정보통신망법 시행령 개정안 국무회의 의결-기업규모에 따른 CISO 임원급 지위 세분화 및 신고의무 대상기업 합리화 등

정보통신망법 시행령 개정안 국무회의 의결-기업규모에 따른 CISO 임원급 지위 세분화 및 신고의무 대상기업 합리화 등

작성일 2021-11-30 부서 사이버침해대응과

 

 

정보보호 최고책임자(CISO) 제도개선을 위한

「정보통신망법 시행령」개정안 국무회의 의결

 

- 기업규모에 따른 CISO 임원급 지위 세분화 및 신고의무 대상기업 합리화 등 -

※ 2021년 정보통신망법 개정에 따른 후속조치(’21.12.9. 시행 예정)

 

 

□ 과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’)는 기업의 사이버 침해사고 예방 및 대응역량 강화를 위해 운영 중인 정보보호 최고책임자(CISO, Chief Information Security Officer) 제도개선을 담은 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하, 정보통신망법)｣ 시행령 개정안이 11월 30일(화) 국무회의를 통과해 12월 9일(목)부터 시행될 예정이라고 밝혔다.

 

ㅇ 이번 시행령 개정은 지난 6월 8일 개정된 정보통신망법 후속조치 차원이며, 그간 ▴획일적이던 기존 정보보호 최고책임자의 임원급 지위를 기업규모에 따라 정보보호 책임자(부장급) 또는 대표자도 지정·신고 가능토록 허용하고, ▴신고대상 범위도 정보보호 필요성이 큰 중기업 이상으로 조정하여 기업의 부담 완화에 중점을 두었다.

 

□ 정보통신망법 시행령 개정안의 주요내용은 다음과 같다

 

➊ CISO 임직원 범위 명확화

(기존) 일률적 임원급 지정 ⇒ (개정) 정보보호 책임자(부서장급)까지 가능

* 단, 겸직제한기업은 ‘이사’

 

ㅇ 정보보호 최고책임자 신고의무를 가진 기업에 일률적으로 ‘임원급’ 지정을 강제하던 것을 기업 규모를 기준으로 세분화하여 기존의 모호한 ‘임원급’ 기준에 대한 혼선을 해소하였다.

 

- 이에 따라, 신고의무 기업을 겸직제한 의무대상*(대규모 기업)과 일반 신고의무대상(중기업 이상)으로 구분하여, 겸직제한 대상 기업은 ‘이사’ 로 구체화하고 일반 의무대상 기업은 정보보호 책임자(부서장급) 까지 지정이 가능하도록 개선하여 기업의 부담을 완화한다.

 

* 직전 사업연도 말 자산총액 5조원 이상이거나, 정보보호 관리체계(ISMS)의무대상 중 자산총액 5천억 원 이상인 자로 정보보호업무 외 타 업무 겸직 제한

 

➋ CISO 신고 의무대상 합리화

(기존) 모든 중기업 이상 ⇒ (개정) 정보보호 중요성이 큰 중기업 이상

※ (신설) 신고의무 제외된 면제 대상자 조치 : 미신고 시 사업주나 대표자를 CISO로 간주

 

ㅇ 정보보호 최고책임자 신고 대상 기업을 정보보호 필요성이 큰 ‘중기업’ 이상으로 개선하여 신고대상을 합리화한다. 이와 함께 신고의무가 면제된 기업은 사업주나 대표자를 정보보호 최고책임자로 간주한다는 조항을 추가하여 기업의 정보보호 공백을 방지한다.

 

- 기존에는 모든 중기업 이상이 신고의무 대상이었으나, 금번 개정을 통해 중기업의 경우 전기통신사업자, 개인정보처리자, 통신판매업자, 정보보호 관리체계 인증 의무대상자에 해당하는 경우로 기준을 개선한다. 

 

 

 

➌ CISO 신고기한 연장

(기존) 현재 90일 ⇒ (개정) 180일로 연장

 

ㅇ 신규로 신고의무 대상이 되는 기업의 인력수급 어려움 등 여건을 고려하여 신고기한을 현행 90일에서 180일로 연장한다.

