CISO와 CPO를 겸직해야 할 것인가? 장단점에 대해 알아본다.

1. CISO/CPO의 바람직한
기업내 역할과 책임 구조
테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / contact@teknlaw.com

2. 리더십의 시금석 가운데 하나는,
문제가 위기로 발전하기 전에 조기에 문제를 인식할 수 있는 능력이다.
- Arnold Henry Glasow (~1998)

3. 우리나라 정보보호 법제의 특수성

4. 우리나라 정보보호 법제의 특수성
우리나라 정보보호체계의 특수성
• 우리나라는 법령, 고시에서 보안에 관한 상세한 내용을 법정하고 있고(다음 장표 참조),
• 주무부처∙수사기관∙법원 역시 이를 기초로 의무위반 여부를 판단하고 있음
- 보안문제는 IT 문제이자 동시에 Legal Risk Management의 문제
• CISO/CPO는 법령에서 요구하는 기술적∙관리적∙물리적 보안조치를 준수하기 위하여
- (1) 법령의 개정 현황
- (2) 주무부처의 정책 동향
- (3) 수사기관의 수사 사례
- (4) 법원의 최근 판결을 종합적으로 분석하여 대응할 수 있는 능력
- (5) CEO의 언어로 CEO를 설득할 수 있는 능력
등이 필요

5. 우리나라 정보보호 법제의 특수성
복잡한 개인정보보호 관련 법령 및 고시∙지침∙해설서(출처 : 강은성, CISO스토리)
영역 공통
금융 영역

6. 우리나라 정보보호 법제의 특수성
복잡한 개인정보보호 관련 법령 및 고시∙지침∙해설서(출처 : 강은성, CISO스토리)
정보통신
영역

7. CISO, CPO의 역할과 구분

8. CISO, CPO의 역할과 지위
CISO(Chief Information Security Officer)
• 정보보호 최고책임자
- 기업에서 정보 보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원
• 전자금융거래법과 정보통신망법에 의한 임명 의무
- 금융회사 또는 전자금융업자
총자산 2조 원 이상이면서 종업원 수가 300명 이상인 경우/ 임원
- 정보통신서비스제공자
정보보호관리체계 인증을 받아야 하는 자(전년도 매출 100억이상 or 전년도 말 직전 3개
월간 일일 이용자 수 100만이상), 통신판매업자(종업원 수5인이상) 등/ 임원
• 기업의 경영목표를 이루기 위해, 정보기술을 감독하고 전략을 세우는 것이 주임무인 최고정보
관리책임자(CIO)와는 구별

9. CISO, CPO의 역할과 지위
CPO(Chief Privacy Officer)
• 개인정보 보호법과 정보통신망법에 의한 임명 의무
- 개인정보 보호법에서는 “개인정보 보호책임자”, 정보통신망법에서는 “개인정보 관리책임
자”로 명명
- 개인정보 보호법상 CPO의 임무는 “개인정보의 처리에 관한 업무를 총괄해서 책임”지는
것(제31조 제1항)/ 고위공무원, 대표자, 담당부서장/
- 정보통신망법상 CPO의 임무는 “이용자의 개인정보를 보호하고 개인정보와 관련한 이용
자의 고충을 처리”하는 것(제27조 제1항)/임원, 담당부서장/ 종업원 5명미만으로서 전년
도말 직전 일일평균이용자 1천명 이하 면제

10. CISO, CPO의 역할과 지위
정보통신망법상 CPO, CISO의 구분
CPO CISO
조항 제27조
(제4장 개인정보의 보호)
제45조의3
(제6장 정보통신망의 안정성 확보 등)
임명의무
부담자
정보통신서비스 제공자등
(정보통신서비스 제공자, 그로부터
이용자의 개인정보를 제공받은 자)
정보통신서비스 제공자
자격 임원 또는 개인정보와 관련하여 이
용자의 고충처리를 담당하는 부서의
장(시행령 제13조)
임원급
정식명칭 개인정보 관리책임자 정보보호 최고책임자
주요업무 이용자의 개인정보 보호
개인정보 관련 이용자의 고충 처리
정보보호관리체계 수립·관리·운영
침해사고의 예방 및 대응
중요 정보의 암호화 등

