전체메뉴

[애플경제 이보영 기자] 한국인터넷진흥원과 과학기술정보통신부는 최근 ‘정보보호 최고책임자’에 대한 기업들의 지정·신고제도를 공지, 의무사항으로 안내하고 있다.

정보보호 최고책임자(CISO)는 기업의 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자(CISO, Chief Information Security Officer)를 말한다. 즉 “정보보호 최고책임자는 정보통신망법 제45조의3제4항 각 호에 따른 정보보호 관련 업무에 대한 최종 결정권과 책임, 정보보호 업무관련 예산·인사에 대한 직접적 권한을 가진다”는 설명이다.

진흥원이 규정하는 ‘정보보호 최고책임자’의 업무를 보면 크게 4가지 정도다. 우선 ▲정보보호 계획의 수립·시행 및 개선이다. 이는 정보통신망의 안정성·신뢰성 확보를 위해 관리적, 기술적, 물리적 보호조치를 포함하는 종합적 관리계획을 수립, 시행하고 개선하는 역할이다.

다음으로 ▲정보보호 실태와 관행의 정기적인 감사 및 개선이다. 즉, 정보보호 실태 등에 대해 조사하거나, 관계 대상자로부터 보고를 받을 수 있다. 또한 정기적인 감사를 통해 사업주 또는 대표자에게 조사 결과와 개선 조치를 보고하도록 했다.

▲정보보호 위험을 식별·평가하고, 정보보호 대책을 마련하는 역할도 있다. 즉, 하드웨어 또는 소프트웨어 결함이나, 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나, 허용된 범위 이상의 정보 열람·변조·유출을 하게 해선 안 된다. CISO는 이를 가능하게 하는 약점(취약점)이나 위험을 식별 평0가하고, 위험을 처리하기 위한 보안조치를 설계하는 등 정보보호 대책을 마련해야 한다.

이와 함께 ▲정보보호 교육과 모의훈련 계획을 수립, 시행하는 것도 CISO의 임무다. 즉, 정보통신서비스 제공자를 대상으로 정보보호를 위해 최소 연 1회 이상 필요한 교육과 침해사고 모의훈련을 실시한다.

이번에 진흥원은 이같은 정보보호의 전문성을 갖춘 정보보호 최고책임자를 임명할 수 있도록 자격요건을 규정했다. 이에 따르면 지정·신고 의무대상의 정보보호 최고책임자는 일반 자격요건을 갖추어야 한다. 또한 겸직이 금지되는 정보보호 최고책임자는 ‘일반 자격요건’과 ‘특별 자격요건’을 함께 갖추어야 한다.

대상 기업은 신고의무 제외대상을 제외하고, 정보보호 필요성이 큰 ‘중기업’ 이상이 해당된다. 특히 정보통신서비스 제공자는 반드시 정보보호 최고책임자를 지정하고, 과학기술정보통신부장관에게 (중앙전파관리소장에게 위임) 신고해야 한다.

정보보호 최고책임자는 임직원급으로서 몇 가지 자격요건 가운데 하나 이상을 갖추어야 한다. 이에 따르면 ‘일반자격 요건항목’의 경우, 정보보호·정보기술 분야의 △석사 학위 이상, △학사 학위로 3년 이상 경력, △전문학사는 5년 경력, △또 정보보호·정보기술 업무경력 10년 이상, 또는 △정보보호 관리체계 인증심사원 자격을 갖추거나, △1년 이상 정보보부서의 장을 지낸 경우가 해당된다.

또한 겸직금지 대상의 정보보호 최고책임자는 일반 자격요건을 충족하고 상근하는 자로서, 몇 가지 특별 자격요건 중 하나를 추가로 갖추어야 한다.

즉,△정보보호 분야 업무경력이 4년 이상이거나, △정보보호 분야 업무경력과 정보기술 업무경력을 합산한 기간이 5년 이상이어야 한다. 다만 그 중 2년 이상은 반드시 정보보호 분야 업무경력이어야 한다.