기업 정보보호 인식 낮아 어려움 정보보호 최고책임자 제도 개편 정보보호 외의 직무 겸직 제한 사이버 침해 예방·피해 최소화
정부가 기업의 정보보호 역량을 강화하기 위해, 정보보호 최고책임자(CISO) 제도를 전면 개편한다. 이에 따라, 약 4만 1000개에 달하는 기업에서 의무적으로 CISO를 지정해야 하는 등 기업내 정보보호 관리 책임기능이 강화된다. 최근 3년간 해킹 공격으로 인한 중소기업의 기술유출 피해액이 3000억 원에 달하는 등 국내 기업의 정보보호 인식이 낮은 만큼 CISO의 역할이 절실한 상황이다.
19일 과학기술정보통신부는 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위해 CISO 제도 개선 등을 담은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 개정안을 입법 예고한다고 밝혔다.
개정안은 우선, 업종 특성과 종업원수 등을 기준으로 정하던 정보보호 최고책임자 지정·신고 의무 대상자를 기업 규모와 전기통신사업의 성격을 기준으로 개선해 신고대상을 합리화한다.
이에 따라, 자산총액이 5000억 원 미만인 중견기업 이상의 정보통신서비스 제공자, 자본금 1억 원 이하의 부가통신사업자를 제외한 모든 전기통신사업자와 정보보호 관리체계(ISMS) 인증을 받아야 하는 모든 정보통신서비스 제공자 등 4만 1000여 개 기업에서 CISO를 의무 지정해야 한다. ISMS는 정부가 검증하는 정보보안인증 체계로 전년도 매출액 100억 원 이상, 전년도 직전 3개월간 일 평균 방문자 100만 명 이상인 곳은 인증 의무 대상이다.
또 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억 원 이상인 기업의 CISO는 다른 직무의 겸직이 제한된다. 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 한다는 취지다.
CISO는 정보보호 또는 정보기술 관련 전문 지식이나 실무 경험이 풍부한 자 중에서 지정해야 한다. 4년 이상의 정보보호 분야 경력자이거나 2년 이상의 정보보호 분야 경력자로서 정보기술 분야 경력과 합해 5년 이상이 기준이다. 특히 다른 직무의 겸직이 제한된 CISO는 상근하는 자로서 다른 회사의 임직원으로 재직하면 안된다.
과기정통부 관계자는 "이번 개정안이 주요 기업의 정보보호 업무를 전담할 수 있는 전문가를 CISO로 지정하도록 하는 등 사회 전반의 정보보호 역량을 강화함으로써 사이버 침해사고의 예방과 사고 발생 시 피해의 최소화 및 신속한 복구 등에 기여할 수 있을 것"이라고 말했다.
![[기획] 페이커, 세계 e스포츠 전설되다](https://wimg.dt.co.kr//news/cms/2025/11/10/news-p.v1.20251110.73099dc04f294bf8a3c8dc05f1900a02_T1.jpg)
![[기획] 페이커, 세계 e스포츠 전설되다](https://wimg.dt.co.kr/news/cms/2025/11/10/news-p.v1.20251110.73099dc04f294bf8a3c8dc05f1900a02_R.jpg)
![[기획] AI로 무장한 북한 해커… 국민 일상까지도 뚫었다](https://wimg.dt.co.kr/news/cms/2025/11/10/news-p.v1.20251110.58fe6cfd5efb4610b2572cdc65e45f02_R.jpg)
![[짚어봅시다] ‘검란(檢亂)’ 비화한 대장동 항소 포기… 검찰 전체로 확산되나?](https://wimg.dt.co.kr/news/cms/2025/11/10/rcv.YNA.20251110.PYH2025111009970001300_R.jpg)
![[기획] 기업행위 8000여개가 형벌 대상… 기업 수익성은 20년새 반토막](https://wimg.dt.co.kr/news/cms/2025/11/10/news-p.v1.20251110.0b255fe4396a4e7aaa408822cd6108dd_R.png)