11. CISO, CPO의 역할과 지위
법률에 규정된 CISO의 업무
<개정 정보통신망법 제45조의3>
③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.
1. 정보보호관리체계의 수립 및 관리·운영
2. 정보보호 취약점 분석·평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
• 정보보호 취약점 분석·평가, 침해사고 예방·대응, 정보보호 사전 보안성 검토, 암호화 검토 등
- 기술적 보호조치를 주로 담당

12. CISO, CPO의 역할과 지위
법률에 규정된 CISO의 업무
<개정 전자금융거래법 제21조의2>
③ 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자의 정보보호최고책임자는
제4항의 업무 외의 다른 정보기술부문 업무를 겸직할 수 없다. <신설 2014.10.15.>
④ 제1항에 따른 정보보호최고책임자는 다음 각 호의 업무를 수행한다. <개정 2014.10.15.>
1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
2. 정보기술부문의 보호
3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성
4. 전자금융거래의 사고 예방 및 조치
5. 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항
• 금융회사(전자금융업자)의 CISO 임명 의무화(전자금융거래법 제21조의2 제1항)
• CISO의 지정 의무 기준 (전자금융거래법 시행령 제11조의3 제1항)
- 총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사 또는 전자금융업자

13. CISO, CPO의 역할과 지위
법률에 규정된 CISO의 업무
<전자금융거래법 제21조의2 신∙구조문 대비표>
현행 전자금융거래법
[법률 제11814호, 2013.5.22.개정]
개정 전자금융거래법
[법률 제12837호, 2014.10.15.개정]
제21조의2(정보보호최고책임자 지정) ① 금융회사
또는 전자금융업자는 전자금융업무 및 그 기반이 되
는 정보기술부문 보안을 총괄하여 책임질 정보보호
최고책임자를 지정하여야 한다.
② 총자산, 종업원 수 등을 감안하여 대통령령으로
정하는 금융회사 또는 전자금융업자는 정보보호최
고책임자를 임원(「상법」 제401조의2제1항제3호에
따른 자를 포함한다)으로 지정하여야 한다.
제21조의2(정보보호최고책임자 지정) ① 동일
② 동일
③ 총자산, 종업원 수 등을 감안하여 대통령
령으로 정하는 금융회사 또는 전자금융업자
의 정보보호최고책임자는 제4항의 업무 외
의 다른 정보기술부문 업무를 겸직할 수 없
다. <신설 2014.10.15>
부칙
제1조(시행일) 이 법은 공포 후 6개월이 경과한 날부터 시행한다. (단서생략)
제2조(정보보호최고책임자의 겸직금지에 관한 적용례) 제21조의2제3항의 개정규정은 이
법 시행 후 선임(재선임되는 경우를 포함한다)되는 정보보호최고책임자부터 적용한다.

14. CISO, CPO의 역할과 지위
법률에 규정된 CPO의 업무
<개인정보 보호법 제31조>
② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
• 이용자의 고충처리 업무는 CISO에게 없는 업무
• CISO의 업무가 ‘기술적 보호조치’에 가깝다면, CPO의 업무는 ‘관리적 보호조치’에 가까움
• 정보통신망법 제27조에서는 CPO 지정의무만 부과할 뿐, 구체적 업무 내용은 미규정

15. CISO, CPO의 역할과 지위
각종 법령이 부과하는 관리책임자 임명 의무
개인정보보호법 CPO 임명 의무
신용정보보호법 CCO 임명 의무
(Chief Credit information Officer)
전자금융거래법 주1) 2) CISO 임명 의무
(일정 규모 이상 기업은 임원급 임명 및 겸직 금지)
정보통신망법 CPO, CISO
• 주1) 전자금융거래법상 일정규모 이상 기업의 경우 CISO 겸직 금지는 ‘법적 의무’(단, 이 법 시행 후 선임(재선
임되는 경우를 포함한다)되는 정보보호최고책임자부터 적용)
• 주2) 전자금융거래법상 CISO 겸직 금지 기업의 기준은 “총자산 2조원 이상이면서 종업원 수가 300명 이상”(금
융위 보도자료)
• 앞으로의 주요 쟁점은 ‘정보보호 조직을 어떻게 구성하고 R&R을
구체화 할 것이냐’라고 할 수 있음

