• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    광장

    정보보호 최고책임자(CISO) 및 정보보호 공시 제도의 변경 시행

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [2021.06.09.]



    『정보통신망이용촉진 및 정보보호 등에 관한 법률』 개정안(이하 정보통신망법 개정안) 및 『정보보호산업의 진흥에 관한 법률』 개정안(이하 정보보호산업법 개정안)이 2021. 6. 8. 공포되어 2021. 12. 9. 시행을 앞두고 있습니다. 위 개정안들은 각각 정보보호 최고책임자(CISO) 제도 및 정보보호 공시제도에 대한 중요한 변경사항을 담고 있으므로,이에 관하여 주요 내용을 설명드리겠습니다.



    1. 정보통신망법 개정안의 주요 내용

    ◇ CISO의 겸직제한 완화

    현행 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 (이하 정보통신망법)상 일정한 규모 이상의 정보통신서비스 제공자는 CISO를 지정하고 과학기술정보통신부장관에게 신고하여야 합니다(제45조의3 제1항). 나아가, 직전 사업연도 말 자산총액 5조원 이상이거나, 정보보호 관리체계(ISMS) 의무대상 중 자산총액 5천억 원 이상인 정보통신서비스제공자(이하 겸직제한 대상 기업)의 CISO는 법이 정하는 일정한 업무 이외의 업무를 겸직할 수 없습니다(제45조의3 제3항, 제4항). 이로 인하여 겸직제한 대상 기업의 CISO는 『개인정보 보호법』상 개인정보보호 책임자(이하 CPO)의 업무를 겸직할 수 없었고, 해당 기업은 CISO 및 CPO를 별개로 지정함으로 인해 업무 수행과 관련하여 실무적인어려움이 있었습니다.


    예컨대, 정보통신서비스 제공자는 『개인정보 보호법』에 따라 『개인정보의 기술적·관리적 보호조치 기준』을 준수하여야 합니다. 이는 CPO의 소관업무이기도 하지만, CISO의 소관업무인 “침해사고의 예방”, “사전 정보보호대책 마련 및 보안조치 설계·구현”, “중요 정보의 암호화”(정보통신망법 제45조의3 제4항 제3, 4, 6호)등과도 일부 중복됩니다. 따라서, 이러한 업무에 관한 CPO와 CISO사이의 역할 분담에 현실적 난점이 있어 왔고, 경우에 따라서는 중복적 투자 및 업무 배분이라는 문제가 발생하기도 하였습니다. 개정안이 시행되면 겸직제한 대상 기업에서도 CISO가 CPO의 업무를 겸직할 수 있게 되므로 이러한 어려움이 상당부분 해소될 것으로 기대됩니다.


    개정안은 CISO의 겸직 제한 규정을 원칙적으로 유지하되 CISO가 “개인정보 보호법상 개인정보보호책임자의 업무, 전자금융거래법상 정보보호최고책임자의 업무” 등 일정한 업무를 겸직할 수 있다는 점을 명시적으로 규정하여(본건 개정안 제45의3 제4항 제2호), CISO와 CPO의 별도 지정으로 인한 앞서 설명드린 실무적인 어려움들이 해소되게 되었습니다.


    ◇ CISO 자격 요건 및 CISO 지정 신고 의무 완화

    1) 현행 정보통신망법상 CISO 지정 의무가 있는 정보통신서비스 제공자는 임원급 인사만을 CISO로 지정할 수 있습니다(제45조의3 제1항). 이로 인하여 상당수의 정보통신서비스 제공자가 인력 및 조직 운영에 어려움을 겪고 있었습니다. 그러나 개정안은 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정할 수 있도록 규정함으로써(개정안 제45조의3 제1항) 대통령령으로써 임원급 인사 뿐 아니라 일정한 자격을 갖춘 임원급 이외의 자를 지정할 수 있도록 보완하고 있습니다. 실제로 소관부서인 과학기술정보통신부는 겸직제한 대상 기업을 제외한 기업이 부장급 정보보호 책임자를 지정할 수 있도록 시행령을 마련하고있는 것으로 파악됩니다.


    2) 개정안은 CISO 지정 후 신고 의무 또한 일부 완화하고 있습니다. 즉, 현행 정보통신망법 하에서는 CISO 지정 의무가 있는 정보통신서비스 제공자는 반드시 CISO 지정 사실을 과학기술정보통신부 장관에게 신고하여야 합니다(제45조의3 제1항). 그러나 개정안은 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 아니할 수 있도록 규정하고 있습니다(개정안 제45조의3 제1항). 이와 같이 신고 의무가 면제되는 구체적 기준에 관하여, 과학기술정보통신부는 정보보호 필요성이 큰 ‘중기업’* 이상에 대하여만 신고의무를 부과하게 하며, 신고의무가 면제된 기업은 정보보호 최고책임자를 대표자로 간주하는 시행령을 준비 중입니다.


