정보보호인력 사기진작 방안 모색
칭찬은 CISO도 춤추게 한다

모 금융사의 IT 소속이었던 A 팀장은 보안부서로 옮겨온 후부터 괴로운 나날들이 이어졌다. 부서 이동을 해오자마자 보안사고가 터져 밤새 시스템을 복구하고 원인 규명을 하는가 하면, 금융감독원, 국정원, 검찰 할 것 없이 여기저기 불려 다녔다. 내부적으로는 감봉조치까지 당했다. 사고가 났던 만큼, 여러 솔루션도 도입하고 관리체계도 손보는 등 열심히 보안강화업무를 하고는 있지만, 보안 때문에 일을 못하겠다는 직원들의 불만이 갈수록 높아져 간다. 열심히 한다 해도 누가 칭찬해 주기는커녕, 안좋은 소리만 들으니 일할 맛이 나질 않는다.
위 A 팀장의 사연은 각 업체의 보안을 담당하는 이들에게 있어서 남의 이야기가 아닐 것이다. 보안을 하는 사람이라면 누구나 동일한 고민과 상실감을 느껴보았으리라.
최근 몇 년 간 보안에 대한 규제가 강화되고 인식이 높아짐에 따라, CISO와 보안담당자들에게 지워지는 책임도 그만큼 막중해졌다. 사고가 나면 형사 처벌까지 받을 수 있는 보안책임자로서의 책임은 더욱 막중해지는 반면, 아무리 열심히 한다 해도 이에 따르는 보상을 받을 길이 없다는 것은 보안인력들을 더욱 힘 빠지게 한다. CISO 및 정보보호 담당자들이 성취감과 보람을 느끼며 신명 나게 일할 수 있도록, 이들의 사기를 진작시킬 수 있는 방안은 없을까? CISO들에게 물어봤다.

연보라 기자 bora@ciociso.com

잘 해도 표 안나고, 잘못 하면 책임 크고…

보안은 IT 부서 중에서도 기피 업무에 속한다. 대형 금융회사가 아니고서는 대부분의 기업에서 보안 인력이 충분하지 않은 터라 업무가 과중한 까닭도 있지만, 성과가 쉽게 드러나지 않는 보안업무의 특성상 보람을 느끼기가 어렵다는 의견이 많다.
일에 비해 회사 내 위상도 그다지 높지 않다. 아직까지 보안은 기업 내에서 후순위 사업으로 분류되는 경우가 많기 때문이다.
꼭 필요하고 중요하지만, 회사 내 누구로부터도 환영받을 수 없는 위치라는 사실도 보안부서가 갖고 있는 딜레마 중 하나다. 보안을 강화하다보면 자연적으로 사용자들의 불편을 초래할 수밖에 없고, 좋은 소리는 못 듣기 마련이다. 박종화 LG유플러스 서비스개발본부 IT담당 상무는 “현업에서는 빨리 서비스를 출시해 수익을 창출해야 하는데, 보안 부분에서 제동을 걸게 되면 이를 하나의 짐으로 생각한다. 물론 보안 이슈에 대해 각종 매스컴과 홍보를 통해 인지는 하면서도, 일단 출시부터 하고 차후에 문제를 해결하자는 식의 태도를 보일 때가 많다”고 전하며 “그럴 때면 내가 회사 성장에 뒷다리를 거는 듯한 느낌이라 마음이 편치 않다”고 토로했다.
이는 법적으로 보안이 강화가 된 데 반해, 아직 내부적인 공감대가 충분히 형성되지 않은 데서 기인하는 것으로 업계는 보고 있다. 한 CISO는 “차라리 보안사고가 한 번이라도 나는 것이 보안 투자가 수월해질 것”이라며 “대규모 유출사고를 겪은 업체들의 경우, 관련 법률이 발표되기 전에 미리 준비하고 대비하는데 있어 투자에 대한 내부 결정이 한결 수월하다고 한다”고 예를 들었다.

