“CIO, CISO간 갈등 통해야 보안 성장”

안철수는 본업이 의사였음에도 IT에 관심이 많아 종국에는 바이러스 백신회사를 만들었다.
그런 맥락에서 구태언 변호사를 제2의 안철수라 칭하는 것은 그리 큰 비약으로 보이지 않는다. 구 변호사 또한 법조인이면서도 어린 시절부터 취미로 삼아온  IT와의 인연이 이어져, 정보보호 전문 변호사에까지 이르렀기 때문이다.
정보보호 전문 부띠끄 로펌인 테크앤로의 대표변호사 구태언 변호사는 지난해 법조인으로서는 최초로 정보보호대상 공로상을 수상했을 만큼 정보보호에 능통한 법률 서비스를 기업들에게 제공하고 있다.
구 변호사는 국내 기업들이 정보보호를 잘 수행하려면 첫째 CISO가 임원급으로 지정돼야 하고, 둘째 CIO 조직과 분리돼 있어야 하며, 셋째 CIO와 CISO가 동등한 위치에서 서로 갈등해야 한다고 지적한다. 그는 운영의 효율을 추구하는 CIO와 보안을 추구하는 CISO가 대등하게 대립하는 가운데, 보안 이슈가 이사회까지 올라가 공론화될 수 있도록 해야 한다고 지속적으로 강조하고 있다.
IT가 다른 분야와 접목해 새로운 부가가치를 창조해야 하는 시대적 요구가 높아지는 지금, 구 변호사와 같은 인재는 IT에게는 커다란 재산이 아닐까? 구 변호사를 만나 국내 정보보호 관련법에 대한 동향과 그의 견해를 들어봤다.

연보라 기자 bora@ciociso.com

정보보호 전문 부띠끄 로펌

지난해 테크앤로 법률사무소를 개소한 구태언 변호사는 Technology와 Law가 결합한 사명에서 알 수 있듯 IT와 정보보안에 정통한 법률서비스를 기업들에게 제공하고 있다.
중학교 시절 컴퓨터를 접하면서부터 IT를 취미로 삼아왔던 구 변호사는 취미가 직업이 된 사례라 할 수 있다. 결정적으로 2000년대 검찰 첨단범죄수사부에서 인터넷 범죄 및 정보보호침해 범죄수사를 담당하고 국내 최대 로펌의 기업 IT 및 정보보안 전문변호사로 일하면서 정보보호 분야에 전문성을 다지게 됐다.
NC소프트 명의도용 사건(2006), 옥션 고객정보 1800만 명 해킹 사건(2008), 현대캐피탈 고객정보 175만 명 해킹사건(2011), 농협은행 해킹마비사건(2011), 리딩투자증권 고객정보 2만 명 해킹사건(2011), 네이트 고객정보 3500만 명 유출사건(2011, 넥슨 고객정보 1350만 명 유출사건(2011), EBS 해킹사건 등 나라를 떠들썩하게 했던 굵직굵직한 사건들이 구 변호사의 손을 거쳐 갔다.

정보보호 관련법, 규제 통일성 부족해

▲ “CIO와 CISO가 분리돼 있지 않으면 둘의 갈등은 부서 내부에서 한 방향으로 수렴돼 이사회까지 올라갈 수 없다. 즉 보안과 업무효율성 갈등이 기업 내에서 공론화될 수 없다는 이야기이다. 고로 둘은 분리되어 서로 갈등해야하고 그 갈등을 통해서만 교훈이 도출될 수 있다” 구태언 테크앤로 법률사무소 대표변호사

구태언 변호사는 많은 기업들의 정보보호 관련 법률자문을 맡아오면서 정보보호 관련법이 아직 많은 개선이 필요하다는 것을 느꼈다고 이야기한다.
특히 그는 수많은 보험설계사를 운영해 영업을 하고 있는 생명보험사의 개인정보보호법 적합성 자문을 하면서 정보보호와 관련한 법규제가 매우 복잡하고 여러 정부부처가 관여하고 있어 일관된 해석이 어려워 많은 고민을 하고 있음을 알게 됐다.
구 변호사는 “현재 개인정보보호와 관련된 법으로 개인정보보호법과 정보통신망법, 신용정보법 등이 중복적으로 적용되며 각각 관할하는 기관이 달라 규제 통일성의 문제를 갖고 있다”고 지적하며 “기업 정보보안팀에게 정부의 입장을 정확히 알려주고 법규제 범위에 대해 합리적인 해석을 도출해 기업 현실에서 채택할 수 있는 실질적인 보안조치들을 이끌어 내는 것이 나의 역할”이라고 설명했다.
한편 그는 새 정부 조직개편에서 IT 및 보안 조직이 일원화되지 못한 것과 관련해 아쉬움을 표하며 “여러 부처에 분산된 정보보안 및 개인정보보호 업무를 하나의 컨트롤타워를 두어 통합적으로 조율하고 기업들의 경쟁력 강화와 정보보안을 달성할 수 있도록 해야 한다”고 문제를 제기했다.

