정보보호최고책임자의 자격요건과 역할론
Chief Information Security Officer Qualifications and Role theory
 
 
 
 
 
1. 서   론
2. 정보보호최고책임자(CISO) 자격요건
3. 정보보호최고책임자(CISO) 역할
4. 바람직한 발전방안
5. 결론
 
 
1. 서   론
일상의 모든 제품이 네트워크에 연결되는 초연결 사회는 AI, IoT, 빅데이터, 클라우드 등 4차산업으로 급속하게 확대되면서, 글로벌 인터넷 환경은 지능화·고도화되는 사이버 공격의 지속적인 증가와 더불어 개인정보와 민감정보들의 반복적인 피해로 현업에서 활동하는 정보보호최고책임자(CISO)의 역할이 부각되고 있다.
정부부처와 공공 부문의 보안 전담조직(정보보호담당관)과 일선 현장에서 활동을 하고 있는 정보보호최고책임자(이하, CISO)는 조직의 임원진으로써 다른 조직의 임원들과의 원활한 소통과 협업을 통하여 조직內 정보보호관리체계(거버넌스) 구축과 관리적, 물리적, 기술적, 법률적 전문성 강화를 실현하는 중요한 역할을 담당하고 있다.
지난 2018년 6월 12일 정「정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하, 정보통신망법)」이 개정되면서 사이버보험 가입 의무화(제32조의3)와 임원급의 정보보호최고책임자의 지정 및 겸직 금지(제45조의3제3항 및 제7항 신설 등)하고, 자격요건 등을 대통령령으로 정하는 내용이 통과가 되었으며, 중기업 이상의 정보통신서비스 제공자, 자본금 1억 원 이하의 부가통신사업자를 제외한 모든 전기통신사업자와 정보보호관리체계(ISMS) 인증을 받아야 하는 모든 정보통신서비스 제공자 등 4만1천 여 개 기업은 정보보호최고책임자를 의무 지정하고 이를 과기정통부장관(중앙전파관리소장에게 위임)에게 신고하는 시행령을 지난 2019년 6월 25일 개정 하였다. 따라서, 조직의 C-level 임원으로 활동하기 위한 다양한 전문적 지식이 요구되는 CISO 자격요건과 업무를 원할하게 수행함에 있어서의 역할론을 살펴보고자 한다.
 
 
2. 정보보호최고책임자(CISO) 자격요건

2.1 정보보호최고책임자의 정의
2.1.1 용어의 정의
CISO는 기업에서 정보 보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원을 지칭한다. ※ 출처 KISA
조직의 비전과 미션을 수행하기 위하여 정보 자산을 안정적으로 운영하는 데 필요한 정보보호 전략 및 정책을 수립하고, 관련 법제도 준수, 보호관리 활동을 수행하며, 위험관리에 기반한 정보보호 대책을 도출하고 실행하는 일을 임무로 한다. ※ 출처 NCS
정보보호최고책임관리사는 정보시스템의 사이버 공격에 대한 예방과 신속한 대응을 위한 정보보안에 대한 전문지식과 운용 능력을 갖추고, 정보보호 관련 법률과 규제를 만족하는 조직의 정보보호관리체계 정책 기획수립 및 정보보호를 위한 자원 확보, 성과 검토, 주요 정보자산의 기밀성·무결성·가용성·관리 적정성을 점검 등의 거버넌스 구현하고 관리하는 업무 수행 능력을 가진 자를 말한다. ※ 출처 CISO-CQ
 

2.2 정보보호최고책임자 법률 관련 근거
 
2.2.1 관련 법률의 명시
관련 법률에서는 CISO의 자격요건으로 정보보호 또는 IT 분야의 학력 및 자격(경력)을 충족하도록 요구하고 있다. 특히, CEO를 비롯하여 타 임원들에게 정보보호의 중요성 설명하고 이해상충 시 이를 조정하기 위해서는 정보보호 및 실무적 지식을 겸비해야 하며, 정보보호 이슈에 대한 신속하고 정확한 의사결정을 내리고, 정보보호 조직을 효율적으로 운영하기 위한 리더십을 갖출 필요가 있다.
정보통신망법(제45조의3제3항 및 제7항 신설 등)에서는 예외 요건에 해당하지 않는 정보통신서비스제공자는 임원급의 CISO를 지정, 신고하여야 하며, 일정 요건에 해당하는 정보통신서비스제공자의 CISO는 제4항에서 지정된 업무 외의 다른 업무를 겸직할 수 없다. 라고 명시하고 있다.