(서울=뉴스1) = 조경식 과학기술정보통신부 제2차관이 11일 오후 서울 종로구 광화문교보빌딩 4차산업혁명위윈회 대회의실에서 열린 '랜섬웨어 대응강화를 위한 정보보호최고책임자(CISO) 간담회'에서 인사말을 하고 있다. (과학기술정보통신부 제공) 2021.6.11/뉴스1 반면 최근 랜섬웨어 처럼 주요 기업들에대한 무차별적인 사이버 보안 위협이 확산하는 상황을 감안할 때 이같은 CISO 겸임금지 조치가 불가피하다는 의견도 맞선다.
CISO는 기업에서 사이버 보안 업무를 총괄하는 임원으로, 정보통신망법은 정보통신서비스를 제공하는 기업은 모두 CISO를 두도록 규정하고 있다. 이번 개정안에 따르면 기업 규모에 따라 기업에서 지정할 수 있는 CISO의 지위가 달라진다. 개정 전 법률에서는 CISO는 기업 규모에 상관없이 '임원급 직원'이 맡을 수 있다고 명시했으나, 개정 후엔 대기업의 경우 상법상 임원만 맡도록 제한했다. 다만 중견기업은 임원 뿐만 아니라 부장급 등 부서장도 CISO로 임명 가능하도록 완화했다.
CPO는 고객으로부터 취득한 정보를 보호하는 업무를 수행하는 개인정보처리자를 뜻한다. 개인정보를 포함, 회사의 기밀정보와 지적재산권, 영업현황과 같은 자산 보호업무를 모두 총괄하는 CISO 역할과 일부 겹치기도 한다. 인력 운영이 어려울 수 있다는 점을 감안해 개정안은 중소기업의 경우 CISO가 CPO도 겸할 수 있도록 허용한 것이다. 다만 대기업은 정보보안을 강화한다는 법 취지를 고려해 기존처럼 겸직을 제한했다.
비교적 대기업에 적용되는 규정이 많아지다보니 일부 대기업을 중심으로 반발 기류가 감지된다. 자산 5조원이 넘는다는 이유로 일반 소비자의 개인정보를 직접 다루지 않는 지주회사나 B2B(기업간 거래) 기업도 임원급 직원을 별도로 채용하도록 강제해 사실상 기업의 경영권 침해에 해당한다는 주장이다. 실제로 임원급 직원에는 별도 사무실 운영이나 법인차량 지원과 같은 유지비용이 적지 않다.
이 시각 인기 뉴스
보안업계 "대기업 대상 사이버 공격 늘어나...규제 강화 적절"
![[그린스버러=AP/뉴시스]11일(현지시간) 미 노스캐롤라이나주 그린스버러에 있는 코스트코 주유소에 주유 차량이 길게 밀려 있다. 미 동부 연료 소비량의 45%를 공급하는 '콜로니얼 파이프라인'이 사이버 공격으로 송유가 잠정 중단되면서 공급에 차질이 빚어지고 있다. 2021.05.12.](https://orgthumb.mt.co.kr/06/2021/06/2021061607024745483_1.jpg)
[그린스버러=AP/뉴시스]11일(현지시간) 미 노스캐롤라이나주 그린스버러에 있는 코스트코 주유소에 주유 차량이 길게 밀려 있다. 미 동부 연료 소비량의 45%를 공급하는 '콜로니얼 파이프라인'이 사이버 공격으로 송유가 잠정 중단되면서 공급에 차질이 빚어지고 있다. 2021.05.12.세계 최대 정육업체 중 하나인 JBS SA가 최근 사이버 공격을 받아 호주와 북미 지역 사업장 일부 운영이 중단된 사태가 대표적이다. 이번 공격으로 JBS의 캐나다 최대 육류처리 공장이 가동을 멈췄다. 이 공장은 하루 4200마리의 소 가공을 맡고 있다. 지난달에는 미국 최대 송유관 운영사인 콜로니얼 파이프라인이 해커단체 다크사이드의 랜섬웨어 공격을 받았다. 미국 동부 해안일대 석유공급 45%를 맡고 있는 콜로니얼 파이프라인이 멈춰서자 지역 주민이 석유 사재기에 나서기도 했다.
한 보안업계 관계자는 "반발의 핵심은 결국 CISO 채용으로 인건비가 부담된다는 것 아니냐"며 "CISO 겸직규제에 해당될 정도의 기업이라면 사이버 침해사고가 발생하면 사회적 파장이 적지 않은 규모의 기업이라는 뜻이므로, CISO 겸직금지 규제 적용은 적절하다"고 말했다.
과기정통부 관계자는 "기업 규모에 따라 부담은 줄여주면서도 보안사고에는 대비하자는 것이 법안의 취지"라며 "정보보안이 한층 강화할 수 있도록 CISO 제도를 활용해 사이버 침해사고를 예방하고 대응 역량을 강화하겠다"고 덧붙였다.