보안법, 기업 성숙도 따라 차등 규제해야

구태언 변호사는 지나치게 엄격한 개인정보보호법에 대해서도 이견을 표했다.
현행 개인정보보호법은 기업이 마케팅활동을 할 수 없을 정도로 지나치게 엄격해 과도한 부담을 지우는 한편, 신생기업의 시장진입을 차단하는 측면이 있다는 게 그의 생각이다.
그는 특히 지나치게 포괄적인 개인정보의 범위에 대해 지적했는데, 개인정보는 개인을 식별할수 있는 정보를 말하는데, 현행법은 식별가능하지 않아도 개인정보로 취급하는 정보들이 많아, 이를 글로벌 수준으로 맞출 필요가 있다는 주장이다.
“네이트나 넥슨, KT 등에서 발생한 대형 해킹 사고는 대부분 기업들이 자진신고 한 것이며 기업에 대한 처벌 수위를 높이고 기술적 조치를 강화하도록 지시하면 정보보안 비용이 지나치게 많이 들어 시장 자체가 위축되는 역효과를 불러올 수 있다”고 그는 경고했다.
그는 또 “법규가 정하고 있는 보안조치를 지키면 해킹을 막을 수 있다는 보증이 있는 것도 아닌데, 기업이 자기 현실에 맞게 탄력적으로 정보보안 투자를 할 수 없게 하는 왜곡효과가 큰 것도 심각한 문제다. 시장에 진입하는 초기기업에게도 동일한 규제가 적용되는 것이 단적인 예”라고 꼬집었다.
구 변호사는 기업 성숙도에 따라 규제의 정도를 차등화하고 개인정보보호법을 일원화, 일관성 있는 규제를 통해 기업과 개인 모두에게 유익한 법률이 될 수 있도록 하는 개정이 있어야 한다고 강조했다.

CISO 책임·위상 강화돼야

한국의 정보보호의 특징에 대해 구태언 변호사는 ‘법적인 책임을 지우는 것’이라고 들었다. 기본적으로 개인의 정보를 이용하는 기업들에게 그로 인한 법적인 책임을 지우는 법적 규제의 측면이 강하다는 이야기다.
법적 규제란 이를 준수하지 못할 경우 행정/민사/형사 제재를 받게 되는 것을 말한다. 이로 인해 세계 어느 나라보다도 한국의 정보보호 담당자들에게 책임이 가중돼 있으나, 실제 기업에서 그 중요성만큼 정보보호 부서의 위상을 인정하지는 않고 있는 과도기적 상황이라는 것이 구 변호사의 의견이다.
구 변호사는 “IT시스템은 인간으로 치면 순환계와 같은 지위다. 산소와 영양분 등을 실어 나르는 역할을 한다. 그리고 바이러스가 침투했을 때 이를 박멸하는 것이 면역시스템, 바로 보안이다. 정보계가 망가지면 기업도 망가질 수밖에 없는 것이므로 이를 지키는 보안은 기업의 생존과 직결된 중대한 이슈”라며 그 중요성에 걸 맞는 CISO의 책임과 위상이 주어져야 한다고 주장했다. 보안을 IT부서 내 실무자가 맡는 것이 아니라 기업의 전반적인 리스크를 책임지고 관리하는 임원급이 맡아야 한다는 것이다.

