실시간 뉴스



정보보호최고책임자(CISO) 겸직하면 안되나요?


내년 6월부터 임원급 전담 CISO 둬야 …이통사·포털 등 대상

[아이뉴스24 성지은 기자] 이동통신, 인터넷포털 등 정보통신서비스 사업자의 정보보호최고책임자(CISO) 선임 의무를 강화하는 정보통신망법 개정안이 국회 본회의를 통과했다.

이에 따라 일정 규모 자산총액·매출액 기준을 충족하는 해당 사업자는 자격을 갖춘 임원급 CISO를 의무 고용해야 한다. 또 CISO가 정보보호 업무 외 다른 업무를 함께 맡는 겸직도 금지된다.

31일 업계 등에 따르면 이번 개정안이 국회 본회의를 통과함에 따라 대통령 재가 및 유예기간 등을 거쳐 내년 6월께 본격 시행될 전망이다. 이에 따른 기업들의 변화도 예상된다.

◆CISO 겸직 금지 왜? 보안업무 소홀 차단

그동안 국내 기업에서는 정보보호를 위한 기술적 대책과 법률대응 등을 책임지는 CISO가 다른 업무를 겸하는 경우가 많았다. 보통은 정보화최고책임자(CIO)가 CISO 업무를 겸직한다. 정보시스템 관련 업무를 총괄하는 CIO의 업무에 CISO의 업무가 포함되는 경우가 많다는 판단에서다.

그러나 CISO의 겸직을 허용하면, 보안에 소홀할 수 있다는 점에서 문제가 됐다. 실제 금융권의 경우 농협 해킹에 의한 전산망 마비(2011년), 3.20 사이버테러(2013년)를 계기로 CISO 겸직 문제가 도마 위에 올랐다. 경영자의 관점에서 효율화를 추구하는 CIO가 CISO 업무를 겸하면서 보안에 소홀, 사고로 이어진다는 지적이 계속된 것.

이에 따라 금융권에서는 전자금융거래법(제21조2)을 통해 총자산·상시 종업원 수에 따라 금융회사·전자금융업자가 CISO를 의무 지정하고 겸직을 금했다. 또 대통령령으로 CISO의 자격요건도 명시했다.

정보통신망법(제45조3) 또한 정보통신서비스 사업자에 CISO 지정 의무를 부여했으나 CISO 지정 기준이 없고 겸직 또한 가능해 보안문제 대응에 미흡하다는 지적이 제기됐다.

또 해킹과 개인정보 유출 등 보안 사고가 끊이지 않으면서 대규모 서비스를 제공하는 정보통신서비스 사업자의 경우 보안을 강화해야 한다는 목소리도 높았다.

오세정 바른미래당 의원이 지난 2016년 이번 개정안을 대표발의한 이유다.

개정안은 ▲자산총액·매출액 기준에 따른 임원급 CISO 지정 의무 차등 부여 ▲CISO 겸직금지 조항 신설 ▲CISIO 자격기준 신설을 골자로 한다.

오세정 의원은 "국내 정보통신서비스기업들은 기업 규모에 비해 정보보안에 대한 투자에 소홀했던 측면이 있다"며 "최고기술책임자(CTO)가 CISO를 겸하면서 정보보안에 대한 투자와 관리가 명확히 이뤄지지 않았다"고 지적했다.

이어 "개정안을 통해 기업 규모에 따라 자격기준을 갖춘 임원급·전임 CISO를 지정·신고하는 의무를 부과해 기업의 정보보안 역량 강화를 유도하려는 것"이라며 법안 발의 배경을 설명했다.

◆이동3사·양대 포털 CISO 지정 현황은?

현재 이통3사는 임원급 CISO를 두고 있다. 그러나 KT를 제외하고는 CISO가 정보보호 업무 외 별도 업무를 겸직하고 있다.

KT는 문영일 정보보안단장이 CISO를 맡고 있다. SK텔레콤은 서성원 MNO(이동통신)사업부장이, LG유플러스는 이혁주 최고재무책임자(CFO)가 CISO를 겸하고 있다.

SK텔레콤 관계자는 "(MNO사업부가) 고객 정보보호와 관련된 이슈와 가장 밀접하다고 판단, 가장 적합한 사업부장이 CISO 업무를 겸하고 있다"고 이를 설명했다.

LG유플러스 관계자는 "CFO 조직 아래 보안전략 등을 포함한 IT부서를 두고 있고, CFO가 보고라인의 최종 단계에 있어 현재는 CISO를 겸하고 있다"고 설명했다.

이들 이통사는 이번 법 개정에 따라 별도 CISO를 둬야한다. 이에 따른 후속책을 마련할 것으로 보인다. 다만 시행까지 아직 유예기간이 있어 당장은 확정된 것은 없다는 입장이다.

양대 포털인 네이버와 카카오는 이미 이에 맞춰 운영 중이다. 각각 이진규 리더, 고우찬 팀장을 CISO로 두고 있다. 이진규 리더는 이용자 정보보호 등을 책임지는 네이버 프라이버시센터를 이끌고 있으며, 고우찬 팀장은 인프라1팀 소속으로 정보보호위원회에 참여하며 보안강화에 힘쓰고 있다.

다만 직급·임원제를 폐지한 두 회사는 각각의 CISO가 보안업무를 맡아 총체적으로 책임지고 있는 형태다.

업계 관계자는 "임원급 CISO를 선임해야한다는 조항 적용은 모호한 상태"라고 설명했다.

성지은기자 buildcastle@inews24.com






alert

댓글 쓰기 제목 정보보호최고책임자(CISO) 겸직하면 안되나요?

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스