중소기업 정보보호책임자는 겸직 허용

임원 아래 직급도 지정 가능

앞으로 중소기업은 임원이 아니라 부장 직급인 직원도 정보보호최고책임자(CISO)로 지정할 수 있게 된다.

과학기술정보통신부는 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’ 일부 개정안이 1일 국무회의에서 의결됐다고 밝혔다. 기업에 획일적으로 임원급 CISO를 두라고 규정한 조항을 일부 풀었다. 직전 사업연도 말 자산총액 5조원이 넘지 않는 중소기업은 부장급 직원을 CISO로 둘 수 있다. 정보보호 관리체계(ISMS) 의무 대상 중 자산총액이 5000억원 이하인 기업도 마찬가지다.

겸직 제한도 완화했다. CISO가 개인정보보호책임자(CPO)를 함께 맡는 등 정보보호 관련 유사 업무를 함께 수행할 수 있게 했다. 정보보호 공시에 관한 업무, 정보통신 기반 보호법에 따른 정보보호 책임자 업무, 전자금융 거래법에 따른 CISO 업무 등도 겸할 수 있다.

CISO 신고 대상 범위는 정보보호 필요성이 큰 중급 규모 기업 이상으로 결정했다. 기존엔 연매출 10억원 이상인 음식점·학원 등도 온라인 홈페이지를 운영하는 경우 CISO 신고를 해야 했지만 이번 개정안에 따라 신고 의무 대상에서 제외됐다. 신고 의무가 면제된 기업은 기업 대표를 CISO로 간주한다.

이날 국무회의에선 일정 규모 이상인 기업에 대해 정보보호 공시를 의무화하는 ‘정보보호산업 진흥에 관한 법률 개정안’도 의결됐다. 정보보호 투자·인력·인증 등 기업의 정보보호 현황을 기업 스스로 공개하도록 하는 제도다.

의무 대상 기준은 산학연 전문가와 이해관계자 등의 의견을 수렴해 올 하반기 대통령령으로 정할 예정이다. 기준을 적용받는 기업이 정보보호 공시를 하지 않으면 1000만원 이하 과태료를 부과한다.

선한결 기자 always@hankyung.com