CISO 임원급 지정 의무화 법안 통과, 그러나 핵심 기준은 '시행령'에 위임돼 미정

정보보호 책임자의 위상을 근본적으로 바꾸는 법안이 통과됐다. 지난 24일 국무회의를 통과한 정보통신망법 개정안은 기업의 정보보호최고책임자(CISO)를 반드시 임원급으로 지정하도록 의무화했다. 이는 보안 리더십을 조직 최상위 의사결정 구조에 공식적으로 편입시키는 제도적 변화의 핵심이다. 법안은 이르면 다음 주 공포될 전망이며, 공포 후 6개월이 지난 시점, 올해 9월 말에서 10월 초부터 시행될 예정이다.

그러나 이 법의 실질적 영향력과 적용 범위를 결정짓는 가장 중요한 요소는 아직 공백 상태다. 누가, 어떤 기준으로 '임원급' CISO를 임명해야 하는지에 대한 구체적인 의무 적용 기준은 모두 '시행령'에 위임됐기 때문이다. 시행령의 내용에 따라 대기업과 중소기업의 준비 부담은 천차만별이 될 수 있으며, 명목상의 임원 지정을 넘어 실질적인 권한과 책임을 어떻게 부여할지도 관건이 된다.

이번 개정안에는 정보보호 수준 평가 및 공개 조항도 포함됐으나, 현장의 준비 기간을 고려해 이 부분은 공포 후 좀 더 유예 기간을 두고 시행될 것으로 보인다. 결과적으로, 법안 통과는 명확한 방향성을 제시했지만, 구체적인 실행 프레임워크는 여전히 미완성이다. 향후 시행령 마련 과정에서 기업 현장의 목소리와 규제 당국 간의 긴장이 예상되며, 이 조항이 한국 기업의 보안 거버넌스에 실질적인 격상을 가져올지, 아니면 형식적인 충족에 그칠지는 시행령의 디테일에 달렸다.