정보통신 대기업의 정보보호최고책임자(CISO) 선임의무가 강화된다.
국회 과학기술정보방송통신위원회 오세정 의원은 28일 열린 20대 국회 상반기 마지막 본회의에서 이 같은 내용을 골자로 대표 발의한 정보통신망법 개정안이 통과됐다고 밝혔다.
개정안은 자산총액과 매출액 기준에 따라 임원급 CISO 지정 의무를 차등 부여했다. 실효성 확보를 위해 CISO 겸직을 금지하며 자격요건 등을 대통령령으로 정한다.
개정안은 정보통신 분야 개인정보보호와 관련해 개인정보보호법과 중복 적용되는 경우 정보통신망법을 우선 적용하도록 명시했다. 방송통신위원회는 정보통신서비스 제공자 등이 접근권한에 대한 이용자 정보보호에 필요한 조치를 하고 있는지 여부 실태조사를 할 수 있다.
일정 규모 이상의 정보통신서비스 제공자는 손해배상책임 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하는 조치를 해야 한다.
개정안은 정보통신망을 이용해 총포·화약류를 제조할 수 있는 방법이나 설계도 등의 정보 유통을 금지했다. 이 외에 통신과금서비스 이용자의 신속한 피해 구제를 위해 자신의 의사에 따라 통신과금서비스가 제공됐는지 여부를 확인하기 위해 필요한 경우에는 거래 상대방에게 구매자정보 제공을 요청하도록 했다.
오 의원은 “해킹과 개인정보유출 등 침해 사고가 늘어나는데 정보통신서비스기업은 규모에 비해 정보보안 투자가 소홀했다”면서 “많은 기업이 CISO를 CTO가 겸임하면서 정보보안에 대한 투자와 관리가 명확히 이뤄지지 않았다”고 지적했다.
김인순 보안 전문기자 insoon@etnews.com
