[앵커]
생활 속 위험을 진단하고, 과학적으로 위험을 관리하는 방법을 알아보는 Science & Safety 시간입니다.
최근 기업을 대상으로 개인정보 유출과 크고 작은 사고들이 빈번하게 발생하고 있는데요.
피해를 최소화하기 위해 운영하고 있는 '정보보호 최고책임자 지정 및 신고제도'에 대해 알아겠습니다.
한국인터넷진흥원 정보보호산업지원팀 이기호 책임 연구원 나오셨습니다.
안녕하세요?
'정보보호 최고책임자 지정 및 신고 제도'란 무엇인가요?
[인터뷰]
정보보호 최고책임자제도는 기존에도 시행이 되어 왔었습니다.
사업자가 이용자 개인정보 보호 및 보안투자 확대 등을 위해서 정보통신서비스제공자의 경우 정보보호 최고책임자를 지정하도록 한 것입니다.
그런데 사이버침해 사고가 증가함에 따라 정보보호 최고책임자의 지정을 규정하고 있는 정보통신망법 제45조의3의 규정을 '권고'에서 일정규모 이상의 기업의 경우'의무'로 강화하는 내용의 법이 지난 11월 29일 시행되었습니다.
[앵커]
그렇다면 기업에서 정보보호 최고책임자란 어떤 사람인가요?
[인터뷰]
정보보호최고책임자란 기업 또는 기관에서 정보보호에 대한 전반적인 업무를 총괄하는 임원급 인사를 말합니다.
쉽게 말씀드리면 회사에는 재무를 책임지는 재무이사가 있듯이 기업의 정보보호를 책임지는 이사라고 생각하시면 됩니다.
정보보호 최고책임자는 2000년부터 미국에서 생겨나기 시작했고 정보보호가 기업의 발전은 물론 존속에 매우 중요한 요소로 자리 잡으면서 세계적으로 확산되었습니다.
[앵커]
정리해 보면 정보보호 최고책임자는 기업의 정보보호에 대한 총괄 책임자인 것 같습니다.
정보보호 최고책임자는 정보보호를 위해 구체적으로 어떤 업무를 담당하게 되나요?
[인터뷰]
기업의 정보보호와 관련된 모든 업무를 담당하고 있다고 보시면 됩니다.
주로 침해사고 예방 및 대응, 정보보호와 관련된 규정 준수에 대한 관리 및 감독, 정보보호에 관한 총괄 조정 및 승인, 정보보호 실태에 관한 정기적인 보고 등을 담당하게 됩니다.
그 밖에 조직 내의 정보보호에 대한 책임 할당, 구성원에 대한 정보보호 교육 및 홍보, 소요 예산 및 시설·장비 등 자산의 확보, 정보보호와 관련된 제반 사항의 지속적인 검토와 정보보호 수준 향상 등 정보보호와 관련된 제반 업무를 총괄합니다.
[앵커]
정말 중요한 업무를 담당하는 것 같습니다.
이번에 정보보호 최고책임자 제도가 권고에서 의무로 바뀌었다고 했는데요.
어떠한 기업들이 의무적으로 지정하고 신고해야하나요?
[인터뷰]
의무적으로 신고해야 하는 사업자들은 많은데요.
대표적으로 ① 상시 종업원 수가 1천명 이상인 정보통신서비스 제공자들입니다.
일반적으로 알고 있는 대기업들이 이에 해당됩니다.
② 전자상거래법에 따른 통신판매업자 중 상시 종업원 수가 5명 이상인 사업자도 의무 지정 및 신고 대상에 해당되는데요.
주로 우편, 홈페이지, 그 외 전자적 매체를 통한 주문방식으로 물건을 판매하는 인터넷쇼핑몰 사업자가 해당됩니다.
이밖에도 ③ 「정보통신망법」제47조제2항에 따른 정보보호관리체계(ISMS) 인증 의무 대상자들도 의무적으로 지정 및 신고해야 합니다.
[앵커]
그럼 우리회사도 정보보호 최고책임자를 지정 및 신고 해야 하는 대상인가요?
[인터뷰]
YTN도 정보통신서비스를 제공하고 있는 사업자인데요.
만약 상시 근로자 수가 1,000명 이상이거나, 정보통신서비스부문 연매출액 100억 원 이상 또는 일일평균 이용자 수가 100만 명 이상이어서 정보보호관리체계(ISMS)를 의무적으로 인증 받아야 한다면 정보보호 최고책임자를 지정하고 신고 해야 합니다.
[앵커]
정보보호 최고책임자를 지정 및 신고 대상 중에 상시 종업원 수가 5명 이상인 기준이 있었는데요.
이렇게 규모가 작은 중소기업도 정보보호 최고책임자를 별도로 임명을 해야 하는 건가요?
[인터뷰]
네, 물론입니다.
기업의 규모가 작다고 하더라도 의무 요건에 해당한다면 반드시 지정하고 신고해야 합니다.
개인정보를 보다 안전하게 보호하기 위한 조치이기 때문에 예외일 수는 없습니다.
다시 말씀드리면 규모가 작은 정보통신서비스제공자도 정보보호에 대한 책임과 권한을 분명하게 하고자 정보보호 최고책임자를 지정 및 신고하도록 한 것입니다.
다만, 규모가 작은 기업 때문에 관련법령에서는 정보보호 최고책임자에 대한 겸직을 금하지 않고 있습니다.
쉽게 말씀 드리면 대표이사 또는 IT관련 이사 등이 정보보호 최고책임자를 겸직하시면 됩니다.
[앵커]
제도가 이미 시행이 되었으므로 해당하는 사업자들은 빠른 시일에 조치를 해야 할 것 같은데요.
정보보호 최고책임자를 지정 및 신고는 어디서 해야 하나요?
[인터뷰]
네, 정보보호 최고책임자를 지정 및 신고하도록 하는 개정 법률이 지난 11월 29일에 시행되었습니다.
사업자는 해당 요건을 충족하는 날로부터 90일 이내에 정보보호 최고책임자를 지정하고 신고해야 합니다.
기존 사업자들은 관련법이 2014년 11월 29일 시행되었으므로 90일 이내인 2015년 2월 27일까지 신고 해야 합니다.
만약 신고하지 않은 경우에는 3천만원 이하의 과태료가 부과될 수도 있으니 기한 내에 정보보호 최고책임자를 지정 및 신고하셔야 합니다.
지정 및 신고는 미래창조과학부 전자민원센터(www.emsip.go.kr)에서 가능합니다.
정보보호 최고책임자 지정 신고란에서 사업자 정보(상호명, 소재지, 사업자 등록번호)와 정보보호최고책임자 정보(성명, 연락처 등)을 입력하시면 됩니다.
[앵커]
기업들이 정보보호에 대한 인식제고와 보안에 대한 투자를 늘려, 이용자들이 마음 놓고 인터넷을 사용할 수 있게 되길 바랍니다.
지금까지 한국인터넷진흥원 이기호 책임 연구원과 함께 정보보호 최고책임자 지정 및 신고 제도에 대해 알아보았습니다.
오늘 말씀 감사합니다.
[저작권자(c) YTN science 무단전재, 재배포 및 AI 데이터 활용 금지]