CISO 내정의 초반 취지와 달리 CIO가 CISO를 겸직해도 된다는 완화 방침에 따라 도입 취지가 무색해지는 것이 아니냐는 업계 내 우려의 목소리가 높다.
실제로 CIO와 CISO를 겸직하고 있는 임원들 역시 궁극적으로 이 두 직급이 분리돼야 한다는 데는 의견을 함께 하고 있다.
하지만 기업의 비용지출과 CIO와 CISO 업무의 명확한 분리가 힘든 점 등으로 인해 당분간은 겸직 체제가 이어질 것이라는 전망이다.
하지만 이러한 상황이 지속된다면 겸임을 하는 임원들의 매너리즘 경험 또는 보안을 갖추는 형식에만 치우쳐 철저한 보안 관리를 이루기 힘들다는 의견이다.
이에 따라 보안의식이 좀 더 성숙된다면 CIO와 CISO를 분리하는 체제는 반드시 필요하며, 정부기관 역시 일련의 보안 사고들로 인한 임기응변식의 법 제도 개정보다 중장기 계획을 세워 세부 가이드라인을 제공해야 한다는 목소리가 높다.
국내 금융권에서 CIO와 CISO들을 겸직하고 있는 임원들을 만나 현 상황에 대한 의견과 문제점에 대해 짚어봤다.

이지혜 팀장 jh_lee@ciociso.com

CIO가 ‘주’! CISO는 ‘덤’?
“고객정보에 대한 심각성, 특히 정보 유출 방지 문제가 워낙 민감한 상황에서 CIO가 CISO를 겸직할 경우 사안의 심각성에 대한 객관적인 시각을 유지하기 힘들며 장기적으로 분리 체제로 가는 것이 바람직하다.”
한 금융권에서 CISO를 겸직하고 있는 CIO의 말이다.
정보보호 문제가 조직에서 장애요인으로 발행했을 때 신속한 대처와 대외기관들의 인지 측면에서 역시 정보보호에 대한 위상을 제고하기 위해서라도 CISO는 따로 내정돼야 한다는 것이다.
특히 규모나 인력 면에서 볼 때 아직까지 CIO가 ‘주’이고 CISO 업무를 ‘덤’으로 생각하는 사회 인식 때문에 기존 CIO가 지니고 있던 업무나 의식들이 고착화되서 운영되는 점도 문제점으로 지적되고 있다.
CIO는 정보시스템을 관리하는 책임자, CISO는 정보보호를 담당하는 책임자이다. 대다수의 겸직 임원들은 서로 모니터링 견제 감시 체제로 가는 것이 당연하다는 의견이다.
한 겸직 CISO는 “실무적으로 정보보호를 통제하고 관리하는 업무를 겸임할 시 경계선 관리에 어려움이 있다”며 “문제가 충돌되는 경우가 많기 때문에 대부분 전담 보안 팀을 신설하는 정도에 그치고 있다”고 말했다.
하지만 CISO가 기업이 보유한 자급이나 고개정보, 지적 재산권, 브랜드 등 기업의 핵심 자산을 보호할 책임을 가지고 내부 정보보호 수준을 한 단계 향상시키는 것은 물론, 궁극적으로 신뢰성 높은 고객 서비스를 지원한다는 것은 겸직 유무를 떠나 피할 수 없는 사실이다.
최근 한 글로벌 전문업체가 조사한 바에 따르면 CISO들은 보안 위협에 수동적으로 대처하는 것과 달리 지능적이고 종합적인 위기관리 전략으로 전환하려는 움직임을 보이는 것으로 나타났다.
이는 기존 보안 대응 방식이 일어날 불을 끄는 수준이었다면 최근에는 불이 나기 전에 미리 예측해 위험을 감소시키는 방향으로 발전하고 있다는 것이다.
하지만 국내 대부분 산업군에서 CIO들이 CISO를 겸직하면서 보안에 대한 시간할애와 고민은 단독 CISO 체제보다 덜하다는 의견이다.
한 CIO는 “지난해 11월 개정된 전자금융거래법은 CISO를 임원급으로 선임하도록 규정했지만 심지어 몇 개 금융사는 임원 바로 아래 직급인 본부장이나 부장 등의 간부에게 CISO직을 맡긴 곳도 있다”고 전했다.