16. CISO, CPO의 운용과 겸직 문제

17. CISO, CPO의 운용과 겸직 문제
CISO와 CPO 겸직의 문제
• 개인정보를 수집하는 5인 이상 사업체 중 CPO를 지정한 업체의 비율은 55%
- 그 중 CPO를 전담으로 임명한 업체 비율은 28.7%(KISA, 정보보호실태조사)
- 실제로 30대 기업 중 CPO 직책을 전담한 사람은 거의 없는 것이 현실
- CPO와 CISO를 겸직하는 경우 업무 감시의 효과 저해, 입법 취지 저해 우려
• CPO와 CISO를 분리하는 경우
- IT조직의 같은 안건에 대하여 CISO와 CPO가 각각 결재하는 경우 업무추진상 애로 발생
- CPO는 IT시스템의 개발 등 주요 업무에 관여를 소홀히 할 우려
- 개인정보처리시스템에 접근통제 활동 누락으로 개인정보보호법 29조 위반 발생
- 개인정보 유출시 형사처벌 가능성 발생
• CISO와 CPO를 겸직하는 경우
• 대개 이공계열 출신의 CISO가 CPO를 겸직할 가능성이 높음
• CISO가 법무에 대한 이해가 떨어지고, 법무조직과 업무협조가 소홀해지거나 갈등이 발생할 가능성
• CISO의 요건 중에 법률에 대한 깊은 이해를 가질 것을 요건으로 포함하여 장기적으로 융합전문가 양
성 필요

18. CISO, CPO의 운용과 겸직 문제
금융권의 CISO, CPO 운영 유형
CISO
(Chief Information Security
Officer
CPO
(Chief Privacy Officer)
유형 1
유형 2
유형 3
IT조직에 소속되어 IT보안역할 수행 준법감시 등 내부통제조직 소속
IT조직과 별도로 분리되어 전사
정보보안역할
IT조직과 별도로 분리되어 전사
정보보안역할
준법감시 등 내부통제조직 소속
별도 독립조직 운영
(기획, 실행, 모니터링)
• 회사의 업무분배 현황, 정보사고 발생시 대응방안 등을 고려하여 최적의 유형 선택

19. 결 어

20. CISO, CPO 관련 법률상 책임 조항
개인정보 보호법 주요 처벌 조항 예시
형사처벌
행정처벌
5년 이하 징역 또는 5천만원 이하 벌금
5천만원 이하의 과태료
3천만원 이하의 과태료
동의 없는 목적 외 이용 및 제공
제3자 제공
고유식별번호 수집 이용
민감정보 수집 이용
동의 없는 개인정보 수집
개인정보의 누설 또는 타인 이용 제공
개인정보의 훼손/멸실/변경/위조/유출
14세 미만 개인정보 수집
안전성확보조치 미이행
보호자 동의 없는
양벌규정 적용 :
담당자와 법인은
같은 형량

21. CISO, CPO 관련 법률상 책임 조항
형사처벌 조항
<개인정보 보호법 제71조>
다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인
정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자
2. 제18조제1항·제2항, 제19조, 제26조제5항 또는 제27조제3항을 위반하여 개인정보를 이용하거나 제3자에게
제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
3. 제23조를 위반하여 민감정보를 처리한 자
4. 제24조제1항을 위반하여 고유식별정보를 처리한 자
5. 제59조제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한
자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
6. 제59조제3호를 위반하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출한 자• 정보 주체의 동의 없는 개인정보 제3자 제공 등의 경우
- 고의/과실/목적 불문하고 강한 형사처벌
- 독일의 경우, 고의/중과실/경제적 목적 인정되어야 형사처벌
- CISO의 법률적 위험 감소 필요
- 회사 내에서 CISO 직위는 기피 대상

