정보통신서비스 제공자는 13일부터 자격요건을 갖춘 정보보호최고책임자(CISO)를 지정, 신고해야 한다.

또 일정규모 이상의 자산총액을 가진 정보통신서비스 제공사업자의 경우에는 CISO 겸직이 금지된다.

과학기술정보통신부는 이같은 내용이 포함된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령' 개정안이 13일부터 시행된다고 4일 밝혔다.

개정된 정보통신망법 시행령은 우선 정보통신서비스 제공자에게 정보보호 관련 학력·경력 등을 갖춘 자를 CISO로 지정해 신고할 것을 의무화했다. 다만 자본금 1억원 이하의 부가통신사업자 소상공인 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 등은 제외했다.

과기정통부 관계자는 "전문성과 경험을 갖춘 전문가가 해당 정보통신서비스 제공자의 정보보호 업무를 담당하게 됨으로써, 기업의 사이버 침해사고 대응능력이 강화될 것으로 기대된다"고 말했다.

시행령은 또 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억원 이상인 기업 CISO는 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한했다.

과기정통부는 CISO 자격요건, 겸직제한 제도가 신설된 점을 고려해 계도기간을 두기로 했다. 계도기간이 지나도 지정·신고 의무를 위반한 사업자에 대해서는 과태료 처분이 내려진다. CISO를 지정·신고하지 않은 경우 3000만원 이하의 과태료가 부과된다.

한편 방송통신위원회는 13일부터 매출이 5000만원 이상이면서 개인정보를 저장·관리하는 이용자수가 1000명 이상인 정보통신서비스 제공자는 개인정보보호 손해배상 보험·공제 가입이나 준비금 적립이 의무화된다고 4일 밝혔다.

이같은 내용이 포함된 정보통신망법 시행령과 위치정보법 시행령이 4일 열린 국무회의에서 통과됐다.

정보통신사업자는 업종과 관계없이 유무선 통신망을 통해 인터넷·모바일 상에서 영리목적으로 웹사이트나 앱, 블로그 등을 개설해 운영하면서 고객정보를 보유한 사업자가 모두 해당된다.