CIO와 CISO는 한 몸 될 수 없어

구태언 변호사는 기업이 정보보호에 잘 대응하기 위해서는 우선적으로 정보보호 전담조직이 IT조직과 분리하는 게 바람직하다고 주장한다.
CIO는 보안관점보다는 운영의 효율에 관심을 갖고 있기 마련인데, 보안은 불편을 초래할 수 있는 것이기 때문에 동시에 추구할 수 없다는 의견이다. 구 변호사는 “신속한 처리가 임무인 사람은 보안을 할 수 없다”고 못 박았다.
또한 구 변호사는 불편한 보안을 전사적으로 수행하기 위해서는 보안전담조직이 C레벨의 책임을 가지고 CIO와 동등한 위치에서 대립이 가능해야 한다고 강조했다.
CIO와 CISO가 분리돼 있지 않으면 둘의 갈등은 부서 내부에서 한 방향으로 수렴돼 이사회까지 올라갈 수 없다.
즉 보안과 업무효율성의 갈등이 기업 내에서 공론화될 수가 없다는 이야기이다. 고로 둘은 분리되어 서로 갈등해야하고 그 갈등을 통해서만 교훈은 도출될수 있다고 구 변호사는 말한다. 그러나 현재 대부분의 기업은 CIO가 CISO를 겸임하고 있거나, 정보보호 조직이 CIO 아래 있는 것이 보통이다. 이런 조직으로는 바람직한 보안은 어렵다고 구 변호사는 지적했다.

감사실 내 보안팀? 임시방편일 뿐

그러나 비용 및 인력 등의 문제로 기업이 IT와 보안 조직을 분리하는 것이 말처럼 쉬운 일은 아니다.
이에 몇몇 기업들에서 보안조직을 IT로부터 분리해 감사조직에 두는 사례도 발견된다. 현대캐피탈, 두산중공업, 미래에셋증권 등이 여기에 해당된다.
구 변호사는 감사실에 보안 기능을 두는 것이 IT와 보안의 분리라는 측면에서는 긍정적이지만, 결국 장기적으로는 이 또한 분리해야 하는, 임시방편이라고 지적한다.
감사는 객관적으로 기업의 모든 활동을 모니터링하고 이중 점검해야 하는 부서인데, 감사가 보안업무를 직접 수행하게 되면 보안을 감사하고 이중 점검할 수 있는 조직이 없어지는 것이다. 이는 마치 국가정보원이 국방을 하고, 감사원이 경찰의 일을 하는 것과 마찬가지라고 구 변호사는 비유한다.
구 변호사는 바람직한 보안조직은 CIO 아래 있어서도 안 되며, IT만의 조직이 되어서도 안 된다고 이야기한다. 정보보안 엔지니어뿐 아니라 법 제도, 경영을 잘 알고 회사 내 상황을 잘 이해하는 사람들이 모여서 보안을 설계해야 한다고 설명한다.

CIO·CISO가 CEO가 되는 그날까지

“기업의 정보보호 담당임원들이 CEO가 될 수 있도록 돕겠다”
구태언 변호사는 정보보호 전문변호사로서 비전을 이같이 밝혔다.
그는 CIO 또는 CISO가 이사회의 구성원이 되어 궁극적으로 CEO의 자리에까지 오르는 것도 불가능한 일이 아니라고 말한다.
그는 “CIO나 CISO가 CEO가 된다는 것이 지금은 허황되게 들릴지 모르겠지만, 업의 정보보안이 C레벨 임원 뿐 아니라 기업 생존에 중요한 영향을 미치는 핵심적인 기업 활동이 되고 있기 때문에 CISO의 지위도 점차 향상되리라고 생각된다. 앞으로 IT 또는 정보보안 담당자가 기업의 이사회에 진출하게 될 것이고 그렇다면 CEO가 되지 말라는 법도 없다”고 단언했다.
또 그는 CIO가 CISO가 잠재적인 CEO가 되기 위해서는 각별한 노력이 필요하다고 조언한다. IT나 보안뿐 아니라 경영, 제조, 생산, 기술 등의 소양을 두루 갖춰 놓는다면 이사회에서 경영의 중대한 리스크에 대해 훌륭한 조언자 역할을 수행할 수 있을 것이라는 설명이다. 특히 MBA를 갖고 있다면 큰 경쟁력이 될 것이라고 제안했다.

<구태언 테크앤로법률사무소 대표변호사>

1991 고려대학교 법과대학 법학과 졸업
1995 대법원 사법연수원 24기 수료
~2004 서울지방검찰청 컴퓨터수사부 검사
~2005 서울중앙지방검찰청 첨단범죄수사부 검사
2006~2011 김앤장 법률사무소
2009~2011 한국CPO포럼 부회장
2011~2012 법률사무소 행복마루 공동 설립
2012~2014 행정안전부 개인정보보호 법령해석 자문위원
2012~현재 테크앤로 법률사무소 대표변호사
2012 정보보호대상 공로상(방송통신위원장상)