출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=97723 

그동안 형식적으로 운영돼 왔다는 지적이 제기됐던 정보보호 최고책임자(CISO) 제도를 강화할 정보통신망법 개정안이 국회 본회의를 통과했다. 국민의힘 김영식 의원은 자신이 대표발의한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안’이 제387회 국회본회의에서 통과됐다고 밝혔다.  

2020년 11월 25일 발의된 이번 개정안을 살펴보면, △임원급이라는 모호한 정의와 △신고의무가 없는 소규모 기업, 그리고 △일부 업무 겸직 가능 등의 내용을 담고 있다.

개정안 제45조의3①을 보면 기존 ‘임원급의 정보보호 최고책임자’ 항목이 ‘대통령령으로 정하는 임원급’으로 수정됐다. 또한 제45조의3④에서 보면 ‘1. 정보보호관리체계의 수립 및 관리·운영’을 ‘1. 정보보호 계획의 수립·시행 및 개선’으로 수정하고, ‘2. 정보보호 취약점 분석·평가 및 개선’을 ‘2. 정보보호 실태와 관행의 정기적인 정보보호 감사 및 개선’으로 수정했다.

아울러 ‘3. 침해사고의 예방 및 대응’은 ‘3. 정보보호 취약점 및 위험의 식별·평가 및 정보보호대책 마련’으로, ‘4. 사전 정보보호대책 마련 및 보안조시 설계·구현 등’을 ‘4. 정보보호 교육 및 모의훈련 계획의 수립 및 시행’으로 각각 수정했다. 또한 ‘7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행’을 ‘7. 그 밖에 대통령령으로 정한 업무’로 수정했다.

또한, 한국인터넷진흥원의 업무인 제52조③ 11. ‘정보통신망 침해사고의 처리·원인분석 및 대응체계 운영’을 ‘원인분석·대응체계 운영 및 정보보호 최고책임자를 통한 예방·대응·협력 활동’으로 수정돼 정보보호 최고책임자의 위상을 높였다.

위반시 부과하는 과태료에 대해서도 제76조(과태료) 항목을 수정해 강화했다. 기존 제76조① 6의2에서 제45조의3제1항을 위반하여 ‘정보보호 최고책임자의 지정을 신고하지 아니한 자’를 ‘정보보호 최고책임자의 지정을 신고하지 아니하거나 정보보호 최고책임자를 임원급으로 지정하지 아니한자’로 수정했으며, 제76조① 6의3에 ‘업무 외의 다른 업무를 정보보호 최고책임자로 하여금 겸직하게 한’이라는 항목을 추가해 겸직시 과태료를 부과할 수 있도록 했다.

이와 관련해 개정안의 검토보고안을 제출한 과기정통위 조기열 수석전문위원은 △현행법의 ‘임원급’이란 지위가 모호한 점을 악용한 일부 기업이 실제 임원이 아닌 직원을 정보보호 최고책임자로 지정한 사례가 많은데, 이번 개정안에서 임원급의 의미를 대통령령으로 정하도록 하고, △소규모 기업이 정보보호 최고책임자 지정 의무 제외가 아닌 지정 후 ‘신고’하는 의무를 제외하는 것으로 했으며, △겸직금지 의무 위반시 과태료를 부과하는 내용이 담겼다고 설명했다.

다만, 이번 개정안은 시행령 개정과 함께 기업의 규모·특성별(예를 들면, 대기업은 임원, 중소기업은 부장급 등 임원 직속, 소기업은 대표이사 등)로 정보보호 최고책임자 지정 요건을 달리 규정하고자 할 경우 이를 법률에서 보다 명확히 규정할 필요가 있다고 조언했다.

또한, 한국인터넷진흥원의 업무에 정보보호 최고책임자를 통한 예방·대응·협력 활동을 추가함으로써, 정보보호 최고책임자 제도와 관련한 허위·부실 신고 검증, 정책지원, 보안교육 실시 등을 수행할 수 있는 명시적 근거를 마련했다는 점에서 타당한 것으로 보인다고 설명했다.

김영식 의원은 “정보통신망법 개정안은 그동안 형식적으로 운영되던 정보보호 최고책임자의 지위와 업무를 대통령령으로 위임하고, 법령 위반 시 처벌 규정을 신설하는 내용”이라면서, “법안이 시행되면 국내 산업계 전반의 정보보호 관리체계 수준을 높이는데 크게 기여할 것으로 예상된다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]