주요 대기업들 정보보호임원 별도 임명해야..."인사권 침해" 불만도

자료사진. (C) AFP=뉴스1

정부가 이달부터 주요 대기업들을 대상으로 이사급 정보보호최고책임자(CISO)를 별도 임명하도록 했다. CISO를 유사보직 임원이 겸직하던 관행을 차단하기 위한 조치로, 규정 위반 시 과태료를 물어야 한다. 최근 랜섬웨어 해킹 등 사이버 침해 사고가 늘고 있는데 따른 조치라지만, 재계에서는 과도한 규제이자 인사권 침해라는 불만의 목소리가 나온다.

과학기술정보통신부는 이같은 내용이 포함된 정보통신망법(정보통신망이용촉진및정보보호등에관한법률) 시행령 개정안이 지난 30일 국무회의를 통과했다고 밝혔다. 오는 9일 시행되는 이번 개정안에 따르면 대기업은 이사급 CISO를 선임해야 하며 겸직금지 위반 시 최대 3000만원의 과태료를 부과한다. 해당 대기업 기준은 직전 사업연도 말 기준 자산총액 5조원 이상이거나 정보보호 관리체계(ISMS) 의무대상 중 자산총액 5000억원 이상 중 하나에 해당하는 경우로, 지난 5월 기준 160개사다.


정부는 지난해 법 개정을 통해 중견기업 이상 정보통신서비스 사업자에 임원급 CISO를 임명하고 이를 신고하도록 한 바 있다. 하지만 법 시행 후 일선 기업에서 임원급이 아닌 부장급 직원이 맡거나 유사보직인 CPO(개인정보보호 최고책임자) 또는 CIO(최고정보관리책임자)가 CISO를 겸임하는 사례가 잇따랐다. CISO 직을 겸임하더라도 처벌규정이 없었다. 일각에서 제도 취지에 어긋난다는 지적이 제기됐고, 올들어 국내외에서 랜섬웨어 등 대규모 사이버 공격이 이어지자 정부가 실효성을 높이기 위한 제도 개편에 나선 것이다.

정부가 대기업에 겸임금지 조항을 명확히 하고 과태료 처벌규정을 신설하는 등 규제를 강화한 이유다. 반면 중소·중견기업의 경우 경영 여건의 어려움을 반영해 임원급 아닌 일반 부서장급도 CISO를 맡을 수 있게 하고 신고의무도 일부 완화했다. 기업규모 별로 제도를 현실화했다는 평가도 있다.

하지만 재계에서는 "과도한 규제"라고 토로한다. 임원급 CISO 임명은 별도 보안조직을 둬야 한다는 의미로, 기업의 고유한 인사권을 침해한다는 이유에서다. 아울러 개인정보 등 민감정보를 직접 다루지 않는 지주회사의 경우 자산총액 5조원이 넘었다는 이유로 임원급 인사를 별도로 선임하는 것도 문제라는 지적이 나온다. 지주회사는 일반 기업과 달리 근무인원이 많지않아 임원을 추가 고용하는데 드는 부담이 상대적으로 클 수 있다.


유사한 직책인 CPO와 CIO 등과의 역할 분담도 과제다. CPO는 개인정보보호법에 따라 개인정보 수집 및 처리를 관할하므로 CISO 업무와 일부 겹친다. CIO는 사내 시스템 관리와 운영 편의성을 도모하는 직책으로, 정보보호 강화에 집중하는 CISO와 견제, 마찰관계가 불가피하다. 한 재계 관계자는 "보안을 소홀히해서는 안되지만 대기업에만 강한 규제를 적용하는 것 같아 기업들의 불만이 적지않다"고 말했다.