이와 함께 손해배생책임을 실질적으로 이행할 수 있도록 보험 또는 공제 가입도 의무화하는 내용도 포함된 만큼, 향후 기업들의 각별한 주의가 필요해졌다.
CISO는 정보보안을 위한 기술적 대책과 법률 대응까지 총괄 책임지는 최고 임원을 말한다. 개인정보보호책임자인 CPO(Chief Privacy Officer)나 정보관리최고책임자인 CIO(Chief Information Officer)와는 업무 영역이 다소 상이하지만, 그간에는 겸직하는 경우가 대부분이었다.
그러나 개정된 정보통신망법에 따르면, 정보통신서비스 제공자는 임원급 CISO를 지정하고 이를 과학기술정보통신부 장관에게 신고해야 한다. CISO는 독립적이고 전문적으로 업무를 수행할 수 있도록 본연의 업무 외에 다른 업무도 겸직할 수 없게 됐다.
개정안의 입법 취지를 고려할 때, 향후 CISO 지정신고 의무 대상 사업자는 확대될 가능성이 있다. 현행 정보통신망법상 CISO 지정신고 의무가 없는 기업이라 할지라도 정보보호 거버넌스(Governance) 개편 등에 대비해야 할 것으로 보인다.
개인정보 보호 의무를 위반한 기업의 배상 능력이 부족해 피해자에게 보상이 이뤄지지 못하는 경우도 사라질 전망이다.
이제는 정보통신망서비스 제공자가 손해배상책임을 실질적으로 이행할 수 있도록, 보험 또는 공제에 가입하거나 준비금을 적립해야 하기 때문이다.
이 같은 조처를 하지 않은 경우에는 2천만원 이하의 과태료가 부과된다. 가입 대상 사업자의 범위, 기준 등 구체적인 사항은 시행령으로 정하도록 하고 있기 때문에 시행령 개정 작업의 추이를 지켜볼 필요가 있다.
또 기존 정보통신망법에서는 제공자가 이용자의 이동통신단말장치 내에 저장된 정보에 접근하는 권한이 필요한 경우 이용자에게 접근권한이 필요한 항목과 이유를 알리고 동의를 받고 있다.
다만, 이번 개정법에서는 서비스 제공자의 접근권한 설정이 관련 규정에 따라서 이뤄졌는지, 방송통신위원회로 하여금 규정 준수 여부를 실태 조사할 수 있는 조항도 신설됐다.
접근권한 설정과 관련된 위반사항이 발견되면 3천만원 이하의 과태료가 부과될 예정이다. 스마트폰 앱 서비스를 제공하고 있는 기업 등은 앱 이용자 개인정보 수집 및 이용에 관한 동의와 접근권한, 이용자 정보 관리 등이 정보통신망법 이하 관련 지침에 맞게 이뤄지는지 다시 점검할 필요가 있다. (법무법인 율촌 손도일 변호사)
(끝)