CISO가 진정 원하는 것은?

연보라 기자 bora@ciociso.com

흔히들 보안을 4D 업종이라고 부른다. Dirty, Dangerous, Difficult의 3D에 Dreamless(희망 없음)까지 합쳐진 것이 바로 4D다. 업무는 과중하고 성과가 쉽게 드러나지 않는 업무 특성상 보람을 느끼기가 어려운데다 회사 내 위상이나 처우도 그다지 높지 않은 보안은, IT업무 중에서도 기피 업무로 분류되곤 한다. 더군다나 사고가 나면 형사적 책임까지 질 수 있다는 것은 보안 담당자들에게 커다란 부담으로 작용하고 있다.
이와 같이 잘못한 것에 대한 책임은 큰 반면, 잘한 것에 대해서는 보상을 받을 길이 그다지 없는 것이 또 보안이다. 현재 우리나라 정보보호 정책은 지나치게 ‘징벌적’인 규제 중심으로 치우쳐 있어 ‘벌’만 있지 ‘상’이 될 만한 유인책은 보이지 않는다는 목소리가 높다.
물론 규제의 필요성에 대해서 모르는 사람은 없을 것이다.
정보보안의 업무 특성상 매출과 관련이 없다고 인식되다 보니 현업에서 투자우선순위가 밀리는 것이 사실이고, 여기에 강력한 규제가 있어야 그 수준이 유지될 수 있다는 데에는 업계가 동의하고 있는 바다. 그러나 지나치게 ‘벌’만을 강조할 경우 기업의 경영활동이 위축될 수도 있다는 점은 간과하지 말아야 한다. 또한 업체들은 규제를 위반하지 않을 정도의 최소한의 조치만을 수행하게 돼, 실질적인 보안책보다는 법망을 피할 수 있는 방법만을 추구하게 될 우려도 있다.
정부와 기업은 정보보호도 ‘사람이 하는 일’이라는 사실을 잊지 말아야 할 것이다.
단순히 벌만 주는 규제보다는 기업 및 보안 담당자들에게 직접적이고 실질적인 혜택이 있는 인센티브 제도를 함께 운영하는 것이 정보보호 업무를 하는 사람들로 하여금 신바람을 나게 하는 요소가 될 수 있을 것이다.
그런 측면에서 현재 정부에서 조금씩 물꼬를 트고 있는 CISO 사기 진작 방안은, 아직은 미미한 시작이라고 할지라도 반가운 조짐이다. 금융위원회는 CISO전임제, 최소 임기 보장 등을 추진하고 있으며 미래창조과학부는 CISO 의무지정 및 중소기업 보안투자 시 세액 공제 등을 실시할 예정이다.
그렇다면 CISO들이 가장 선호하는 ‘사기 진작 방안’은 무엇일까? 본지 취재 결과 ‘사고 발생시 처벌을 경감해 주는 것’으로 나타났다. 평소 보안 활동을 열심히 한 기업에게는 혹시 사고가 발생한다 해도, 이에 대한 처벌을 경감 또는 면책시켜주는 것이다. 경찰이 아무리 지역을 순찰하고 범죄 예방 활동을 해도 범죄는 발생할 수 있듯이, 범죄의 발생 유무가 아니라 예방 활동에 대한 노력을 보상해줘야 한다는 의견이다.
그러나 이보다도 CISO들이 가장 절실하게 바라는 것이 있었으니, 그것은 ‘포상’도 ‘칭찬’도 아니요, 오직 ‘제대로 일 할 수 있는 여건’이었다. 사기 진작 방안이 필요는 하겠지만, 그보다 시급한 것은 보안강화를 위한 정부의 적절한 뒷받침 이라는 이야기다.
한 CISO는 “굳이 유인책을 바라는 것이 아니다. 다만 법을 실행하기 전에 충분히 업계와 의견을 수렴해 실행 가능성 있고 일관성 있는 정책을 만들어 줬으면 하는 바람 뿐이다”라 고 털어놨다. 더불어 여러 부처가 서로 상이하거나 충돌하는 정책에 대해서도 부처간 합의를 통해 정리해 줄 것을 업계는 주문하고 있다. 또다시 불거지는 보안 컨트롤 타워 역할에 대한 이야기다.
유출•해킹 사고 시 보안 담당자를 문책하는 것만이 능사는 아닐 것이다. 사고가 난 후 어떻게 대응하느냐 또한 CISO 의 능력 중 하나일 것이다. 사고 대응 경험을 경쟁력으로 인정해주는 사회 분위기와 더불어, 규제와 포상을 적절하게 조화를 이뤄 일관성 있는 정책을 내놓는 정부의 노력이 필요할 때다.