 

➍ 과태료 금액 신설·정비 * 중앙전파관리소에 행정처분 권한 위임

□ (신설) 겸직금지 의무 위반 과태료 금액 신설

* 위반횟수별 부과금액 : (1회) 1,000만원, (2회) 2,000만원, (3회이상) 3,000만원

 

□ (개정) 지정신고 의무 위반 과태료 금액 완화

* 위반횟수별 부과금액 : (1회) 1,000만원→750만원, (2회) 2,000→1,500만원, (3회이상) 3,000만원

 

ㅇ 겸직금지 의무 위반 실효성 제고를 위해 과태료 금액을 신설하고, 정보보호 최고책임자 미신고 시 과태료 금액은 완화하였다. 이와 함께 중앙전파관리소에 행정처분에 대한 권한 위임근거를 마련한다.

 

□ 임혜숙 과기정통부 장관은 “이번 개정안을 통해 기업의 부담을 완화하는 동시에 주요 기업들의 정보보호 최고책임자가 기업 내 정보보호 업무에 집중·전담토록 함으로써, 사이버 침해사고를 예방하고 사고 발생 시 신속한 복구 및 피해 최소화 등을 가능하게 하여 국내기업들의 전반적인 정보보호 역량이 보다 강화될 것으로 기대된다.”고 밝혔다.

 

 

 

붙임 정보통신망법 시행령 개정안

 

현 행 개 정 안

 

제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) <신 설> 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) ① 법 제45조의3제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 임직원”이란 다음 각 호의 구분에 따른 사람을 말한다.

1. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자

가. 자본금이 1억원 이하인 자

나. 「중소기업기본법」 제2조제2항에 따른 소기업

다. 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자

1) 「전기통신사업법」에 따른 전기통신사업자

2) 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자

3) 「개인정보 보호법」 제30조제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자

4) 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조에 따라 신고를 해야 하는 통신판매업자

2. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)

가. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자

나. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자

3. 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람

가. 사업주 또는 대표자

나. 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)

다. 정보보호 관련 업무를 총괄하는 부서의 장

① 법 제45조의3제1항 단서에서 “자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보통신서비스 제공자로서 다음 각 호의 어느 하나에 해당하는 자를 말한다. ② 법 제45조의3제1항 단서에서 “자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보통신서비스 제공자로서 제1항제1호 각 목의 어느 하나에 해당하는 자를 말한다.

1. 「전기통신사업법」 제22조제4항제1호에 따라 부가통신사업을 신고한 것으로 보는 자

2. 「소상공인기본법」 제2조에 따른 소상공인

3. 「중소기업기본법」 제2조제2항에 따른 소기업[「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 사업자(이하 “집적정보통신시설사업자”라 한다)는 제외한다]으로서 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만 명 미만이고 전년도 정보통신서비스 부문 매출액이 100억원 미만인 자

<신 설> ③ 법 제45조의3제1항 단서에 해당하는 자가 정보보호 최고책임자를 신고하지 않은 경우에는 사업주나 대표자를 정보보호 최고책임자로 지정한 것으로 본다.

② (생 략) ④ (현행 제2항과 같음)

③ 법 제45조의3제3항에서 “자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보통신서비스 제공자로서 다음 각 호의 어느 하나에 해당하는 자를 말한다. ⑤ 법 제45조의3제3항에서 “자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보통신서비스 제공자로서 제1항제2호 각 목의 어느 하나에 해당하는 자를 말한다.

1. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자

2. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액 5천억원 이상인 자

④ 제3항에 따른 정보통신서비스 제공자가 지정ㆍ신고해야 하는 정보보호 최고책임자는 제2항에 따른 자격 요건을 충족하고, 상근하는 자로서 다음 각 호의 어느 하나에 해당하는 자격을 갖추어야 한다. 이 경우 정보보호 또는 정보기술 분야의 업무는 「전자금융거래법 시행령」 별표 1 비고 제3호 및 제4호에 따른 업무를 말한다. ⑥ 제5항-------------------------------------------------------------- 제4항에 따른 자격을 갖추고 상근(常勤)하는 사람으로서 다음 각 호의 어느 하나에 해당하는 자격을 추가로 갖춰야 한다. -----------------------------------------------------------------------------------------------.

