내년부터 직원 5인 이상의 온라인 쇼핑물업체와 통신사, 포털업체 등 직원 1000명 이상의 정보통신 서비스 제공업체는 반드시 정보보호최고책임자(CISO)를 둬야 한다. 이를 어길 경우 최고 3000만원의 과태료를 부과 받는다.

27일 국무조정실에 따르면 미래창조과학부는 이들 업체가 CISO를 지정해 정부에 의무적으로 신고토록 하는 방안을 이달 내 발표할 예정이다. CISO는 기업에서 정보보안 관련 업무를 총괄하는 임원이다. 보통 정보보안을 위한 기술적 대책부터 법률 대응까지 도맡는다.

이번 조치로 대부분의 온라인 쇼핑몰은 물론 SK텔레콤 등 통신사, 네이버 등 포털업체도 CISO를 둬야 한다. 정부는 해당 업체가 600여개에 달할 것으로 추산하고 있다. 국무조정실 관계자는 “영세 정보통신 서비스사업자는 제외했지만 많은 국민들이 이용하는 인터넷 쇼핑몰과 웹하드업체는 악성코드 유포지로 악용될 우려가 커 규제 대상에 넣었다”고 설명했다. 다만 도입 초기에 소규모 쇼핑몰업체 등은 부담을 덜어주기 위해 자격증 취득 등 특정 조건을 갖추지 않은 직원도 CISO로 지정할 수 있도록 할 방침이다.

정부는 이 제도가 자리를 잡는 대로 향후 CISO의 자격 조건도 강화할 예정이다. 미래부 관계자는 “갑자기 컴퓨터 바이러스 활동이 급격히 늘어나거나 해커 활동이 급증할 경우 작은 쇼핑몰업체를 통해 문제가 더 커질 때도 많았는데 지금은 이런 업체에 연락할 방법이 없다”며 “CISO 제도가 도입되면 이런 문제를 해결할 수 있다”고 말했다.

세종=김주완 기자 kjwan@hankyung.com