임원급 CISO 신고해야 하지만 부장급 신고에도 처벌하지 않아
국민의힘 김영식 의원(구미을)은 5일 임원급이 보안업무를 전담하도록 한 ‘정보보호최고책임자 신고제도’가 유명무실하게 운영되고 있다고 지적했다.
김 의원에 따르면 과학기술정보통신부는 기업들의 보안 강화를 위해 지난해 6월부터 정보통신서비스 제공자에게 정보보호 최고 책임자(CISO)를 지정 신고토록 하고 있다.
특히 자산 총액 5조 원 이상, 정보보호 관리체계 인증 의무대상자 중 자산총액이 5천억 원이 넘는 정보통신서비스 제공자는 임원급을 보안업무 전담 CISO로 지정·신고해야 한다.
하지만 상당수 기업과 공공기관이 이를 위반하고 있는데도 처벌받은 사례가 없다며 위반 사례 10건을 공개했다.
김 의원이 공개한 기업 중 대림산업과 SK인천석유화학, 현대오일뱅크, 주택도시보증공사, GS에너지의 경우 임원급이 아닌 부장이나 센터장, 차장 등을 CISO로 신고한 것으로 알려졌다.
또 계명대 동산병원과 소노호텔앤리조트, LGU+, 쿠팡, 한국수력원자력 등은 임원급을 CISO로 신고했지만 다른 업무와 겸직을 하고 있는 것으로 확인됐다.
이 같은 현상에 대해 김 의원은 기업들이 부적정 CISO를 신고하는 것은 제도가 단순 신고제로 운영되면서 신고단계에서 부적정 CISO 선임 여부를 판별하지 못하기 때문인 것으로 분석했다.
김 의원은 “한국수력원자력은 국가 발전 산업을 책임지는 기관으로 어느 곳 보다 보안의 중요성이 높은 곳인데도 CISO가 법을 어겨가며 총무와 인사, 노무 업무까지 겸직하고 있다”고 지적했다.
또 “CISO제도가 도입 초기인 점을 감안하더라도 신고제도가 지나치게 느슨하게 운영되고 있다”며 “기업의 우선순위를 나눠서라도 CISO 신고 내용에 대한 검증과 신고 수리방법의 개선이 필요하다”고 강조했다.
신승남 기자 intel887@idaegu.com