"대표님, CPO 구하셨나요" 개정법 시행 D-3…경력채용 '꿈틀'

/사진=게티이미지뱅크

개인정보보호최고책임자(CPO) 지정 의무화가 포함된 개정 개인정보보호법 시행이 오는 15일로 다가오면서 IT(정보기술)업계에선 개인정보보호 경력자 채용에 훈풍이 부는 분위기다.

12일 잡코리아 등 구인·구직사이트에 따르면 업비트 운영사 두나무 비상장 (115,000원 ▲1,000 +0.88%)는 오는 24일까지 개인정보보호·정보보호 5년 이상 경력을 보유한 개인정보보호 담당자를 모집한다. 두나무는 지원자가 정보통신망법·개인정보보호법에 대한 이해를 갖춰야 하고, ISMS-P(정보보호·개인정보보호 관리체계 인증) 심사원 자격을 보유한 경우 우대한다고 밝혔다.

위메이드도 오는 25일까지 경력 10~15년을 갖춘 개인정보보호 담당자를 구한다. 맡을 업무는 개인정보보호 관리계획 수립·실행 등이다. 넥슨은 3~7년, NHN페이코는 4년 이상, 컴투스플랫폼과 코나아이는 3년 이상 경력자를 찾는다. IT업계 바깥에선 홈플러스가 4년 이상 경력자를 채용 중이다.

개정 개인정보보호법은 △연간 매출·수입이 1500억원 이상이면서 100만명 이상의 개인정보나 5만명 이상의 민감·고유식별정보를 처리하는 기업·기관 △학부·대학원을 통틀어 재학생이 2만명 이상인 대학교 △상급종합병원 △공공시스템 운영기관에 대해 CPO 지정을 의무화하는 조항이 포함됐다. 매출 1500억원은 통상 중소기업으로 분류되는 상한선이고, 개인정보 처리량은 점차 증가하는 만큼 인지도 있는 B2C(기업 대 소비자) 서비스 운영 기업은 상당수가 CPO를 준비하게 됐다.

법 개정에 따른 시행령을 보면 CPO의 자격요건은 '개인정보보호·정보보호·정보기술 경력을 합해 총 4년 이상 보유하고, 그중 개인정보보호 경력을 최소 2년 이상 보유한 사람'이다. 여기서 '개인정보보호 경력'은 '기업 또는 공공·교육·연구기관에서 개인정보 정책·제도·영향평가·보호인증심사 등 업무나 컨설팅·법률자문을 한 경력'으로 규정됐다. 관련 학위로 경력기간을 대체할 수도 있지만, 학사는 6개월을 대체하는 수준에 그친다. 그 이상 대체가 가능한 석·박사는 국내 전공자가 적어 개인정보보호위원회가 전공 과정 신설을 추진하는 상황이다.

이 때문에 업계에선 '법 시행 당시 CPO로 지정되어 있는 사람에 대해선 2026년 3월14일까지 자격을 갖춘 CPO로 간주한다'는 개정법 부칙이 만료되기 전에 CPO 자격자를 충원할 필요가 있다는 관측이 나온다. 한 IT업체 관계자는 "개인정보보호 업무가 늘기도 했고, 퇴직 등 돌발변수를 감안하면 CPO 자격을 보유한 인력을 여유있게 구할 필요가 있다"며 "경력자 구인이 당분간 이어질 것"이라고 말했다.

일각에선 개인정보위가 장기적으로 CPO 자격요건 강화를 추진할 수 있다는 전망도 나온다. 당초 추진되던 시행령 원안에는 CPO에게 필요한 경력 기간이 '합계 6년'이었는데, 이 조항이 막판에 규제개혁위원회의 주문에 따라 완화됐다는 배경에서다. 개인정보위 내부에선 '정보주체의 안전을 위해 기업·기관에서 목소리를 낼 수 있는 임원이 필요하다'는 공감대가 있는 것으로 전해졌다.