과학기술정보통신부가 자산 5조원 이상 대기업에 의무적으로 두게 돼 있는 정보보호최고책임자(CISO)가 다른 업무를 겸임할 경우 과태료 2000만~3000만원을 부과하는 내용으로 정보통신망법 시행령 개정을 추진 중인 것으로 14일 확인됐다. 정부는 2019년 해킹과 같은 사이버 공격으로 고객 정보가 유출되는 것을 막는다는 명목하에 이 업무만 전담하는 임원급 CISO를 반드시 1명 두도록 규정했는데, 이번에 처벌 규정까지 만들겠다는 것이다.
하지만 지주회사나 중공업·정유·화학 등 일반 소비자 정보를 전혀 취급하지 않는 B2B(기업 간 거래) 회사까지 무조건 CISO를 두도록 하고, 이를 어길 경우 처벌까지 하겠다고 밝히면서 기업들이 반발하고 있다. 더구나 ‘CISO 의무 규정’은 전 세계적으로 한국이 유일하다.
정부가 환경·안전·노동 규제를 강화한 데 이어 기업 고유 권한인 인사권까지 침해하는 규제를 잇따라 만들고 있다. 성태윤 연세대 교수는 “직책을 만들고 조직을 구성하는 가장 기본적인 경영 활동까지 정부가 규제하겠다는 발상 자체가 문제”라고 말했다.
◇CISO 의무화, 한국이 유일
당초 이 법은 기업 규모와 상관없이 모든 기업을 대상으로 제정됐다. 하지만 중소기업들이 반발하자, 중소기업에 한해 부장급으로 정보 보호 책임자를 지정할 수 있고 겸직도 가능하도록 한 법안이 지난달 국회를 통과했다. 반면 자산 5조원이 넘는 대기업은 직원이 고작 20~30명 규모인 지주회사는 물론, 석유화학·철강 제품을 만드는 회사까지 CISO를 따로 둬야 한다. 한 10대 그룹 지주회사 관계자는 “개인 정보 수집을 안 하는 기업에서 CISO의 업무는 사실상 홈페이지 관리와 보안 교육 정도에 불과하다”고 말했다. 한 석유화학 기업 임원은 “임원 1명을 늘리면 법인 차량과 사무실 같은 유지 비용이 추가로 들기 때문에 연봉의 두 배 정도 지출이 생긴다”면서 “코로나 극복을 위해 임원 수까지 줄이는 상황에서 정부가 말도 안 되는 규제를 만들어 부담을 지운다”고 말했다.
정보 보호를 위해 전담 임원을 두는 것보다는 보안 시스템 구축에 더 많이 투자하는 게 효과적이라는 지적도 있다. 보안 업계 관계자는 “정부가 보안 기술을 지원하거나 세제 혜택과 같은 인센티브를 제공하는 게 훨씬 효율적”이라고 말했다.
◇사외이사 임기 제한 부작용 잇따라
정부가 지난해 상법 시행령을 개정해 사외이사 임기를 6년으로 제한한 것도 여러 부작용을 낳고 있다. 정부는 사외이사가 한 기업에서 오래 근무하면 경영진과 유착해 거수기 역할만 할 수 있다며 임기 제한 규정을 만들었다.
하지만 이 규정 때문에 기업은 능력있는 사외이사도 교체하고 있다. 기업 평가 사이트 CEO스코어에 따르면 지난해 주총에서 사외이사 76명이 교체됐고, 올해는 84명이 바뀌었다. 일각에선 이번 규제를 친정부 측 인사를 사외이사에 앉히라는 시그널로 해석하기도 한다. 실제 KT스카이라이프는 지난 3월 정세균 전 국무총리의 국민소통 특보를 맡았던 한상익 가천대 교수를 선임했다. 미국·독일·일본 등 주요 선진국 중 사외이사 임기를 법으로 정한 곳은 없다.
사외이사 임기 제한은 최근 기업이 주력하고 있는 ESG(환경·사회·지배구조) 경영과 엇박자라는 지적도 나온다. 다우존스지속경영가능지수(DJSI)·모건스탠리캐피털인터내셔널(MSCI) 등 글로벌 기관들은 ESG 평가를 할 때 사외이사가 12~15년간 재임하는 것을 권고하고 있다.
