제되는 대상자를 제외한 모든 정보통신서비스 제공자는 CISO 지정 · 신고의무 대상자에 해당한다. 즉 ▲대기업, 중견기업, 중기업의 정보통신서비스 제공자, ▲자본금 1억원 이하의 부가통신사업자를 제외한 모든 전기통신사업자, ▲ISMS 인증을 받아야 하는 정보통신서비스 제공자는 CISO를 의무적으로 지정하고 과학기술정보통신부장관에 신고하여야 한다. CISO의 지정을 신고하지 않은 경우 3천만원 이하의 과태료 대상이라는 점도 유념할 필요가 있다.

CISO는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 담당하는 자로, ▲정보보호관리체계의 수립 및 관리 · 운영, ▲정보보호 취약점 분석 · 평가 및 개선, ▲침해사고의 예방 및 대응, ▲사전 정보보호 대책 마련 및 보안조치 설계 · 구현 등, ▲정보보호 사전 보안성 검토, ▲중요 정보의 암호화 및 보안서버 적합성 검토, ▲그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행의 업무를 총괄한다(정보통신망법 제45조의3 제1항 및 제4항).

CISO의 자격요건에 관하여, 개정 법령에서는 기본적으로 '임원급'으로 지정하도록 하면서, 정보보호 또는 정보기술관련 전문 지식이나 실무경험이 풍부한 자를 지정하도록 하였다(구체적인 자격요건은 정보통신망법 시행령 제36조의6 제2항 참조).

다만 개정 법령에는 '임원급'의 범위에 관한 명시적 규정이 없는바, (법인세법 시행령상 임원 관련 규정을 준용하여) 법인의 이사회 구성원, 감사 등과 그에 준하는 직무에 종사하는 자라면 임원급에 해당할 것으로 보인다. 또한 CISO의 국내 거소 유무나 국적에 관한 규정이 없으므로, 국내에 거주하지 않거나 외국 국적인 임원을 CISO로 지정하는 것도 가능하다.

겸직금지 의무와 자격요건 강화

개정 법령에서는 일정 규모 이상 기업의 CISO에 대해 다른 업무를 겸직할 수 없도록 하면서, 겸직이 금지되는 CISO에 대해서는 보다 강화된 자격요건을 제시하였다.

개정 법령에 따르면 ▲직전 사업연도 말 기준 자산총액이 5조원 이상이거나, ▲ISMS 인증 의무 대상 중 자산총액 5000억원 이상인 정보통신서비스 제공자의 CISO는 다른 업무를 겸직할 수 없다(정보통신망법 제45조의3 제3항 및 동법 시행령 제36조의6 제3항). 이에 따르면, 정보통신망법 제27조 제1항에 따라 지정된, 이용자의 개인정보 보호 및 개인정보 관련 이용자 고충 처리 업무를 담당하는 개인정보 보호책임자(Chief Privacy Officer, CPO)도 CISO와 겸직할 수 없다.

또한 겸직이 금지되는 CISO는 (앞서 언급한 CISO의 기본적인 자격요건을 갖추어야 할 뿐 아니라) ▲상근하는 자로서 타 회사의 임직원으로 재직할 수 없고, ▲4년 이상 정보보호 분야 또는 5년 이상 정보기술 분야(정보보호 2년 이상 포함) 업무를 수행한 경력을 갖추어야 한다(정보통신망법 제45조의3 제7항 및 동법 시행령 제36조의6 제4항).

신고의무 대상 39,000개로 감소

개정 법령에서 기업 규모에 따른 CISO 지정 · 신고 제외 대상이 규정됨에 따라, 기존 19만 9000개였던 CISO 지정 · 신고의무 대상이 3만 9000여개로 감소되었다고 한다. 현실적으로 사이버 보안 위험성이 낮은 기업에 대해서는 의무를 완화함으로써 제도의 실효성을 확보하기 위함인 것으로 풀이된다.

다만 일부 CISO에 대해 겸직금지 의무를 부과하고 자격요건을 강화한 것과 관련하여, 업계 일각에서는 실제 업무분장상 CISO와 CPO의 업무를 분리하는 것이 현실적으로 쉽지 않은 경우도 있고, 개정 법령상 자격요건에 부합하는 임원 선출에 부담을 느끼는 경우도 있는 것으로 보인다. 이러한 현실과의 간극은 향후 운영 실태 점검 및 각계 의견 수렴 등을 통해 해결해 나가야 할 숙제 중 하나일 것이다.

사이버 보안에 대한 중요성이 강화될수록 CISO의 위상과 역할도 그에 부합하여 변모해 가기를 기대해 본다.

이주연 변호사(김앤장 법률사무소, juyoun.lee1@kimchang.com )