1.ㆍ2. (생 략) 1.ㆍ2. (현행과 같음)

제36조의8(정보보호 최고책임자의 신고 방법 및 절차) 법 제45조의3제1항에 따라 정보보호 최고책임자를 지정하고 신고해야 하는 정보통신서비스 제공자는 신고의무가 발생하게 된 날부터 90일 이내에 과학기술정보통신부령으로 정하는 정보보호 최고책임자 지정신고서를 과학기술정보통신부장관에게 제출해야 한다. 제36조의8(정보보호 최고책임자의 신고 방법 및 절차) -------------------------------------------------------------------------------------- 발생한 날부터 180일 -------------------------------------------------------------------------------------------------.

제37조(집적정보통신시설사업자의 보호조치) ① 집적정보통신시설사업자가 법 제46조제1항에 따라 정보통신시설의 안정적 운영을 위한 보호조치는 다음 각 호와 같다. 제37조(집적정보통신시설사업자의 보호조치) ① 법 제46조제1항에 따라 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 정보통신서비스 제공자(이하 “집적정보통신시설사업자”라 한다)가 정보통신시설을 안정적으로 운영하기 위하여 해야 하는 보호조치는 다음 각 호와 같다.

1. ∼ 5. (생 략) 1. ∼ 5. (현행과 같음)

②ㆍ③ (생 략) ②ㆍ③ (현행과 같음)

제70조(권한의 위임ㆍ위탁) ① 과학기술정보통신부장관은 법 제65조제1항에 따라 다음 각 호에 해당하는 자에 대한 법 제76조에 따른 과태료 부과ㆍ징수의 권한을 중앙전파관리소장에게 위임한다. 제70조(권한의 위임 및 업무의 위탁) ① -------------------------------------------------------------------------------------------------------------------------.

1. (생 략) 1. (현행과 같음)

2. 법 제45조의3제1항에 따라 정보보호 최고책임자를 지정하고 신고하여야 하는 자 2. ----------------------------------------------- 신고해야 --------

<신 설> 2의2. 법 제45조의3제3항에 따라 정보보호 최고책임자가 같은 조 제4항의 업무 외의 다른 업무를 겸직할 수 없도록 해야 하는 자

3. (생 략) 3. (현행과 같음)

② 과학기술정보통신부장관은 법 제65조제1항에 따라 다음 각 호의 권한을 중앙전파관리소장에게 위임한다. ② --------------------------------------------------------------------------------.

1. 법 제45조의3에 따른 정보보호 최고책임자 지정의 신고 1. 법 제45조의3제1항---------------------------

2. ∼ 7. (생 략) 2. ∼ 7. (현행과 같음)

8. 법 제53조부터 제61조까지의 규정을 위반한 사실을 확인하기 위한 법 제64조제1항 및 제3항에 따른 자료제출 요구와 검사 8. 법 제45조의3 및 법 제53조부터 -----------------------------------------------------------------------

9. (생 략) 9. (현행과 같음)

③ㆍ④ (생 략) ③ㆍ④ (현행과 같음)

제71조(규제의 재검토) ① 삭 제 제71조(규제의 재검토) 

② 과학기술정보통신부장관은 다음 각 호의 사항에 대하여 다음 각 호의 기준일을 기준으로 3년마다(매 3년이 되는 해의 기준일과 같은 날 전까지를 말한다) 그 타당성을 검토하여 개선 등의 조치를 하여야 한다. ② ------------------------------------------------------------------------------------------------------------------------------------------------------ 해야 ------.

1. 제36조의7제2항 및 제4항에 따른 정보보호 최고책임자의 자격요건과 같은 조 제3항에 따른 정보통신서비스 제공자의 범위: 2020년 1월 1일 1. 제36조의7제4항 및 제6항----------------------------------------- 제5항--------------------------------------------

2. ∼ 9. (생 략) 2. ∼ 9. (현행과 같음)

③ 삭 제

④ (생 략) ④ (현행과 같음)