최근 공공기관은 물론 일반기업과 금융권 등에서 최고정보보호책임자(CISO)를 선임하려는 움직임이 확산되고 있다. 각종 보안 위협 및 정보보호 사고를 효율적으로 예방하기 위해 관련 업무 책임자의 필요성이 대두되고 있는 것이다. 이와 관련 정부도 최근 연매출 8000억원 이상의 기업에 CISO 선임을 의무화하는 방안을 검토하고 있는 상태다.

이지혜 jh_lee@biziton.com

지난 2009년 황철증 방송통신위원회(이하 방통위) 네트워크정책국장은 “민간기업 정보보호 강화를 위해 일정 규모 이상의 기업 내 CISO를 지정해 정보보호 활동을 제도화할 것”이라며 “또한 정통망법에 CISO 의무화 조치를 삽입하는 방안을 검토 중”이라고 밝힌바 있다. 이 같은 조치는 인터넷 침해사고로 인한 기업들의 경제적 손실이 매년 4000억〜5000억 원에 달하는데 반해 국내 기업의 80% 이상이 전체 정보화 예산 중 정보보호 예산이 3% 미만에 그치며 마땅한 전담 인력도 없어 보안문제에 대해 그대로 방치하기 때문이다. 보안 문제 장기적 해결점은 CISO선임 방통위는 작년, 올해 상반기 중 정보통신 서비스 기업들을 대상으로 CISO 운영 규정을 신설하기로 한다는 발표가 있었다. 이를 계기로 기업에 CISO 지정을 강제화하지는 않지만 CISO를 선임 할 수 있는 법적근거를 마련해 기업들의 CISO 도입률을 증가시킨다는 계획이었다. 하지만 현재 국내 대부분의 기업들은 최고정보책임자(CIO)가 CISO를 겸직하고 있는 형태가 많다. 가장 큰 이유는 기업 내 정보보호만을 다루는 전문 인력을 둔다는 일이 기업 입장에서 현실적으로 쉽지 않기 때문이다. 한 기업 관계자는 “IT조직 자체의 규모도 크지 않은 상황에서 정보보호만을 담당하는 임원을 따로 선임하는 것은 운영적 측면에서 어렵다”고 말했다. 현재 정보보호 문제, 보안적인 측면이 우려 되는 민감한 상황에서 별도로 CISO를 두고 있는 곳이 따로 없이 CIO가 겸직하는 일은 장기적으로 봤을 때 불안한 상황이다. 이에 반해 해외에서는 이미 9ㆍ11 테러 이후 CISO에 대한 필요성 인식이 높아지면서 마이크로소프트(MS), 오라클, GE 등의 대형 글로벌 기업들이 CISO를 내부 선임해두는 방식을 취하고 있다. 실제로 국내 CIO가 CISO직을 겸하고 있는 가운데서도 연 매출액이 8000억 원을 넘는 기업들 중 CIO를 보유하고 있지 않은 경우도 많다. CISO 필요성 인식 우선돼야 금융감독원(이하 금감원)은 올해 2분기 금융권을 우선 대상으로 CISO 전담 인력을 두고 있는 지에 대한 실태파악에 나서겠다고 지난달 12일 밝혔다. 실제로 지난해 말 금감원은 금융기관들의 IT 경영실적을 평가할 때 전담 CISO를 두지 않은 기관에 대해 점수를 낮게 평가한다는 방침을 발표했다. 금감원 고위관계자는 “CISO 전담 인력을 배치하는 것은 금융권 입장에서 추가비용부담으로 선뜻 나서지 못하고 있다”며 “하지만 금감원 내부에서는 연내 CISO를 두지 않을 경우 IT평가에 불이익을 주는 방식으로 도입을 유도할 계획이다”라고 전했다. 국내에서 CISO를 활성화하는 데 가장 큰 걸림돌은 기업들의 CISO선임 필요성에 대한 인식부족과 비용부담, 보안에 대한 후조치 활동이 익숙해져 있기 때문이다. 기업들은 해킹 등 직접적인 피해를 입지 않는 이상 보안에 비용을 투자해야 할 필요성을 인식하기 힘들다. 현재 국내 대부분의 기업들은 보안장비를 구축하는 데에 우선적으로 초점을 맞추고 있으나 근원적으로 보안문제를 방지하기 위해서는 내부의 체계적인 준비가 필요하다는 것이 정부의 방침이다. 한편 업계 관계자들은 “진정한 CISO를 위한 교육과 선임 시 그 기관이 얻을 수 있는 혜택 등에 대한 정부의 지원이 있어야 한다”고 말했다.