▲ “포스코에서도 자체적으로 보안 포상제도를 실시하고 있는데, 보안에 대한 관심이 높아지고 보안 수준도 확실히 발전하는 모습을 보이고 있다. 같은 맥락에서 정부정책도 징벌적 규제뿐 아니라 포상제도를 함께 고려하는 것이 효과적일 것이다” 이성구 포스코 정보보호그룹리더

어떤 업무든 다 힘들기 마련이지만, 보안 특성상 눈에 보이는 유인책이 없다는 것에 대해 아쉬움을 나타내는 이들이 많다. 아무리 열심히 해도 표가 나지 않아, 보람을 느끼기 힘들다는 하소연이다. 반면에 일이 잘못 돼 사고라도 났을 경우에는, 내부적 책임은 물론 형사 처벌까지 받을 수 있어 리스크가 크다.
한 CISO는 “일은 일대로 힘들고, 주변으로부터 좋은 소리는 못 듣는데, 사고 나면 집에 가라고 하니, 중압감이 너무 크다”고 토로하며 또 다른 CISO는 “보안이라는 것이 업무적으로도 필요하고, 법에 근거도 있어서 시행하는 것인데, 이 일을 하기 위해 내부적으로 설득 작업까지 해야 한다는 것이 피곤하다. 결국 설득을 해 시행을 해도 현업과의 갈등은 지속적으로 불거지고, 만약 사고라도 나면 책임까지 져야해 삼중고다”라고 하소연한다.
이처럼 잘못한 것에 대해서는 리스크가 큼에도 불구하고, 잘 한 것에 대해서는 보상을 받을 길이 그다지 없는 것이 보안이다.
이 같은 상황이 누적되면 보안은 점점 기피 업무로 굳어져, 보안인력들은 다른 부서로 옮기려 할테고, 그럴 경우에는 전문가가 양성되고 지속적인 보안수준 강화가 원활히 이뤄지기 어려워질 것이라고 업계는 우려하고 있다. 이에 CISO 및 보안담당자의 사기를 진작
시켜줄 수 있는 포상제도 및 사기진작 방안을 강구해야 한다는 목소리가 높아지는 상황이다.

‘벌’만 강조하는 정책, 법망 피하는 요령만 키울 수도

현재 우리나라의 정보보호 정책이 지나치게 ‘징벌적’인 규제중심으로 치우쳐 있다는 의견이 많다. ‘벌’만있지 ‘상’이 될 만한 유인책은 전혀 보이지 않는다는 것이다.
물론 규제의 필요성에 대해서는 공감하는 분위기다. 정보보안의 업무 특성상 매출과 관련이 없다고 인식되다 보니 현업에서 투자우선순위가 밀리는 것이 사실이고, 여기에 강력한 규제가 있어야 그 수준이 유지될 수 있다는 데에는 업계가 동의하고 있다. 그러나 지나치게 ‘벌’만을 강조할 경우, 기업의 경영활동이 위축될 수 있다고 업계는 지적한다. 기업활동은 활발히 정보를 교환하고 새로운 것을 창조하는 등 고정된 것보다는 변화를 시도하기 마련인데 이런 활동들이 정보보호법에 의해 처벌을 강조하게 되면 그만큼 기업의 활동은 소극적이 되기 때문이다. 이성구 포스코 정보보호그룹리더는 “해외에 기술을 수출해야 하는 경우, 회사에서 관리하는 고급 기술을 제외한 일반기술을 수출하는데도 정부의 심의를 받고 승인을 받아야 하는 것은 불필요하고 비효율적”이라고 지적하며 “규제중심의 정책으로 인해 기업의 창의적 아이디어가 발휘되지 않고, 급변하는 기술의 변화속도에 맞지 않는 정부의 의사결정으로 기업의 경영확대 전략에 걸림돌이 될 수 있다”고 경고했다.

