[기자수첩]CISO 지정·신고제, 요식행위로 그쳐선 안 돼

[기자수첩]CISO 지정·신고제, 요식행위로 그쳐선 안 돼

새해 1월 1일자로 국내 정보통신서비스 기업 약 3만4000곳에 정보보호최고책임자(CISO) 지정·신고 의무가 발생했다. 이 가운데 120여곳은 정보보호 업무 전념을 위해 CISO 겸직도 금지됐다.

과학기술정보통신부는 지난해 말까지 업계에 시간을 줬다. 애초 지난해 6월 13일자로 시행될 예정이었지만 업계 반발이 거셌다. 위반 시 처벌을 유예하는 '계도 기간'이 끝나기 한 달 반 전인 지난해 11월 중순 의무 이행 기업은 1만2000개로 조사됐다. 35%에 불과하다.

정부가 계도 기간을 준 건 그동안 CISO 지정·신고에 적극 나서라는 취지였다. 일부 기업이 CISO를 지정했지만 대다수는 별다른 움직임이 없다. 이들 기업이 'CISO 모시기'에 나섰다는 말은 좀처럼 들리지 않는다. 'CISO가 부족하다'는 토로라도 나와야 할텐데 조용하다.

정보통신망법에 따라 CISO 지정·신고 의무를 위반한 기업에는 3000만원 이하 과태료가 부과된다. 약 15일 이내로 이의신청을 할 수 있지만 CISO 지정·신고를 준비하고 있는 기업에 소명 기회를 주기 위한 절차다. 과기정통부는 지난해 각사에 발송한 공문을 통해 CISO 지정·신고 의무를 알렸으며, 새해에도 한 차례 더 통지할 예정이라고 한다. 의무 미이행사 2만2000개는 넋 놓고 있다가 과태료를 맞을 가능성이 짙다.

CISO 지정·신고제는 기업의 사이버 침해사고 예방과 대응 역량 강화가 목적이다. 정보보호 전문성과 경험이 있는 전문가를 둬서 국민 각 개인의 정보가 기업 정보보호 조치 소홀로 공격자에게 악용되는 사태를 예방하려는 제도다. 규모가 큰 기업일수록 침해로 인한 피해 규모도 크니 겸직을 금한 것이다.

과기정통부는 오는 4월까지 실태조사를 한다. 실태조사 목적이 과태료 부과는 아니지만 엄격히 집행할 필요가 있다. 정부가 또다시 업계 반발을 의식해 과태료 부과를 늦춘다면 정보보호 조치도 늦어질 우려가 있기 때문이다. 국민 개인정보가 달린 만큼 기업이 안 하면 하게 해야 한다. 정부가 존재하는 이유다. 엄격한 실태조사와 처벌을 통해 기업이 정보보호 조치에 소홀하지 않도록 경각심을 줘야 한다. 제도를 안착시켜서 업계 전반에 정보보호 의식이 자리 잡게 해야 한다.

지난해 말까지 미적거렸기 때문에 속도도 조금 올려야 한다. 의미 있는 제도가 유명무실해지지 않도록 책임감을 발휘해서 밀어붙일 때다.

오다인기자 ohdain@etnews.com