검색
김앤장

CISO 지정, 개인정보보호 손해배상책임보험 가입 등 관련 개정 정보통신망법 시행

[2019.07.29.] 


'정보통신망 이용촉진 및 정보보호 등에 관한 법률'("정보통신망법") 및 동 시행령은 최근 잇따른 개정을 통해 정보보호최고책임자(Chief Information Security Officer, "CISO") 지정 제도, 개인정보보호 관련 손해배상 보장제도, 아동의 개인정보 처리를 위한 법정대리인 동의 확인방법 등을 정비하였습니다.


관련 개정안들은 지난 2019. 6. 13. 및 2019. 6. 25. 모두 시행되었으며, 이로써 정보통신망법은 지난 2019. 3. 19. 시행된 국내대리인 제도와 함께 사업자들에게 대폭 강화된 이용자 보호조치를 요구하게 되었습니다.


최근 개정된 정보통신망법 및 시행령의 주요 내용은 다음과 같습니다. 



1. CISO 지정 제도 정비

첫째, 기존에는 CISO 지정·신고 의무를 원칙적으로 사업자 자율에 맡기면서 예외적으로 의무 대상자 범위를 규정하고 있었으나, 원칙적으로 모든 정보통신서비스 제공자에 대하여 CISO 지정·신고 의무를 부과하면서 예외적으로 면제 대상자 범위를 규정하는 방식으로 개정되었습니다. 이에 따라 CISO 지정·신고 의무 대상에서 자본금 1억 원 이하의 부가통신사업자, 소상공인, 소기업 등은 제외됩니다. 


둘째, CISO의 자격요건을 강화하여 기존의 임원급 지위와 더불어 일정한 정보보호 관련 학력?경력 등을 갖추도록 하였습니다. 시행령에서는 정보보호 또는 정보기술 분야의 석사학위 이상의 학위, 10년 이상의 업무 경력 등 일반 자격요건을 구체적으로 규정하고 있습니다. 


셋째, 자산총액 5조 원 이상인 정보통신서비스 제공자, 정보보호 관리체계(ISMS) 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5,000억 원 이상인 기업의 CISO는 CISO로서의 업무 외 다른 직무의 겸직이 제한됩니다. 이 경우, CISO는 위 일반 자격요건을 충족하고 상근하는 자로서, 정보보호 업무를 4년 이상 수행한 경력 또는 정보보호와 정보기술 업무 수행경력을 합산하여 5년 이상 수행한 경력을 추가로 갖추어야 합니다.


이에 따라, 새로 CISO를 지정해야 하는 사업자는 시행령 시행일(2019. 6. 13.)로부터 90일 이내에 CISO 신고를 해야 하며, 이미 CISO가 지정된 기존 사업자의 경우에는 다음 지정·신고 시부터 위 자격요건을 준수해야 합니다. 이러한 자격요건을 갖춘 CISO의 지정·신고 의무를 위반하는 사업자에 대해서는 3,000만 원 이하의 과태료가 부과될 수 있습니다. 



2. 개인정보보호 관련 손해배상 보장제도 구축

직전 사업연도의 매출액이 5,000만 원 이상이며, 전년도 말 기준 직전 3개월간 그 개인정보가 저장?관리되고 있는 이용자수가 일 평균 1,000명 이상인 정보통신서비스 제공자는 개인정보 유출 등에 따른 손해배상을 보장하기 위한 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 해야 합니다.


사업자가 갖추어야 하는 최저가입금액(또는 최소적립금액)은 이용자수 및 매출액 규모에 따라 최소 5,000만 원에서 최대 10억 원까지 차등 적용되는데, 이를 준수하지 않은 경우에는 2,000만 원 이하의 과태료가 부과될 수 있습니다.



3. 아동의 개인정보 처리를 위한 법정대리인 동의 확인방법 마련

정보통신서비스 제공자는 만 14세 미만 아동의 개인정보를 처리하기 위해서는 휴대전화 문자메시지 전송, 카드정보 확인, 휴대전화 본인인증, 서면?전화?전자우편을 통한 직접 동의 등의 방법으로 법정대리인의 동의 여부를 확인하는 절차를 갖추어야 합니다. 


사업자가 법정대리인의 동의 여부를 확인하지 않은 경우에는 5년 이하의 징역 또는 5,000만 원 이하의 벌금 또는 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액의 과징금이 부과될 수 있습니다.



위와 같이 정보통신망법은 최근의 개정을 통해 사업자들에게 다양한 이용자 보호조치를 취할 의무를 부과하고 있습니다. 방송통신위원회는 특히 국내대리인 및 CISO 지정 의무와 관련하여 우선 계도기간을 두고 사업자들이 자발적으로 의무불이행을 시정하도록 할 계획이라고 밝혔으나, 계도기간 이후에도 사업자들이 관련 의무를 불이행하는 경우에는 법 위반사항을 엄격하게 집행할 가능성이 있으므로, 정보통신망법상 각종 이용자 보호조치의 준수 현황과 향후 compliance 방안에 대한 포괄적인 점검이 필요할 것으로 사료됩니다.



김인상 변호사 (iskim@kimchang.com)

박민철 변호사 (minchul.park@kimchang.com)

방성현 변호사 (shbang@kimchang.com)

강재웅 변호사 (jaewoong.kang@kimchang.com)

리걸에듀

관련 법조인