▲ “경찰이 아무리 지역을 순찰하고 범죄 예방 활동을 해도 범죄는 발생할 수 있다. 범죄의 발생 유무가 아니라 예방 활동에 대한 노력을 보상해줘야 한다. 보안 사고시에도 예방 활동을 했는지를 제대로 평가해서 처벌을 경감시켜 주는 방안이 필요하다” 차동원 현대자동차 정보화기획실 이사

또한 법이 너무 규제 중심으로 치우치게 되면, 업체들은 규제를 위반하지 않을 정도의 최소한의 조치만을 수행하게 되므로, 업체들의 전반적인 보안 수준을 향상시키는 데에는 효과적일 수 있으나, 어느 정도 수준에 이른 업체의 경우 오히려 정보보안에 대한 연구와 투자를 위축시키는 결과를 가져 올 수 있다. 혹은 기업들이 실질적인 보안책보다는 법망을 피할 수 있는 방법만을 추구하게 될 우려가 있다.
강신길 GS홈쇼핑 정보전략담당 본부장은 “실질적으로 보안수준을 높이는 것은 조직을 교육하고 변화관리하며 프로세스를 개선하는 등 장기적인 측면에서의 활동이 더 중요한데, 이런 활동들로는 법규 만족이 되지 않으므로 뒷전이 될 수밖에 없다”고 전하며 “암호화와 같은 단발성 투자만으로 기업의 보안수준이 높아지는 것이 아닌데, 대부분의 회사들이 그런 식으로 보안활동을 하는 것이 사실”이라고 꼬집었다.

범인 잡는 노력은 뒷전…기업만 잡는 정부

일각에서는 정부가 기업에게 정보보호에 관한 모든 책임을 전가시키고 있다고 비판한다. 유출·해킹사고의 범인을 잡으려 하기 보다는 피해기업에 대한 처벌과 규제만을 강화하고 있다는 지적이다.
한 CISO는 “도둑이 물건을 훔쳐가면 도둑을 잡아야 하는데, 주인이 자물쇠를 이중 삼중 하지 않았다고 감옥에 보내는 것과 같다”고 비유하며 “피해기업은 금전적 손해는 물론 기업 이미지에 타격을 입는 등 안그래도 피해가 큰데, 법적인 처벌까지 받게 되니 이중적인 피해를 입는 셈”이라고 하소연했다.
또 그는 “범죄를 저지른 해커나 사이버테러 집단이 상당한 피해를 보도록 법제도가 만들어져야 하는데, 계속 기업에 대한 책임만 무거워지는 꼴이다. 차라리 철저한 수사를 통해 범인을 검거해 본보기를 보여주는 것이 더 확실할 것”이라고 제안했다.
일각에서는 어차피 해커를 잡는 것이 불가능하니 기업에 대한 책임만 강화되는 측면도 있을 것이라는 분석을 내놓고 있다. 갈수록 지능화되고 대담해지는 해킹사고의 범인을 찾아내는 것 자체도 어려운 일이지만, 찾아낸다 해도 이들이 해외로 도주할 경우 국내로 인도해 구속하는 것도 어려운 일이라는 것이다. 과거 대형 유출사고를 저지른 해커가 필리핀으로 도주했을 때에도 끝내 인도해오지 못한 사건이 대표적인 예다. 국제적 범인인도협약이 시급하다는 지적이다.
업계는 정부가 기업에게 책임을 전가하려고만 하기 이전에, 해킹사고를 방지할 수 있는 실질적인 대책을 마련하는 것이 먼저라고 주장한다. 특히 디도스나 APT 등의 공격은 기업이 독자적으로 방비할 수 있는 성질의 것이 아니기에 국가에서 대비해줘야 한다는 의견이다.
한 CISO는 “법만 내놓지 모니터링을 하거나 사이버수사대를 강화한다거나 해커에 대한 처벌 수위를 높이는 등 실제적인 움직임은 그다지 찾아볼 수 없다”고 꼬집으며 “사이버전쟁의 시대에 접어든 지금, 원전이나 교통, 금융전산 등 사회기반시설에 대한 해킹이 이뤄진다면 엄청난 사회적 혼란이 야기될 위험성이 있는데, 정부가 이렇게 가만히 있으면 안된다”고 촉구했다.
또 다른 CISO도 “보안정책의 초점이 잘못 맞춰져 있는 듯하다. 아무리 보안 솔루션에 투자를 한다고 해도, 사람을 관리하고 프로세스를 개선하는 것이 우선돼야 하는데, 이러한 측면이 간과되고 있다”고 꼬집으며 “DB암호화를 의무화한다 해도, 복호화 권한이 있는 사람이 악의적으로 정보를 유출하거나, 해커가 관리자 계정을 탈취하면 소용없다”고 예를 들어 설명했다.

