[게티이미지뱅크]

[헤럴드경제=정윤희 기자]기업의 보안 강화를 위해 임원급 보안업무를 전담자를 두는 정보보호최고책임자(CISO) 제도가 유명무실하다는 지적이 나왔다. CISO 신고가 단순 신고제도로 운영되면서 신고단계에서 부적정 CISO 선임 여부를 판별하지 못한다는 비판이다.

김영식 국민의힘 의원은 5일 과학기술정보방송통신부가 제출한 자료를 분석한 결과, 다수의 기업들이 현행법을 위반해 CISO를 신고했지만, 이를 통해 처벌 받은 기업은 없는 것으로 나타났다고 밝혔다.

지난해 6월부터 시행된 CISO 제도는 정보통신서비스 제공자가 CISO를 지정해 과기정통부에 신고해야 한다. 특히, 정보통신망법에 의해 자산총액 5조원 이상, 정보보호 관리체계 인증 의무대상자 중 자산총액이 5000억원 이상인 정보통신서비스 제공자(주로 대기업)는 임원급의 보안업무 전담 CISO를 지정해 신고하도록 하고 있다.

김 의원실은 CISO 신고자료를 분석해 임원급 CISO가 아닌 경우, 겸직을 하는 경우 등 부적정 CISO 신고 사례가 다수 있는 것을 확인하고 이중 10개 기업의 사례를 공개했다.

대림산업, SK인천석유화학, 현대오일뱅크의 경우 임원급이 아닌 부장급을 CISO로 신고했다. 주택도시보증공사 역시 관리3급을 CISO로 지정해 신고했다. GS에너지의 경우 차장이 CISO를 맡고 있었다.

다른 업무와 겸직하는 경우도 많았다. 한국수력원자력, LG유플러스, 쿠팡, 계명대동산병원, 소노호텔앤리조트의 경우 임원급 CISO를 지정하긴 했으나 총무, 인사, 노무 등과 겸직했다. 현대오일뱅크는 부장급 CISO가 IT기획, POS, 인프라 업무를 겸직하고 있는 것으로 나타났다.

김영식 국민의힘 의원 [연합]

김영식 의원은 “CISO제도가 도입 초기인 점을 감안하더라도, 신고제도가 지나치게 느슨하게 운영되고 있다”며 “기업의 우선순위를 나눠서라도 CISO 신고 내용에 대한 검증과 신고 수리방법의 개선이 필요하다”고 말했다.

그러면서 “한국수력원자력은 국가 발전산업을 책임지는 기관으로 어느 곳 보다 보안의 중요성이 높은 곳인데, CISO가 법을 어겨가면서 총무와 인사, 노무 업무까지 겸직하고 있다”며 “민간기업이 아닌 공기업에서도 다수가 이를 위반하고 있어서 국정감사에서 이 문제에 대해 따져 물을 것”이라고 강조했다.

다만, CISO와 개인정보보호최고책임자(CPO)의 경우 업무성격과 범위가 유사한 만큼, CISO와 CPO의 겸직을 금지하는 것에는 문제가 있다는 현장의 목소리가 존재한다.

이에 대해 김 의원은 “CISO가 CPO를 겸직하지 못하도록 한 것은 지나친 규제”라며 “정기국회 내에 CISO 신고제도와 관련한 보완 입법을 추진하겠다”고 했다.

yuni@heraldcorp.com