5G시대 더 중요한 정보보호…"기업 CISO 의무화, 겸직금지"
입력
수정
세계 최초 5세대 이동통신(5G) 상용화에 발맞춰 정부가 정보보호 수준을 끌어올리고 관련 산업을 적극 육성하겠다는 의지를 내비쳤다. 이를 위해 기업 정보보호최고책임자(CISO) 지정을 의무화하고 일정 규모 이상 정보통신기업은 사내 CISO 겸직을 금지한다.
김석환 한국인터넷진흥원(KISA) 원장(사진)은 28일 서울 강남구 섬유센터에서 열린 ‘글로벌 정보보호 트렌드 세미나’에 참석해 “미국은 이미 정보보호를 비용이 아닌 투자로 본다. 4차 산업혁명 시대엔 우리도 이같은 정보보호 선진국과 유사한 사회적 인식 수준이 필요하다”고 말했다.그는 최근 미국에서 개최된 세계적 보안행사 ‘RSA 컨퍼런스 2019’를 언급하며 “가장 많이 언급된 키워드는 ‘제로 트러스트’, 아무것도 믿지 말고 점검하자는 것이었다”고 강조했다. 망 연결이 확장되고 경계가 모호해진 멀티 클라우드 환경인 만큼 모든 네트워크를 의심하고 검증하는 태도가 필요하단 뜻이다.
과학기술정보통신부는 특히 ‘5G 퍼스트무버’ 안착을 위해 물리적·기술적 보안뿐 아니라 사회 전반적인 보안 기반 조성이 중요하다고 강조했다.
입법예고한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령’ 개정안을 대표적 보안 기반 조성 사례로 꼽았다. 오는 6월 시행되는 정보통신망법 개정안의 골자는 CISO 지정 의무화, 사내 겸직 금지 등이다. 기업 정보보호 수준 제고에 초점을 맞췄다.개정안에 따라 △소기업을 제외한 중기업 이상 정보통신서비스 제공자 △자본금 1억원 이하 부가통신사업자를 제외한 모든 전기통신사업자 △정보보호관리체계(ISMS) 인증을 받아야 하는 모든 정보통신서비스 제공자 등은 CISO를 의무 지정해야 한다. 또 자산 총액 5조원 이상 정보통신서비스 제공자, ISMS 인증을 받아야 하는 정보통신서비스 제공자 중 자산 총액 5000억원 이상 기업의 CISO는 정보보호 업무에 전념하도록 사내 다른 직무의 겸직을 제한했다.
개정안 시행으로 인한 CISO 의무 지정 대상 기업은 4만1000여개, 겸직 금지 대상 기업은 약 120개로 파악된다.
오용수 과기정통부 정보보호정책관은 “5G 상용화는 통신에 국한된 게 아니라 제조·유통·일반 서비스까지 산업 전반과 연계된 변화를 수반한다. 그 접점에서 발생하는 보안 우려 해소가 관건”이라며 “정보보호 인프라 산업이 중요하다. 정부가 곧 내놓을 ‘5G 플러스(+) 전략’에는 기존 8대 산업에 엣지컴퓨팅, 정보보호산업을 추가해 10대 관련 신산업을 발표할 계획”이라고 말했다.그는 “산업적 시도와 함께 보안 관련 연구개발(R&D)과 인력양성까지 크게 삼각구도로 대응해나갈 것”이라면서 “핵심기술을 선제적으로 확보해 우리 보안산업 수준을 주요 2개국(G2)급 경쟁력을 갖추도록 키우려는 의지를 갖고 있다. 민간과 공공부문 협력이 중요하다”고 당부했다.
김봉구 한경닷컴 기자 kbk9@hankyung.com
사진=김산하 한경닷컴 기자 sanha@hankyung.com
김석환 한국인터넷진흥원(KISA) 원장(사진)은 28일 서울 강남구 섬유센터에서 열린 ‘글로벌 정보보호 트렌드 세미나’에 참석해 “미국은 이미 정보보호를 비용이 아닌 투자로 본다. 4차 산업혁명 시대엔 우리도 이같은 정보보호 선진국과 유사한 사회적 인식 수준이 필요하다”고 말했다.그는 최근 미국에서 개최된 세계적 보안행사 ‘RSA 컨퍼런스 2019’를 언급하며 “가장 많이 언급된 키워드는 ‘제로 트러스트’, 아무것도 믿지 말고 점검하자는 것이었다”고 강조했다. 망 연결이 확장되고 경계가 모호해진 멀티 클라우드 환경인 만큼 모든 네트워크를 의심하고 검증하는 태도가 필요하단 뜻이다.
과학기술정보통신부는 특히 ‘5G 퍼스트무버’ 안착을 위해 물리적·기술적 보안뿐 아니라 사회 전반적인 보안 기반 조성이 중요하다고 강조했다.
입법예고한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령’ 개정안을 대표적 보안 기반 조성 사례로 꼽았다. 오는 6월 시행되는 정보통신망법 개정안의 골자는 CISO 지정 의무화, 사내 겸직 금지 등이다. 기업 정보보호 수준 제고에 초점을 맞췄다.개정안에 따라 △소기업을 제외한 중기업 이상 정보통신서비스 제공자 △자본금 1억원 이하 부가통신사업자를 제외한 모든 전기통신사업자 △정보보호관리체계(ISMS) 인증을 받아야 하는 모든 정보통신서비스 제공자 등은 CISO를 의무 지정해야 한다. 또 자산 총액 5조원 이상 정보통신서비스 제공자, ISMS 인증을 받아야 하는 정보통신서비스 제공자 중 자산 총액 5000억원 이상 기업의 CISO는 정보보호 업무에 전념하도록 사내 다른 직무의 겸직을 제한했다.
개정안 시행으로 인한 CISO 의무 지정 대상 기업은 4만1000여개, 겸직 금지 대상 기업은 약 120개로 파악된다.
오용수 과기정통부 정보보호정책관은 “5G 상용화는 통신에 국한된 게 아니라 제조·유통·일반 서비스까지 산업 전반과 연계된 변화를 수반한다. 그 접점에서 발생하는 보안 우려 해소가 관건”이라며 “정보보호 인프라 산업이 중요하다. 정부가 곧 내놓을 ‘5G 플러스(+) 전략’에는 기존 8대 산업에 엣지컴퓨팅, 정보보호산업을 추가해 10대 관련 신산업을 발표할 계획”이라고 말했다.그는 “산업적 시도와 함께 보안 관련 연구개발(R&D)과 인력양성까지 크게 삼각구도로 대응해나갈 것”이라면서 “핵심기술을 선제적으로 확보해 우리 보안산업 수준을 주요 2개국(G2)급 경쟁력을 갖추도록 키우려는 의지를 갖고 있다. 민간과 공공부문 협력이 중요하다”고 당부했다.
김봉구 한경닷컴 기자 kbk9@hankyung.com
사진=김산하 한경닷컴 기자 sanha@hankyung.com