▲ “현업에서는 빨리 서비스를 출시해 수익을 창출해야 하는데, 보안 부분에서 제동을 걸게 되면 이를 하나의 짐으로 생각한다. 그럴 때면 내가 회사 성장에 뒷다리를 거는 듯한 느낌이라 마음이 편치 않다” 박종화 LG유플러스 서비스개발본부 IT담당 상무

CISO 기 살려주는 인센티브 제도 필요

정보보호도 사람이 하는 일이기에, 사람을 다루는 일에는 ‘상벌 제도’가 반드시 필요하다. 단순히 벌만 주는 규제보다는 기업에게 실제적인 혜택이 있는 인센티브 제도를 함께 운영하는 것이 정보보호 업무를 하는 사람들로 하여금 신바람을 나게 하는 요소가 될 수 있을 것이다.
이성구 포스코 정보보호그룹리더는 “보안업무가 윤리적인 속성이 강한 만큼, 잘하는 사람에게 상을 주고 못하는 사람에게는 벌을 주는 것이 필요하다”며 “정책 또한 ‘몇 퍼센트 미만이면 벌금을 물리겠다’는 식의 부정적인 문구만 있는 것이아니라, ‘몇퍼센트 이상이면보안심사를 면제해 주겠다’는 식의 긍정적인 조항도 있어야 사기가 진작될 것이다. 겁부터 주고 시작을 하니 담당자는 물론 사용자들도 움츠러들 수밖에 없다”고 말했다.
실제로 포스코에서는 2009년부터 자체적인 보안 포상제도를 시행해 효과를 보고 있다. 매월 각 부서에서 자체적으로 실시한 보안활동 실적을 신고하도록 해, 이에 대한 포상을 하는 것이다. 이 제도를 통해 경쟁사에 기술이 유출될 뻔한 사고를 막은 사례도 있다.
이 그룹리더는 “포상제도를 실시하기 전에는 보안수칙 위반 시 인사조치를 하거나 사유서를 제출하게 하는 등 ‘벌 제도’뿐이었는데 직원들의 반발이 컸다. 직원들이 보안활동을 회피하려고만 하고, 보이지 않는 곳에서 위반하는 경향이 많았다”면서 “포상제도를 시작한 후로는 보안에 대한 관심이 오히려 높아지고 보안 수준도 확실히 발전하는 모습을 볼 수있다. 보안활동 한 것에 대해 공식적으로 인정을 해주기 때문이다”라고 전했다. 그는 정부 정책도 이와 같은 맥락에서 징벌제도뿐 아니라 포상제도를 함께 고려하는 것이 효과적일 것이라고 조언했다.
포상제도는 기업과 보안담당자에게 동기를 부여할 수 있다. 물론 포상제도만으로 당장에 정보보안강화의 효과를 기대하기는 어렵겠지만, 관련업계에서 우수한 인재를 유입시키고, 정보보안 인재를 육성시켜 결국 정보보안 수준향상에 도움이 될 것으로 예상된다.

