[이코노믹리뷰=장은진·이가영 기자] 기업 정보보호최고책임자(CISO, Chief Information Security Oficer)의 자격요건과 겸직여부 등을 개정한 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'이 내년 1월 1일부터 적용된다.
CISO는 사이버 침해사고 예방 및 대응 등 정보보안 업무를 총괄하는 책임자다. 일정 규모 이상의 기업과 기관은 CISO를 의무 지정하고 과학기술정보통신부에 신고해야 한다. 연말까지 계도기간을 거쳐 내년부터는 의무 미이행 사업자에게 3천만원의 과태료가 부과된다.
개정안에 따르면 자본금 1억원 이상 3만9000개 기업이 CISO 지정 의무 대상이다. 전국 전체 법인이 76만9684개인 점을 감안할 때 5%수준의 규모다.
이 중 자산총액이 5조원 이상이거나 정보보호관리체계(K-ISMS) 인증 의무 대상 중 자산총액 5000억원 이상인 기업의 CISO는 겸직까지 금지된다. 2019년 11월 기준 자산 5조원 이상 기업 78곳, 자산 5천억원 이상 ISMS 의무 대상 기업 48곳으로 집계된다.
자본금 1억원 이하의 부가통신사업자, 소상공인, 전기통신사업자와 집적정보통신시설사업자를 제외한 소기업 등은 CISO 지정, 신고 의무 대상에서 면제됐다.
앞서 정부는 지난 6월 정보통신망법 개정안을 통과시키고 같은 달 13일부터 계도기간에 들어갔다. 계도기간 논란됐던 소자본 기업들은 CISO 지정, 신고 의무 대상에서 면제시켰다.
연말인사로 CISO공석 채워, 막바지 인재찾기 총력
과기정통부로에 따르면 지난 8월 31일 기준 CISO를 지정·신고한 기업은 25.7%(1만197개)에 불과한 것으로 파악됐다. 신고를 하지 않은 곳은 2만9513개에 달했다.
같은 기간 국내 100대 기업 중 SNI코퍼레이션, LG, LG상사, 포스코경영연구원, 포스코인터내셔널, 하림지주, 대우조선해양, 롯데지수, 삼성SDI, 삼성전자서비스CS, SK가스, SK트레이딩인터내셔널, 현대중공업지주, SK텔레콤, 한국전력공사 등 17개사에서 CISO 지정·신고 의무를 다하지 않았다.
이들 기업을 대상으로 직접 문의한 결과 연말 막바지 인선작업이 한창이었다.
대우조선해양은 이번주 중으로 CISO책임자를 선임할 방침이다. 대우조선 관계자는 “정기인사는 아니다”라며 “내부인선을 통해 CISO 담당자를 발굴했다”고 답했다.
포스코경영연구원와 포스코인터네셔널은 CISO지정신고제 신청 절차를 몰라 놓쳤을 뿐이라며 10월 등록을 완료했다고 밝혔다. 특히 포스코인터네셔녈의 경우 CISO 담당자가 이미 선임돼 었었지만 사명변경과정에서 누락된 것이라고 설명했다.
현대중공업의 경우 아직 CISO 인선작업이 한창 진행되고 있다. 현대중공업 관계자는 "빠른 시일내 선정 예정"이라고 말했다.
중견기업들도 상황이 바쁘긴 마찬가지였다.
대표적으로 CISO를 겸직형태로 운영해왔던 호텔롯데와 호텔신라의 상황이 바쁘다.
호텔롯데의 CISO는 그동안 정보보호팀을 지휘하는 기획부문의 부문장(상무급)이 겸직해왔다. 이에 호텔롯데는 외부에서 해당 인사를 수혈하기 위해 지난달부터 채용 공고를 낸 상태다.
호텔신라도 현재 면세부문의 인사팀장(상무)이 CISO를 겸직하고 있어 이른 시일 내에 겸직을 없애고 CISO를 영입해야 하는 상황이다.
호텔신라 관계자는 "현재 CISO 담당자가 내부에서 결정될지 외부에서 영입할지 등 결정된 사안이 따로 없다"면서 "내년까지 담당자 선임 마무리가 필요한만큼 연말인사까지 반영될 예정"이라고 말했다.
영리목적 없고 홈페이지만 있어도 CISO 지정 대상
정보통신망법에 따르면 정보통신서비스 제공자는 ‘전기통신사업자와 영리를 목적으로 전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개하는 자’에 해당한다. 예컨대, 제품을 판매하는 등 상업적인 목적으로 홈페이지를 개설해 운영하거나 인터넷 기반 서비스를 제공하는 경우 정보통신서비스 제공자로 볼 수 있다.
문제는 정보통신망법이 구체적인 영리행위의 존재 유무를 정보통신서비스 제공자의 요건으로 규정하지 않고 있다는 점이다. 이에 따라 영리 목적의 기업이 실제 영리행위 없이 단순히 홈페이지를 운영하더라도 정보통신서비스 제공자에 포함된다.
홈페이지 운영·관리 업무 일체를 다른 회사에 위탁하더라도, 위탁기업이 정보통신서비스 제공자에 해당한다. 해외사업자여도 국내에서 영리를 목적으로 하면 정보통신서비스를 제공자로 분류된다.
이에 따라 쇼핑몰 등 온라인 B2C 기업뿐만 아니라 건설사나 조선, 전자, 해운, 철강 등 일반 사용자의 접근성이 낮은 B2B기업들도 홈페이지를 갖고 있다는 이유만으로 CISO 지정 의무를 지게 됐다. 정부는 3개월간의 계도기간을 거쳐 내년 1월1일부터 CISO 지정을 위반한 경우 최대 3000만원의 과태료를 물린다는 계획이다.
순수 지주사라도 CISO지정·신고 의무대상
국내 주요 대기업 지주시들은 자사 IR자료를 제공하기 위해 각자 홈페이지를 보유하고 있다. 이 같은 상황에서 홈페이지 존재는 CISO 지정 신고제는 '넘어야 할 산'이 되고 있는 추세다.
자산총액 기준은 개별 법인별로 산정해 CISO를 선임한다. 다만 법인의 계열사인 시스템 통합(SI)·보안 업체 CISO가 겸직 제한 대상이 아닐 경우 타 계열사의 CISO 겸직이 가능하다.
다른 직무의 겸직이 제한된 CISO는 회사 내에 상근하는 자로 구성되며 개인정보보호최고책임자(CPO), 최고투자책임자(CIO) 등과 겸직이 제한된다. CPO는 고객 개인정보를 보호, 관리를 책임진다. CIO의 경우 투자관련 정보를 담당하는 책임자다.
100대 기업에 속한 지주사들도 속속 CISO를 선임하며 막판 인선 마무리 작업에 들어갔다.
실제 CJ그룹은 지난 6월 CISO임원을 선임했으며 롯데지주도 지난달 26일 임원급 '수석'을 CISO보직에 배치했다.
대기업 지주사 중 유일하게 하림지주는 CISO 관련한 추가 인선 계획이 없다는 입장이다.
하림지주 관계자는 “CISO 겸직제한 조건 중 정부통신서비스를 하면서 관련매출이 100억이상해야한다고 알고있다”면서 “때문에 내부에서 추가로 인사를 논의하지 않고 있다”고 말했다.
관련사실을 추가 체크한 결과 하림지주에 말한 사안은 중소기업기본법 기준이다. 작년부터 대기업집단에 포함된 하림의 경우 CISO 임원 겸직제한에 대한 대비가 필요해 보인다.