계도기간 끝나가는 CISO 지정신고, 현황은?
상태바
계도기간 끝나가는 CISO 지정신고, 현황은?
  • 최형주 기자
  • 승인 2019.12.06 09:43
  • 댓글 0
이 기사를 공유합니다

더불어민주당 국회의원 변재일 인터뷰

[CCTV뉴스=최형주 기자] 지난 6월 13일 정부가 정보보호최고책임자(Chief Information Security Officer, 이하 CISO) 지정신고제도를 본격 시행했다. 그러나 시행 후 약 3개월이 지난 9월 말, 국정감사를 통해 드러난 CISO 신고 현황은 처참했다.

과학기술정보통신부(이하 과기부) 지정 대상 기업 중 신고 업체는 1만여 곳에 불과했고, 이후 약 1달 반여가 지난 11월까지도 1만 1600여 기업만이 CISO 지정을 신고했다.

이에 본지는 국회 과학기술정보방송통신위원회 더불어민주당 변재일 의원을 만나 그가 생각하는 CISO 지정신고 현황과 문제점에 대해 들어봤다.

Q. 의원님의 의정활동이 보안을 비롯한 IT, ICT 분야에 초점이 맞춰져 있다고 보여지는데, 보안 부문에 관심을 가지게 된 계기나 이유가 있다면?

지난 4월 우리나라는 세계 최초로 5G를 상용화했고, 5G의 초고속·초저지연성을 바탕으로 우리 사회는 초연결시대로 진입하게 됐다.

초연결시대에서는 사물의 네트워크 연결이 확장되어 사회 전반의 시스템이 네트워크를 통해 유기적으로 연결된다. 이에 따라 네트워크 보안사고가 물리적 피해로 이어질 수 있는 위험도 커져가고 있는 상황이다.

실제로 최근 여러 가정에서 자주 사용하는 IP카메라가 해킹되어 개인의 사생활이 고스란히 인터넷에 생중계되는가 하면, 스마트홈 해킹으로 각 가정의 조명, 보일러, 가스밸브 등의 임의 조작 뿐만 아니라 현관문 개폐까지 가능해졌다.

또한 병원에서 생명이 위독한 환자에게 필요한 중요한 장비가 해킹될 위험 등 초연결사회에서의 해킹 피해는 상상을 초월할 만큼 클 것으로 예상하고 있다.

이처럼 국민의 일상을 다각도로 위협하는 해킹 피해를 방지하기 위해서는 기술 고도화뿐만 아니라 보안 안정성이 함께 확보돼야 한다.

 

Q. 국정감사를 통해 CISO 지정신고 현황에 대해 지적하셨는데, 기업과 기관들이 의무를 이행하지 못하는 가장 큰 이유는 어디에 있다고 생각하나

‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제45조의3에 따라 정보통신서비스 제공자는 정보보호 최고책임자(이하 CISO)를 지정·신고해야 한다.

지난 국정감사 당시 과기부는 CISO 지정·신고 대상기업을 3만 9710개 기업으로 추정하고 있었으며, 지난 8월 말 국정감사 기간 중 제출받은 자료에 따르면 신고를 완료한 기업 수는 1만 197개 기업으로, 약 1/4에 불과한 수준이다.

과기부 답변에 따르면 75%의 대다수 기업들이 의무를 이행하지 못하는 것은 CISO 제도 관련 정보 안내와 홍보가 부족하기 때문인 것으로 보인다.

정부부처에서 새로이 시행하는 정책을 효과적으로 홍보하기 위해서는 무엇보다 대상 현황을 정확하게 파악하는 것이 중요한데, 이 부분이 많이 미흡하다는 사실이 이번 국정감사를 통해 드러났다.

과기부가 제출한 현황 자료를 보면 중복·오류가 많았으며, 대상이 아닌 정부기관들도 대상으로 분류되어 있는 등 과기부는 주무부처임에도 불구하고 정확한 현황 파악을 위한 노력을 충분히 기울이지 않고 있다.

변재일 의원이 과기부 국정감사를 통해 CISO 지정신고 현황에 대해 지적하고 있다.