22. CISO, CPO 관련 법률상 책임 조항
CISO의 자격 기준
<전자금융거래법 시행령 별표1>
가. 정보보호 또는 정보기술(IT) 분야의 전문학사학위를 취득한 후 4년 이상 정보보호 분야 업무 또는 5년 이상 정
보기술(IT) 분야 업무를 수행한 경력이 있는 사람
나. 정보보호 또는 정보기술(IT) 분야의 학사학위 또는 다음 전문자격을 취득한 후 2년 이상 정보보호 분야 또는 3
년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
다. 정보보호 또는 정보기술(IT) 분야의 석사학위를 취득한 후 1년 이상 정보보호 분야 업무 또는 2년 이상 정보기
술(IT) 분야 업무를 수행한 경력이 있는 사람
라. 8년 이상 정보보호 분야 업무 또는 10년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
등(이하 생략)
• 전자금융거래법상 CISO의 자격 기준은 IT 분야 학위 및 경력 취득 여부에 집중
• 법률, 정책 관련 자격 요건 부재

23. CISO, CPO 분리와 겸직?
법률상 여건과 자격 문제
• CPO와 CISO의 관계
- 보안 사고 발생시 효율적 리더쉽을 발휘하여 빠른 협업적 대응이 필요
- 겸직시 효율적 업무수행 가능하나, 법무팀의 신속하고 전문적 지원이 긴요
- 분리시 효율적 협업을 통한 업무수행이 긴요하며, 내부 법무팀의 전문성이 떨어질
경우 외부 정보보호 법률전문가의 활용을 통한 위기 극복이 긴요
• 형사처벌 조항 관련
- 독일의 경우, 고의/중과실/경제적 목적 인정되어야 형사처벌
- 과실에 의한 유출도 형사처벌로 되어 있는 규정 개정 필요
• CISO 자격 기준 관련
- IT기술 뿐만 아니라, 법률 및 정책에 대하여도 전문지식이 필요
- 국가 공인 자격 제도 등 일정 자격 기준을 마련, 전문가 양성이 필요

24. 결 어
CISO와 CPO는 단기적으로 분리, 장기적으로는 겸직이 바람직
• 단기적 분리
- 보안 관련 기술적 지식과 언어 외에 법률적 지식과 언어를 습득하고, 이를 바탕으로 CEO
에게 보안의 필요성을 경영적 언어로 전달∙설득
- 법령의 제∙개정 현황, 주무부처 정책의 변화, 최신 판례의 취지 등에 대한 신속한 정보 공
유를 위한 법무조직의 지원 필요
- 아직 CISO가 법무조직을 관장하기 곤란한 현실 감안하여 단기적 분리 및 협업이 바람직
- 분리 및 협업 방안으로는
- 1안) IT 출신과 법무 출신을 각각 보안기술담당 CISO/CPO, 보안법무담당
CISO/CPO로 임명하여 협업하는 방안
- 2안) CISO는 IT출신을, CPO는 법무 출신을 임명하는 방안

25. 결 어
CISO와 CPO는 단기적으로 분리, 장기적으로는 겸직이 바람직
• 장기적 겸직
- CISO와 CPO업무가 관련 법령상 밀접한 관련을 갖고 있음에 비추어 장기적 겸직이 바람
직
- 장기적인 CISO/CPO 인재양성 방안을 마련하여 법률, 정책, IT 보안기술을 모두 아우를
수 있는 전문가 양성
- CISO/CPO 밑에
- 개인정보보호팀 등을 두고 종래 법무팀이 담당하던 개인정보보호 업무를 분리해서
CISO/CPO 밑에 배속
- 기타 CISO/CPO 조직에는
- 정보보호기획팀, 정보보안운영팀, 정보보호점검팀, 전자금융보안팀, 정보보호
대응팀, IT감사팀 등 설치 가능

26. CISO/CPO 겸직시 이상적 조직 구조
기획 총괄,
보안정책 기획,
보안대외활동,
인증관리,
보안교육
개인정보 관
리현황 점검,
개인정보 오
남용방지 모
니터링,
누출예방
보안솔루션
정책관리,
시스템운영,
접근통제 정
책관리
보안취약성
점검,
보안정책 준
수여부 점검,
기기 반출/반
입 관리
전자금융 보
안정책 수립,
전자금융 인
증관리
침해사고 대응
시스템 수립,
운영,
침해사고 대응
훈련
IT 감사 기획/
수행,
IT감사정보시
스템관리 및
통합 모니터링
결 어

27. 감사합니다
테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / contact@teknlaw.com