▲ “매년 다르게 정보보호강화의 중점 항목을 선정하고, 그 항목에 대한 제반요건을 다 갖췄을 때는 금감원 등의 해당 연도 감사 시 충분한 가점을 줘, 그 내용을 부각시킨다면 보안 담당자가 회사로부터 듣는 평가가 매우 큰 인센티브가 될 것이라고 본다” 김태현 씨티은행 전산운영기획부장

정부, CISO 사기진작 방안 추진 중

정부에서도 CISO 및 보안 담당자들의 사기진작을 위한 포상제도 혹은 지원책의 필요성을 인지하고 있다.
전요섭 금융위원회 전자금융과장은 “금융회사 CISO는 인터넷 뱅킹 등 전자금융거래의 안전성과 신뢰성을 확보하기 위해 24시간 365일 눈 코 들 새 없이 지키는 최전선의 야전 사령관이라고 할 수 있다. 그렇기 때문에 CISO 역할 및 독립성 강화와 함께 CISO의 사기진작이 매우 중요하다 할 수 있다”며 여러 CISO 사기진작 방안을 추진하고 있음을 알렸다.
금융위가 추진 중인 CISO에 대한 사기진작 방안으로, CIO와 겸직을 금지하는 CISO 전임제도 도입, CISO의 직무수행과 관련해 부당한 인사상의 불이익 금지 및 최소 임기 보장 등이 있다. 또한 CISO 주관 하에 주요 보안사항을 심의·결정할 수 있도록 IT보안위원회를 금융회사 내에 설치·운영하도록 추진할 예정이다.
보안담당자들에 대해서는, 금융회사에서 CEO 책임 하에 해외연수, 성과평가 가점, 금융보안 석사과정 학비 지원 등의 인센티브를 부여하도록 했고, 책임과 의무를 다한 보안담당 직원에 대해서는 금융당국 제재 또는 금융회사 자체 제재 시 면책 근거를 마련토록 했다. 뿐만 아니라 정부 차원에서는 정보보호 관련 훈·포상 추천 및 금융위원장 표창 수여 등 사기진작책을 병행할 예정이다.
금융위는 CISO 지원방안으로 나온 대책들이 실효성을 확보할 수 있도록 현재 관련 법 규정 개정 등 후속 조치를 진행 중에 있다. 우선 2013년 12월까지 전자금융거래법 시행령, 감독규정 개정 및 모범규준을 마련해 CISO임기보장, IT보안위원회 운영, 보안담당자 면책 근거, 보안담당자 사기진작방안 등을 추진할 예정이다. 그리고 2014년 중에 전자금융거래법 개정을 통해 CISO 전임제도를 도입하고, CISO 인사상 불이익을 금지하도록 추진할 예정이다.
미래창조과학부가 최근 발표한 정보보호산업발전종합대책에도 CISO를 위한 ‘인센티브’안이 포함돼 있다. CISO를 의무지정하고, 중소기업이 보안장비에 투자를 할 시 투자금액 7%를 소득세 또는 법인세 세액공제를 실시하겠다는 내용이다.
미래부 관계자는 “그 외에도 각종 정보보호 조치, ISMS 인증, 기반보호 등 기업이 준수해야 할 정보보호 관련 여러 의무사항에 대해 면밀히 검토한 후 중복된 사안에 대해 과감히 제거하고, 영세 기업에 대한 정보보호 지원 사업 확대 등을 지속적으로 노력할 방침”이라고 밝혔다.
더불어 미래부는 미래부 주관의 CISO협의회(가칭)을 구성할 계획이다. 기업의 CISO들이 모여 자율적으로 정보보호 활동을 강화할 수 있도록 장려하고, 정부 정책에 좋은 의견을 많이 반영할 수 있도록 하겠다는 것이 협의회의 취지다. 또한 정보보호 우수기업에 대해 적극적인 포상과 홍보를 통해 기업이 자율적으로 정보보호에 힘쓸 수 있도록 유도한다는 계획이다.
한편 이들 정부관계자들은 정부의 인센티브 제도가 일회성이거나 형식적인 대책에 그치지 않고 제대로 효과를 발휘하기 위해서는 무엇보다 CEO의 강력한 실천 의지가 가장 중요하다고 강조한다.
전요섭 과장은 “CISO 사기진작 방안들이 금융회사 내 조직문화로서 조기 정착되고, 규제 위주의 강제적 시행이 아닌 기업의 자율적 시행으로 자리 잡는 것이 중요한 성공 요인”이라고 강조했다.