 

이에 산업자원통상부 등 관계부처에 협조를 요청해서 현황부터 제대로 파악하고, 아직 CISO 지정·신고 의무를 이행하지 않은 기업들이 조속히 의무를 이행할 수 있도록 적극 홍보하고 계도해야 한다고 지적한 바 있다.

 

Q. CISO 지정신고제도와 겸임 금지의 실효성에 대해선 어떻게 생각하나

정보보호 최고책임자인 CISO는 개인정보보호 책임자인 CPO(Chief Privacy Officer)나 최고 정보 책임자를 일컫는 CIO(Chief Information Officer)와는 역할이 다소 상이하다고 볼 수 있다.

CISO 지정신고제도는 정보유출 사고 등으로 정보보안 이슈가 중요해짐에 따라 일정 규모 이상의 기업에 CISO를 지정하고 정부에 신고하도록 한 제도이며, CISO의 전문성과 직무 전념성을 제고하여 제도 본연의 목적을 달성하기 위해 CISO가 정보보안과 관련한 업무 이외에 다른 업무를 겸직할 수 없도록 의무를 부과한 것이다.

실제 목적과 미션이 상충되는 CIO(경영혁신, 효율성)와 CISO(보안 리스크 최소화)의 경우 두 직책 겸직 금지는 보안 강화에 상당한 도움이 되었다고 볼 수 있다. 다만 겸직금지 의무에 대해 개인정보보호에 관한 불확실한 업무 분장이 기업의 현실과 동 떨어진다는 비판이 있는 것으로 알고 있다.

정보보호가 점차 중요해지는 만큼 각각의 직책이 적절한 업무 분장에 따라 책임과 권한을 행사 할 수 있도록 하여 궁극적으로는 정보보안을 강화하는 것이 최상위 목적이 되어야 한다.

이를 위해 현행 제도를 운용하는 과정에서 제도의 목적 달성이 어렵고 실효성이 떨어진다면 당연히 제도 개선을 통해 정책 목표를 달성하는 것이 중요하다고 생각한다.

 

Q. 연말 이후 신고하지 않은 기업들에 대한 단속 및 처벌은 어떻게 진행되는지

‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제45조의3에 따라 정보통신서비스 제공자는 정보보호 최고책임자를 지정·신고해야 하며, 이를 위반할 경우 3천만 원 이하의 과태료가 부과된다.

과기부는 계도기간이 끝난 2020년부터 CISO 지정·신고 대상기업의 의무이행 여부를 확인 후 미이행 기업에 대해 과태료 부과에 관한 사전통지를 하게 된다. 약 15일 정도의 이의제기 기한을 둔 뒤 과태료를 부과하게 되는데, 영세 중소기업에 한해서는 사전통지 기간 내 CISO 지정·신고 의무를 이행하게 되면 과태료 처분대상에서 제외하는 방안도 고민 중이라고 한다.

Q. 현 상황에서 보완해야 될 문제점이 있다면

11월 중순 현재 CISO 지정·신고기업 수는 약 1만 1600개로 확인되고 있다. 지난 국정감사 이후 겨우 1400여 개 기업이 증가한 것으로, 의무이행 기업의 확산도가 현저히 낮다고 볼 수 있다.

과기부는 대상기업들에게 안내공문 발송 및 관련 협회의 협조를 통한 안내 등 꾸준히 홍보하고 있으며, 조만간 정보보호 최고책임자(CISO) 제도에 관한 안내서를 발간할 예정이다.

하지만 대다수 정보통신서비스를 제공하는 대상 기업들이 공문을 수령해도 스스로 대상이 됐음을 인식하지 못하고 있는 문제가 있는데, 이는 정책에 대한 이해가 충분히 이루어지지 않은 것에서 기인하는 문제라고 볼 수 있다.

계도 기간이 얼마 남지 않은 시점에 대상 기업들이 제도를 충분히 인지하고 이해할 수 있도록 하려면, 지금처럼 공문 발송 같은 수동적인 홍보방안에서 벗어나 적극적으로 홍보에 나서야 한다.

또한 국정감사 지적에도 불구하고 아직 대상 기업의 정확한 현황 파악 대책은 마련하고 있지 못하고 있는데, 추후 과태료 부과의 공정성·형평성 등에 대한 논란이 생기지 않도록 하기 위해서라도 이에 대한 대책도 함께 마련해 나가야 할 것이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.