국민의힘 김영식 의원(구미을)은 10월 5일(월) 정보통신망법에 의거 임원급 보안업무를 전담으로 하는 ‘정보보호최고책임자(CISO) 신고제도’가 유명무실하게 운영되고 있다고 밝혔다.

기업들의 보안 강화를 위해 2019년 6월부터, 정보통신서비스 제공자는 CISO를 지정, 과기정통부에 신고하여야 하며, 자산 총액 5조원 이상, 정보보호 관리체계 인증 의무대상자 중 자산총액이 5천억원 이상인 정보통신서비스 제공자는 임원급의 보안업무 전담 CISO를 지정·신고하도록 하고 있다. (정보통신망법제45조의3(정보보호 최고책임자의 지정 등))

김영식의원실이 과기정통부 자료 열람을 통해 제공받은 자료에 따르면, 다수의 기업들이 현행법을 위반하여 CISO를 신고하였지만, 이를 통해 처벌받은 기업은 없는 것으로 드러나 CISO가 제도가 유명무실하게 운영되고 있는 것을 확인했다.

김영식의원실은 과기정통부 CISO 신고자료 열람을 통해, 부적정 CISO 신고(임원급 CISO가 아닌 경우, 겸직을 하는 경우)가 다수가 있는 것을 확인하고, 10개 기업의 사례를 공개했다.

김영식의원실이 확인한 바에 의하면 CISO 신고는 단순 신고제도로 운영되고 있어, 신고단계에서 부적정 CISO 선임 여부를 판별하지 못하는 것으로 드러났다.

김영식 국회의원은 “CISO제도가 도입 초기인 점을 감안하더라도, 신고제도가 지나치게 느슨하게 운영되고 있다”라고 지적하며, “기업의 우선순위를 나눠서라도 CISO 신고 내용에 대한 검증과 신고 수리방법의 개선이 필요하다”라고 밝혔다.

김영식 의원은 “한국수력원자력은 국가 발전산업을 책임지는 기관으로 어느 곳 보다 보안의 중요성이 높은 곳인데, CISO가 법을 어겨가면서 총무와 인사, 노무 업무까지 겸직하고 있다”라고 밝히며, “특히, 민간기업이 아닌 공기업에서도 다수가 이를 위반하고 있어서 국정감사에서 이 문제에 대해 따져 물을 것이다”라고 강조했다.