 

 

 

명확한 자격요건에도 현업 출신 겸직 CISO 많아
한편 CISO의 자격요건인 최소한의 전문 자격 및 경험이 있는 IT경력자로 ‘유관 학사학위를 갖고 2년 이상의 정보보호 경력 또는 3년 이상 정보기술경력을 보유’하거나 ‘무관 학사학위를 갖고 4년 이상의 정보보호 경력 또는 5년 이상 정보기술경력 보유자’에 한한다는 지침에서도 CIO가 CISO를 겸직할시 문제점이 발생할 수 있다는 의견이다.

최근 현업 출신 또는 외부 전문가들이 기업 CIO로 선임되는 것은 보기 힘든 일이 아니기 때문이며, 이러한 현업 출신의 CIO들이 CISO를 겸직할 경우에는 기업 보안에 치명적인 결함을 불러일으킬 수 있다.
순수 엔지니어 출신이나 개발자들이 CIO를 맡게 되는 사례가 점차 감소하는 추세며 기업 규모가 커질수록 대부분 경영이나 사업전략 경력을 가진 임원들이 대다수를 차지하고 있다.
한 CIO는 “일련의 보안 사건들을 계기로 금융사 IT인프라에 대한 보안 강화의식이 확산됐고 CISO 임명은 이러한 확산된 의식을 제도화 하는 장치”라며 “CISO 임명을 통해 금융권의 정보보호에 대한 관심과 투자가 더욱 확산돼야 할 것”이라고 말했다.
반면 다른 CIO는 “CIO가 CISO를 겸직하는 경우 기본적으로 IT 분야 지식과 경험이 있기 때문에 보안과 전혀 무관하다고 볼 수 없으며 내부 인사인 만큼 내부 상황을 잘 파악해 업무를 진행하면서 리더십을 발휘할 수 있다는 점에서는 긍정적”이라며 “하지만 아직까지 보안의 특성과 전문성에 대해 과소평가 하고 있다는 느낌이 잔존한다”고 털어놨다.

정부기관 통합적이고 상세한 가이드라인 내놔야
기업에서 CISO 선임 시 가장 걸림돌이 되는 것은 보안사고 문제 발생 시 책임소재 파악이다.
한 CIO는 “보안은 ‘100’을 준비해놔도 ‘1’이 뚫리면 모두 허사가 된다”며 “사회 전반적으로 보안에 대한 엄격한 인식과 눈초리 때문에 사고 발생 시 모든 책임을 내정 CISO가 지는 것에 대해 많은 부담을 안고 있는 것이 사실이다”라고 말했다.

또한 겸직 임원들은 기업과 정부 감독기관과의 사이에서 협회나 개발원 등 중간 역할을 하는 단체들의 적극적인 움직임을 촉구했다.
정부의 임기응변식의 정책 역시 개선돼야 할 점이며 기업과 사용자들의 보안 인식 또한 변화돼야 한다.
한 CIO는 “기업 자체적인 상황과 계획에 의해 보안 수립이 이뤄지기 보나 외부 환경으로 인한 영향을 많이 받기 때문에 초반에 무리수를 두는 경우들이 허다하다”고 지적했다.
이에 따라 기업들은 자체적으로 보안을 인지하고 대응 준비할 수 있는 기간을 가지기 힘들다는 의견이다.
또한 현재 나와 있는 정책들이 대부분 유기적이지 않기 때문에 기업의 개인정보들과 규제 통제 방법에 대한 통합이 필요하다는 바람을 내비쳤다.