CISO 임기보장, “안정적 보안 가능” VS. “철밥통은 반대”

업계는 정부의 사기진작 방안들에 대해 우선은 반가운 기색을 나타냈다. ‘미미하지만 의미있는 시도’라는 중론이다.
특히 금융위의 CISO 전임제와 CISO 임기보장제에 대해 타 산업군의 반응이 호의적이다. 한 CISO는 “타 계열사의 CISO들이 사고에 대한 책임을 지고 자리에서 물러나는 모습을 여러 번 봤다”면서 CISO 임기보장제에 대에 긍정적인 반응을 나타냈다.
이성구 포스코 그룹리더도 “조직에서 가장 필요한 부분은 정보보호를 전담하는 임원을 선임하고 임기를 보장하는 것이다. 그렇게 되면 조직의 정보보호 업무가 일관성을 갖게 되고 안정적인 운영을 할 수 있다”며 찬성하는 입장을 나타냈다.
그러나 한 켠으로는 정부의 인센티브 제도의 실효성에 대해 의문을 제기하는 의견들도 있다. 한 CISO는 “금융위의 CISO 임기보장제에 대해 다소 회의적”이라고 밝히며 “사고가 나면 누군가는 책임을 지고 자리를 벗어줘야 하는 게 맞는 거다. CISO가 책임감을 갖고 일을 하도록 하려면 채찍이 있어야지 철밥통을 주어선 안된다”고 비판했다.
또다른 CISO도 동일한 의견을 나타냈다. “지금도 문제가 생기면 검찰에 줄줄이 불려가는 판인데, 그런 분위기에서 임기보장제가 얼마나 실효성이 있을지 의문이다”라며 “전체적인 인식 변화가 수반된다면 임기보장제는 환영할 만한 부분이지만 현재로서는 실효성이 없어보인다”고 전했다.
미래부가 추진 중인, 보안투자에 대한 세제혜택 제도에 대해서도 이견이 많다. 우선 대상이 영세기업에 제한돼 있는데다, 혜택의 수준이 미미해 실효성이 없다는 지적이다.
한 CISO는 “보안 투자를 이끌어내기 위해서는 C레벨의 인식 전환이 가장 중요하고, 이를 위한 가장 확실한 방법은 세제 혜택이 될 수 있을 것”이라며 취지에 대해서는 공감하면서도 “그러나 현실적으로 효과가 있으려면 재무 담당자들이 봤을 때 확실한 효과가 있는 수준이어야 같이 움직이지, 투자 대비 혜택이 미미하면 크게 관심을 갖지 않을 것”이라고 지적했다.
보안에 대한 인센티브 제도 자체에 대해 회의적인 의견들도 적지 않다. 보안은 본질적으로 ‘사고방지’인데, 사고방지 활동에는 유인책이 있을 수 없다는 것이다. 아무리 철통 같이 방어해도 사고가 날 수 있는 것인데, 자칫 하면 ‘열심히 하는 기업’보다 ‘열심히 안해도 운 좋은 기업’이 유리할 수있는 측면이 있다.
또한 정부가 내놓은 포상제도는 오히려 해커들의 표적이 되는 계기가 될 수도 있기에 조심스럽다는 의견이 많다. 한 CISO는 “과연 정부의 포상을 기대하고 보안활동을 하는 기업이 있을지 모르겠다. 정부가 포상제도에 기운을 쏟기 보다는 그냥 기업이 알아서 하도록 가만히 두는 것이 제일 좋다”며 강한 거부감을 드러냈다.

▲ “CISO 사기진작 방안이 일회성, 형식적 대책에 그치지 않고 제대로 효과를 발휘하기 위해서는 기업 CEO의 강력한 실천의지가 가장 중요하다. CISO 사기진작 방안들이 금융회사 내 조직문화로서 조기 정착되고, 규제 위주의 강제적 시행이 아닌 금융회사의 자율적 시행으로 자리를 잡는 것이 중요한 성공 요인일 것이다” 전요섭 금융위원회 전자금융과장

