검색
LAW&스마트

CISO의 겸직 금지 의무

143615.jpg

지난달 28일 국회 본회의에서는 정보통신망법의 개정안이 의결되었다. 임시국회에서는 드루킹특검과 일자리 추경만 논의된 것이 아님은 당연한 것인데 오히려 새삼스럽기만 하다. 한해에도 심하게는 몇 차례 개정이 되는 정보통신망법이지만 개정되는 내용의 대부분이 필자의 업무와도 관련이 있다 보니 개정 내용을 세심하게 챙기게 된다. 이번 개정안에서 가장 눈에 띄는 부분은 이용자의 정보보호에 관한 부분이라고 할 수 있는데, 그 중 주목할 만한 내용은 CISO에 대한 겸임 금지 규정이다. 이 외에도 개인정보 보호의무 위반에 대비한 보험 또는 공제 가입 의무화 규정, 접근권한 설정에 관한 방통위 실태조사권의 부여, 개인정보보호법과의 경합 관계의 명문화 등의 내용도 포함돼 있고 이들 역시 매우 중요한 내용들이다.

CISO(Chief Information Security Officer)는 정보보호 최고책임자를 지칭하는 명칭인데, 개인정보보호 책임자인 CPO(Chief Privacy Officer)나 최고 정보 책임자를 일컫는 CIO(Chief Information Officer)와는 그 역할이 다소 상이하다. 규모가 작은 기업에서는 전산담당 임원인 CIO만 두는 경우가 많았는데, 정보유출 사고 등으로 정보보안 이슈가 중요해지면서 자산 총액 및 매출액에 따라서 일정한 규모 이상의 기업에는 CISO를 두도록 하고 지정된 CISO를 정부에 신고하도록 하였다. 다만 정보보안에 대한 인식이 충분하지 못하였고 예산 우선 순위에서도 밀리는 상황에서 CISO 역시 기존의 CIO나 CPO가 겸임하는 경우가 많아 CISO 제도를 의무화한 그 본연의 목적이 제대로 달성되지 못한다는 지적이 많았었다.

이에 따라 이번 개정 법에서는 CISO의 전문성과 직무 전념성을 제고하기 위하여 CISO가 정보 보안과 관련한 업무 이외에 다른 업무를 겸직할 수 없도록 의무를 부과하였고, 또한 CISO로 지정되기 위해서는 일정한 자격 요건을 갖추도록 하였다. CISO에 대한 겸임 금지 규정이 일간의 우려처럼 새로운 내용의 규제로만 작동하게 되는 것이 아니라 애초의 입법 의도대로 보안 수준을 한 단계 업그레이드 할 수 있는 기회가 될 수 있도록 세심한 관심이 필요할 것이다.

 

강태욱 변호사 (법무법인 태평양)

리걸에듀