정부가 지난 6월 23일 금융보안 대책을 발표했습니다. 이 대책에서 나온 최대의 화두는 최고정보책임자(CIO) 외에 정보보호최고책임자(CISO)를 의무적으로 도입하도록 한 것입니다. 금융권에서는 이를 놓고 이러저런 말들이 오갔습니다. 개인적으로 만나 CISO 도입에 대한 얘기를 들어보니 찬성과 반대의 입장이 만만치 않습니다. 나름의 논리를 바탕으로 탄탄한 주장을 내놓기 때문입니다. CISO에 대한 입장을 종합하면 대체적으로 부정적인 시각이 많지만 일부에서는 긍정적으로 평가합니다. 긍정적으로 받아들이는 입장에 있는 사람들은 우선 일자리를 창출할 수 있고 전문적인 관리가 가능하기 때문에 보안 사고를 예방할 수 있다고 말합니다. 특히 은행이나 정부기관 등과 같이 대규모 IT 시스템을 운영하는 곳에서는 CISO가 필요하다는 입장에 더 가깝습니다. 이들은 또 CISO는 시설, 아웃소싱 등 광범위한 범위에 이르는 보안 문제를 관리할 수 있기 때문에 ‘현실적인’ 측면에서 보더라도 CISO의 ‘존재 의의와 가치’를 충분히 갖고 있다고 주장합니다. 맞는 말입니다. 반면 반대 입장에서는 CISO를 둔다고 해서 보안 사고가 나지 않는다는 보장을 할 수는 없다는 상식적인 주장부터 시작합니다. 이어지는 주장은 보안 관련 업무의 권한과 책임을 어떻게 분리할 것인지가 분명하지 않은 상황에서 CISO를 도입하는 것은 효율성이 떨어진다는 것입니다. 직무규정이 명확하지 않으면 사고가 생겼을 때 어떻게 하겠느냐는 것입니다. 그러면서 CIO를 중심으로 IT 부서장급 직원이 CISO 역할을 하도록 하는 방안을 얘기합니다. 이것 또한 ‘현실적인’ 문제를 바탕으로 논리를 만들어 구성한 것입니다. 맞는 말입니다. 그런데 어느 쪽에 있건 한 가지에 대해서는 이구동성입니다. ‘사람’입니다. 6.23 금융보안 강화 대책은 앞으로 금융사고가 발생했을 때 CEO의 책임을 강화하고 해킹 사고에 대한 고객 피해 보상도 의무화하는 내용을 담고 있습니다. 문제가 생기면 관리 소홀이라는 이유로 그에 상응하는 불이익을 받도록 하겠다는 것입니다. 맞는 말입니다. 미국의 보안 전문 컨설팅 및 조사기관인 GovInfoSecurity는 지난 6월 정부 정보보안, 보호 현황, 이슈 진단을 위한 조사 보고서에서 정보보안 및 보호의 최대 위협 요인은 내부 위협 51%, 업무 미숙 50%, 악용 가능한 소프트웨어 취약점 46%로 나타났습니다. 또 최대 위협 행위자는 미숙련 및 부주의 사용자 66%, 내부 직원 55%, 내부 계약직원 42%로 나타났습니다. 대부분 ‘사람’이거나 ‘사람에 관련된 것’입니다. 이 조사기관은 또 미국 정부는 여전히 보안이 미흡하다고 밝혔습니다. 그러면서 연방정부의 IT 보안을 담당할 기관으로 연방CIO협의회(20%), 국가안정보장청(NSA, 21%), 백악관 사이버 담당국(15%) 등을 손꼽았습니다. CISO의 도입보다는 사람의 문제가 더 중요합니다. 그래서 저는 묻습니다. 맞는 말입니까? 편집장 김종영 sisacolumn@ciomediagroup.com