2024.05.08 (수)
CISO 내정의 초반 취지와 달리 CIO가 CISO를 겸직해도 된다는 완화 방침에 따라 도입 취지가 무색해지는 것이 아니냐는 업계 내 우려의 목소리가 높다.
실제로 CIO와 CISO를 겸직하고 있는 임원들 역시 궁극적으로 이 두 직급이 분리돼야 한다는 데는 의견을 함께 하고 있다.
하지만 기업의 비용지출과 CIO와 CISO 업무의 명확한 분리가 힘든 점 등으로 인해 당분간은 겸직 체제가 이어질 것이라는 전망이다.
하지만 이러한 상황이 지속된다면 겸임을 하는 임원들의 매너리즘 경험 또는 보안을 갖추는 형식에만 치우쳐 철저한 보안 관리를 이루기 힘들다는 의견이다.
이에 따라 보안의식이 좀 더 성숙된다면 CIO와 CISO를 분리하는 체제는 반드시 필요하며, 정부기관 역시 일련의 보안 사고들로 인한 임기응변식의 법 제도 개정보다 중장기 계획을 세워 세부 가이드라인을 제공해야 한다는 목소리가 높다.
국내 금융권에서 CIO와 CISO들을 겸직하고 있는 임원들을 만나 현 상황에 대한 의견과 문제점에 대해 짚어봤다.
이지혜 팀장 jh_lee@ciociso.com
CIO가 ‘주’! CISO는 ‘덤’?
“고객정보에 대한 심각성, 특히 정보 유출 방지 문제가 워낙 민감한 상황에서 CIO가 CISO를 겸직할 경우 사안의 심각성에 대한 객관적인 시각을 유지하기 힘들며 장기적으로 분리 체제로 가는 것이 바람직하다.”
한 금융권에서 CISO를 겸직하고 있는 CIO의 말이다.
정보보호 문제가 조직에서 장애요인으로 발행했을 때 신속한 대처와 대외기관들의 인지 측면에서 역시 정보보호에 대한 위상을 제고하기 위해서라도 CISO는 따로 내정돼야 한다는 것이다.
특히 규모나 인력 면에서 볼 때 아직까지 CIO가 ‘주’이고 CISO 업무를 ‘덤’으로 생각하는 사회 인식 때문에 기존 CIO가 지니고 있던 업무나 의식들이 고착화되서 운영되는 점도 문제점으로 지적되고 있다.
CIO는 정보시스템을 관리하는 책임자, CISO는 정보보호를 담당하는 책임자이다. 대다수의 겸직 임원들은 서로 모니터링 견제 감시 체제로 가는 것이 당연하다는 의견이다.
한 겸직 CISO는 “실무적으로 정보보호를 통제하고 관리하는 업무를 겸임할 시 경계선 관리에 어려움이 있다”며 “문제가 충돌되는 경우가 많기 때문에 대부분 전담 보안 팀을 신설하는 정도에 그치고 있다”고 말했다.
하지만 CISO가 기업이 보유한 자급이나 고개정보, 지적 재산권, 브랜드 등 기업의 핵심 자산을 보호할 책임을 가지고 내부 정보보호 수준을 한 단계 향상시키는 것은 물론, 궁극적으로 신뢰성 높은 고객 서비스를 지원한다는 것은 겸직 유무를 떠나 피할 수 없는 사실이다.
명확한 자격요건에도 현업 출신 겸직 CISO 많아
한편 CISO의 자격요건인 최소한의 전문 자격 및 경험이 있는 IT경력자로 ‘유관 학사학위를 갖고 2년 이상의 정보보호 경력 또는 3년 이상 정보기술경력을 보유’하거나 ‘무관 학사학위를 갖고 4년 이상의 정보보호 경력 또는 5년 이상 정보기술경력 보유자’에 한한다는 지침에서도 CIO가 CISO를 겸직할시 문제점이 발생할 수 있다는 의견이다.
정부기관 통합적이고 상세한 가이드라인 내놔야
기업에서 CISO 선임 시 가장 걸림돌이 되는 것은 보안사고 문제 발생 시 책임소재 파악이다.
한 CIO는 “보안은 ‘100’을 준비해놔도 ‘1’이 뚫리면 모두 허사가 된다”며 “사회 전반적으로 보안에 대한 엄격한 인식과 눈초리 때문에 사고 발생 시 모든 책임을 내정 CISO가 지는 것에 대해 많은 부담을 안고 있는 것이 사실이다”라고 말했다.