‘사고 시 처벌 경감’이 가장 큰 사기 진작

‘가장 바라는 사기 진작 방안’에 대한 질문에 대부분의 CISO들은 ‘사고 발생 시 처벌을 경감해주는 것’이라는 의견을 내놨다.
평소 보안 활동을 열심히 한 기업에게는 혹시 사고가 발생한다 해도, 이에 대한 처벌을 경감 또는 면책시켜주는 것이다.
차동원 현대자동차 정보화기획실 이사는 “경찰이 아무리 지역을 순찰하고 범죄 예방 활동을 해도 범죄는 발생할 수 있다. 범죄의 발생 유무가 아니라 예방 활동에 대한 노력을 보상해줘야 한다”는 비유를 들며 설명했다. 김태현 씨티은행 부장은 “매년 다르게 정보보호강화의 중점 항목을 선정하고, 그 항목에 대한 제반 요건을 다 갖췄을 때는 금감원 등의 해당 연도 감사 시 충분한 가점을 주고, 그 내용을 부각시킨다면 보안담당자가 회사로부터 듣는 평가가 매우 큰 인센티브가 될 것이라고 본다”는 아이디어를 내놨다.
또한 포상을 하기 위한 평가 측정을 할시, 단순히 솔루션을 얼마나 도입했는지를 평가하기보다는 의식이나 관리적인 부분들을 측정해 포상하는 것이 바람직하다고 CISO들은 말한다.
그러나 보안의 특성상 실질적인 보안수준을 측정하는 것은 어려운 일이기에 측정방법에 있어서도 깊은 고민이 필요해 보인다.
더불어 포상 후에 바로 문제가 생기더라도 이를 이해할 수있는 충분한 공감대가 형성돼야 할 것이다. 정보보호라는 업무는 완벽할 수는 없으며, 정보보호활동을 잘 했더라도 사고는 발생할 수 있는 것이기 때문이다. 잘한 부분은 칭찬하고, 이와 별개로 사고가 난 후에도 이에 대한 평가가 여전히 유효한 분위기가 필요하다는 의견이다.
기업 CISO들은 정부가 포상제도를 추진하는 데 있어, 장기적인 안목으로 신중하게 기획돼야 한다고 입을 모은다.
인센티브 방안이 선심성으로 남발되거나 일회성 이벤트로 끝나버리고 만다면 기대했던 투자 회수도 어려울 뿐 아니라 상대적 박탈감으로 IT업계의 사기진작에 유익하지 않을 것이라는 우려다.

▲ “실질적으로 보안수준을 높이는 것은 조직을 교육하고 변화관리하며 프로세스를 개선하는 등 장기적인 측면에서의 활동이 더 중요한데, 이런 활동들로는 법규 만족이 되지 않으므로 뒷전이 될 수밖에 없다. 암호화와 같은 단발성 투자만으로 기업의 보안수준이 높아지는 것이 아닌데, 대부분의 회사들이 그런 식으로 보안활동을 하는 것이 사실이다” 강신길 GS홈쇼핑 정보전략담당 본부장

