통신판매업자 등 정보통신서비스 사업자는 오는 13일부터 '정보보호 최고책임자(CISO)'를 의무적으로 지정·신고해야 한다. 해당 기업이 CISO를 지정·신고하지 않은 경우 최대 3000만원의 과태료가 부과된다.
7일 한국인터넷진흥원(KISA)에 따르면 이 같은 골자의 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령' 개정안이 13일부터 시행된다. 인터넷·모바일 상에서 영리목적으로 웹사이트나 앱, 블로그 등을 운영하면서 고객정보를 보유한 사업자들은 의무적으로 CISO를 지정해 신고해야만 한다.
CISO란 정보보호 관련 학력·경력 등을 갖춘 자들을 지칭하며 실질적으로 기업에 필요한 정보보호 정책 수립 및 필요한 자원(인력, 예산 등)을 총괄적으로 관리하는 역할을 한다. 수립된 정책에 따라 보호 정책을 만들어내고, 침해사고 발생시 조직 내 대응활동 및 예방활동을 담당한다.
CISO의 요건은 ▲정보보호 또는 정보기술 분야 석사학위 이상의 학위를 취득한 사람 ▲정보보호 업무를 4년 이상 수행한 경력이 있는 사람 ▲정보보호와 정보기술 업무 수행 경력을 합산한 기간이 5년 이상(그 중 2년 이상은 정보보호 업무 수행 경력)인 사람 ▲정보보호 또는 정보기술 분야 업무를 10년 이상 수행한 경력이 있는 사람 ▲해당 정보통신서비스 제공자의 정보보호 업무 관련 부서의 장으로 1년 이상 근무한 경력이 있는 사람 등이 해당된다.
CISO 겸직 금지가 해당되는 기업 조건은 자산총액 5조원 이상인 정보통신서비스 제공자와 ISMS 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억원 이상이다. 겸직이 제한된 기업의 CISO 요건은 ▲정보보호 업무 경력 4년 이상인 사람 ▲ 정보보호, 정보기술 업무 수행 경력 합산 기간이 5년이고 그 중 2년 이상의 정보보호 업무 수행 경력을 갖춘 사람으로 지정·신고하도록 했다.
KISA에 따르면 CISO 의무지정 대상 기업은 3만 9000곳이며 CISO 겸직 금지 대상 기업은 126곳으로 집계됐다. 전자금융거래법에 따라 2014년부터 'CISO 전담제'를 시행하고 있는 금융사는 겸직 금지 대상에서 제외됐다. 또한 자본금 1억원 이하의 부가통신사업자 소상공인 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 등은 CISO 의무 지정에서 제외했다.
정부는 CISO 자격요건·겸직제한 제도가 신설된 점을 고려해 계도기간을 두고, 지정·신고 의무를 위반한 사업자에 대해서는 3000만원 이하의 과태료를 부과할 방침이다. CISO 지정·신고 방법은 과학기술정보통신부 전자민원센터를 통해 온라인으로 신고하거나 관할 전파관리소를 통해 신고할 수 있다.
김정희 KISA 사이버보안빅데이터센터장은 "CISO 제도의 안착을 위해 환경 변화에 대한 등급별 정보보호 교육과, 지역정보보호센터에서 포럼을 진행할 예정"이라며 "지정 기관이 확대되고 확대된 네트워크를 통해 보안 활동 수준이 제고될 수 있도록 노력할 것"이라고 말했다.
7일 한국인터넷진흥원(KISA)에 따르면 이 같은 골자의 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령' 개정안이 13일부터 시행된다. 인터넷·모바일 상에서 영리목적으로 웹사이트나 앱, 블로그 등을 운영하면서 고객정보를 보유한 사업자들은 의무적으로 CISO를 지정해 신고해야만 한다.
CISO란 정보보호 관련 학력·경력 등을 갖춘 자들을 지칭하며 실질적으로 기업에 필요한 정보보호 정책 수립 및 필요한 자원(인력, 예산 등)을 총괄적으로 관리하는 역할을 한다. 수립된 정책에 따라 보호 정책을 만들어내고, 침해사고 발생시 조직 내 대응활동 및 예방활동을 담당한다.
CISO의 요건은 ▲정보보호 또는 정보기술 분야 석사학위 이상의 학위를 취득한 사람 ▲정보보호 업무를 4년 이상 수행한 경력이 있는 사람 ▲정보보호와 정보기술 업무 수행 경력을 합산한 기간이 5년 이상(그 중 2년 이상은 정보보호 업무 수행 경력)인 사람 ▲정보보호 또는 정보기술 분야 업무를 10년 이상 수행한 경력이 있는 사람 ▲해당 정보통신서비스 제공자의 정보보호 업무 관련 부서의 장으로 1년 이상 근무한 경력이 있는 사람 등이 해당된다.
CISO 겸직 금지가 해당되는 기업 조건은 자산총액 5조원 이상인 정보통신서비스 제공자와 ISMS 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억원 이상이다. 겸직이 제한된 기업의 CISO 요건은 ▲정보보호 업무 경력 4년 이상인 사람 ▲ 정보보호, 정보기술 업무 수행 경력 합산 기간이 5년이고 그 중 2년 이상의 정보보호 업무 수행 경력을 갖춘 사람으로 지정·신고하도록 했다.
KISA에 따르면 CISO 의무지정 대상 기업은 3만 9000곳이며 CISO 겸직 금지 대상 기업은 126곳으로 집계됐다. 전자금융거래법에 따라 2014년부터 'CISO 전담제'를 시행하고 있는 금융사는 겸직 금지 대상에서 제외됐다. 또한 자본금 1억원 이하의 부가통신사업자 소상공인 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 등은 CISO 의무 지정에서 제외했다.
정부는 CISO 자격요건·겸직제한 제도가 신설된 점을 고려해 계도기간을 두고, 지정·신고 의무를 위반한 사업자에 대해서는 3000만원 이하의 과태료를 부과할 방침이다. CISO 지정·신고 방법은 과학기술정보통신부 전자민원센터를 통해 온라인으로 신고하거나 관할 전파관리소를 통해 신고할 수 있다.
김정희 KISA 사이버보안빅데이터센터장은 "CISO 제도의 안착을 위해 환경 변화에 대한 등급별 정보보호 교육과, 지역정보보호센터에서 포럼을 진행할 예정"이라며 "지정 기관이 확대되고 확대된 네트워크를 통해 보안 활동 수준이 제고될 수 있도록 노력할 것"이라고 말했다.