CISO 임명되고 있지만, 달갑지만은 않다

방창완 편집국장 bang@ciociso.com

감독당국의 CIO와 CISO 분리 방침이 가시화됨에 따라 최근 들어 금융권을 중심으로 새로운 CISO를 임명하고 있지만, 당사자들은 썩 내켜하지 않는 분위기다. 그도 그럴 것이 올 연초에 터진 각종 보안사고로 금융권 보안부서 내부의 분위기가 위축되어 있는데다가 감독당국의 강도 높은 규제로 금융권 전체가 몸살을 앓고 있기 때문이다.

따라서 업계에서는 CISO 제도에 대한 재검토가 필요하다는 지적이 일고 있다. 최근 A은행사는 국내 보안회사의 CEO를 CISO로 임명했으며, 보험 및 카드사들도 속속 새로운 CISO를 임명한 바 있다. 기존에 CIO 업무를 하고 있던 임원을 CISO로 임명하는 이례적인 사례도 있었다. B카드사는 은행출신의 직원을 새롭게 CISO로 임명했다.

이와 같은 현상과 관련해 업계에서는 IT 보안 전문가를 CISO로 임명하는 것에 대해 우려의 목소리를 내고 있다. 분명히 당사자의 입장은 썩 심기가 편치만은 않을 것이라는 것이다. CISO들의 속내는 본인의 의사와는 관계없이 회사 차원에서 진행하는 인사여서 그대로 수용하는 경우가 적지 않은 것 같다. 어떤 업무든지 일에는 양면성, 즉 ‘당근’과 ‘채찍’이 따르기 마련인데 현재의 보안업무는 채찍만 있을 뿐이지 당근은 없기 때문이다.

또한 감독당국의 현실을 외면한 일관성 없는 제도가 많은 보안 담당 직원들에게 스트레스와 피로감을 주고 있다. 당국의 요구조건을 수용해야 하는 것도 있지만, 현업과의 관계도 전보다는 불편해 지고 있다. 직원들의 입장이 이럴 진데, 이를 총괄하는 CISO는 입장이 더욱 불편할 수밖에 없다. 업무의 강도는 계속 높아지고 있지만, 어떤 권한이나 실제 수행을 위한 전권은 전무한 곳도 있다.

더욱 CISO들을 힘들게 하는 것은 과거에 전례가 없었던 보안규정 및 거버넌스 체계에 대한 틀을 세우고, 업무를 진행해야하는 고충이다. 그렇다고 표준화된 약관이나 레퍼런스 사례가 있는 것도 아니다. 모든 것을 그때그때 현장에서 부딪혀 나가며 일을 해결해야한다. 또한 하루도 마음이 편할 날이 없다. 조용하다면, 그것 자체가 안심이지만 자칫 사고라도 터질까 좌불안석이다.

그렇다고 이런 보안부서의 사정을 누구나 알아주는 것이 아니다. 일각에서는 ‘퇴직을 앞둔 임원을 CISO로 임명하자’는 우스개 소리도 흘러나오고 있다. 이 말은 그만큼 CISO의 역할이 녹록치 만은 않다는 사실을 반증해 준다.

업계에서는 CISO 제도가 국내에 정착되기 위해서는 감독당국의 보다 배려있는 현실적인 지원이 필요하다고 지적한다. 단순히 강압적인 압박 분위기 보다는 일을 할 수 있는 분위기를 만들어 나가는 것이 필요하다는 것. 다양한 제도적 장치를 통해 충실하게 규정을 준수하는 기업에게는 일정 부분 이를 참작할 수 있는 새로운 법안을 만들어 서로가 믿고 일을 할 수 있는 풍토를 만들어 가는 것이 중요하다는 것이다.

보안 사고는 보안부서만의 책임이 아니며, 일개 회사만의 책임으로만 따질 부분은 아니다. 사회적 안전망을 확보하기 위해 전 사회적 문화적 노력이 필요하다. 이것을 수렴해서 실제 업무에 적용하는 것이 보안부서이며, CISO의 역할이다. 보다 적극적인 감독당국의 노력이 필요한 때이다.