‘칭찬’보다 제대로 일할 수 있는 ‘여건’ 바랄 뿐

CISO들은 인센티브 제도의 필요성에 대해 이야기하면서도, 그보다는 보안업무를 제대로 할 수 있는 여건을 마련하는 것이 더 시급하다는 데 의견을 모았다. 진정 CISO들이 원하는 것은 단순히 ‘칭찬’이 아니라, 보안강화를 위한 정부의 적절한 뒷받침이었다.
한 CISO는 “굳이 유인책을 바라는 것이 아니다. 다만 법을 실행하기 전에 충분히 업계의 의견을 수렴하고 실행 가능성있고 일관성 있는 정책을 만들어 줬으면 하는 바람일 뿐이다”라고 말했다. 그는 또 “기업은 실행 가능한 지도를 받고 싶어한다. 현재 시점에서 스냅샷을 찍듯 검사해 Pass/Fail을 가리기 보다는, 가이드를 주고 실행력을 높이도록 지도하는 것이 중요하다”고 덧붙였다.
또 다른 CISO는 “정부기관에서는 법 제정에 앞서 공청회도 열고 업계 의견을 수렴하겠다고는 하지만, 정작 가보면 이미 결론은 정해져 있고 업계 의견은 형식적으로 듣는 감도 없지 않다”고 비판하며 “실제 업계 목소리를 귀 담아 듣고 정책에 반영할 수 있는 정부의 마음자세가 필요하다”고 말했다.
더불어 여러 부처가 서로 상이하거나 충돌하는 정책에 대해서도 부처 간 합의를 통해 정리해 줄 것을 업계는 주문하고 있다. 국가적으로 보안이 이슈가 됨에 따라 정책입안자가 성과를 위해 경쟁적으로 정책을 계속 내놓음으로 인해 정보보호 의무가 과중해지기만 하는 것도 지양해야 할 부분이다. 항상 회자되는 이야기지만, 보안 컨트롤 타워를 두어 일관성 있는 정책을 내놓는 것이 시급해 보인다.
업계는 정부가 지나치게 구체적이고 엄격한 법률로 기업을 규제하는 데만 치중하는 것이 아니라, 포괄적인 조항만 두고 업체의 자율성을 좀 더 보장해 주기를 바라고 있다.
한 CISO는 “국내 대기업은 지나치리만큼 보안투자를 잘하고 있는 반면, 중소업체는 전담인력도 갖추기 힘든 상황이다. 업체마다 상황이 다르고 투자여력이 다른데, 법이 지나치게 구체적이니 문제가 발생할 수밖에 없다”면서 “법은 최소한의, 포괄적인 내용만을 담고, 업체들이 상황과 여건에 맞게 종합적인 판단을 통해 수단을 선택하도록 하는 것이 좋다”고 전했다.

▲ “법적으로 보안이 강화가 된 데 반해, 아직 내부적인 공감대가 충분히 형성되지 않아 보안정책을 시행하는 데 있어서 불편함이 있다. 일은 일대로 힘들고, 주변으로부터 좋은 소리는 못 듣는데, 사고 나면 책임까지 져야하니, 중압감이 크다” 윤혜정 인터파크INT IT지원실장

사고 대응경험, 경쟁력으로 인정해주는 분위기 돼야

기업에 보안사고가 발생할 경우 보통의 경우 CISO는 책임을 지고 자리에서 물러나기 마련이다. 이는 금융위에서 CISO의 임기보장제를 내놓은 배경이기도 하다.
그러나 미국 등 해외의 경우, 유출 사고 경험이 있는 CISO는 오히려 높은 몸값을 받고 스카웃이 되고 있다. 사고 대응의 노하우는 어떠한 경력이나 자격증보다도 강력한 경쟁력이라는 인식이 깔려있기 때문이다.
CISO들은 우리나라도 사고가 나면 책임을 물어 쫓아내기보다는 사고 대응을 해본 경험과 노하우를 인정해줄 수 있는 풍토가 마련돼야 한다고 주장한다. 유출·해킹사고가 났을 때 보안담당자를 문책하는 것만이 능사는 아닐 것이다. 물론 예방 활동을 잘 해서 사고가 나지 않도록 하는 것이 가장 중요하겠지만, 사고가 난 뒤에는 이를 어떻게 대처하는가도 CISO의 능력 중 하나이다.
다행히 국내에도 이러한 인식전환이 조금씩 이뤄지는 모습을 보인다. 개인정보 800만 건이 유출된 모 기업 CISO는 사고 대응을 잘 한 덕에 아직까지 건재하다. 유출사고를 당한 또 다른 기업에서도 CISO가 대응을 잘 해 오히려 포상을 받은 사례도 전해지고 있다.
잘못 하면 크게 혼나지만, 잘한다 해도 표가 나지 않는 것이 보안이라고들 한다. 성과가 쉬 드러나지 않는 일을 수행하는 데에는 주변의 인식이 중요할 것이다. 보안이 CISO나 보안부서만의 일이 아니라, 전 임직원들이 함께 경각심을 갖고 참여해줘야 하는 일이라는 인식이 필요하다.