    * 중소기업기본법 제2조 제2항,동시행령 제8조제2항에 따른 중기업을 의미하는 것으로 이해됩니다.


    ◇ CISO 관련 의무조항 위반시 과태료 부과 근거 신설

    개정안은 이상에서 살펴본 바와 같이 CISO 관련 규제를 상당 부분 완화하고 있으나, 한편으로는 규제 미준수에 따르는 제재를 강화하고 있습니다.


    현행 정보통신망법 하에서는 정보통신서비스 제공자가 CISO 지정 신고 의무를 위반한 경우 3,000만원 이하의 과태료가 부과될 수 있습니다(제76조 제1항 제6의2호). 그러나 이를 제외하면, 사업자가 CISO 관련 의무를 위반하더라도 시정조치 명령(법 제64조 제4항) 이외의 특별한 제재를 부과할 법률적 근거가 없습니다. 그러나 개정안에 따르면, 정보통신서비스 제공자가 CISO 지정 신고 의무를 위반하는 경우는 물론, 앞서 살펴본 CISO의 겸직 제한 및 CISO의 자격 요건에 관한 규정을 위반하는 경우에도 3,000만원 이하의 과태료를 부과할 수 있게 됩니다(개정안제76조 제1항 제6의2, 6의3호).


    이와 같이 과태료 부과 근거가 신설됨으로써, 개정안이 시행되고 나면 과학기술정보통신부가 CISO 관련 규정의 위반 여부에 관한 실태 점검 등을 실시하는 등 관련 규정의 집행을 강화할 것이 예상됩니다. 따라서, CISO 지정 의무가 있는 정보통신서비스 제공자들은 개정안 시행 전에 미리 개정안의 CISO관련 규정들을 준수할 수 있도록 준비해 둘 필요가 있을 것입니다.



    2. 정보보호산업법 개정안의 주요 내용

    ◇ 정보보호 공시 의무화 및 공시의무불이행시 1,000만원 이하 과태료 조항 신설

    『정보보호산업의 진흥에 관한 법률』(이하 정보보호산업법)상 정보보호 공시제도는 정보보호 투자·인력·인증현황 등 기업의 정보보호 현황을 기업 스스로 공개하는 제도입니다(정보보호산업법 제13조). 현행 정보보호산업법 하에서 정보보호의 공시는 의무사항이 아니므로, 사업자가 자율적으로공시 여부를 결정할 수 있습니다(제13조 제1항).


    그런데 이번 정보보호산업법 개정안은 4차 산업혁명과 코로나19 이후 디지털 전환이 가속화되는 환경에서 정보보호 수준을 제고한다는입법취지 하에, 정보보호공시를 도입할 필요성이 있는 자로서 대통령령으로 정하는 기준에 해당하는 자는 반드시 정보보호 현황을 공시하도록 의무화하고(정보보호산업법 개정안 제13조 제2항), 위반시 1천만원 이하의 과태료를 부과할 수 있는 근거조항을 신설하였습니다(정보보호산업법 개정안 제41조 제1항 제1호).


    정보보호 공시의무를 부담하는 “정보보호 공시를 도입할 필요성이 있는 자”의 구체적인 범위 내지 기준에 관하여는, 과학기술정보통신부가 사업분야, 매출액, 이용자 수 등을 고려하여 올해 하반기에 대통령령으로 규정할 예정입니다.


    이와 같은 정보보호 공시 의무화는 기업의 정보보호 수준이 기업 경쟁력의 중요한 요소로 평가되는 사회적 변화를 반영한 것으로 보입니다. 개정안에 따라 정보보호 공시가 활성화되면, 향후 정보보호 관련 사고에 대한 행정적 제재 또는 민·형사상의 책임이 문제되는 상황에서, 정보보호 공시 내용이 기업의 정보보호 수준에 대한 중요한 판단 근거로 활용될 가능성이 높아질 것으로 보입니다.


    따라서, 개정안이 시행되면 정보보호 공시 의무 대상 기업들은 유사 업종 또는 유사 규모의 기업들 대비 정보보호 투자 및 인력 현황 수준 등에 대한 벤치마킹과 자체 평가를 상시적으로 수행하는 것이 필요할 것으로 판단됩니다.


    저희 법무법인(유) 광장은 국내 최대 규모의 개인정보보호 및 정보보안 전문가들로 구성된 DPC(Data Privacy & Cybersecurity) 그룹을 구성하여 기업의 정보보호 및 개인정보와 관련한 자문, 법적 조사 대응, 소송 등의 법률 서비스를 제공하고 있습니다. 상기 사항이 CISO 지정 및 운영을 비롯하여 정보통신사업자들의 정보보호 실무에 도움이 되길 바라며, 관련하여 궁금한 사항이 있을 경우 연락주시기 바랍니다.



    박광배 변호사 (kwangbae.park@leeko.com)

    고환경 변호사 (hwankyoung.ko@leeko.com)

    채성희 변호사 (sunghee.chae@leeko.com)