▲ 기업의 정보호호최고책임자(CISO) 지정 의무화가 한 달여 밖에 남지 않았다.

[이코노믹리뷰=이가영 기자] 기업의 정보호호최고책임자(CISO) 지정 의무화가 한 달여 밖에 남지 않았지만 산업계의 반응은 미적지근하다. CISO 지정 의무화가 최근의 경영환경에 필요한 조치라는 점에는 이견의 여지가 없으나, 신규 임원 선임에 대한 인건비 증가와 자격 요건의 모호성, 퇴직관료의 낙하산 일자리 논란 등이 떠오르면서 졸속 관치행정에 불과하다는 지적도 나오고 있다.

CISO는 기존의 보안최고책임자(CSO)·개인정보보호책임자(CPO) 등과 비슷해 보이지만 보안 예산 편성·정책 마련 등 권한이 더 포괄적이고 강하다고 보면 된다.

정부는 정보보호 전문성과 경험 있는 전문가가 정보보호 업무를 담당하게 함으로써 기업의 사이버 침해 사고 대응능력을 강화하겠다는 계획이다. 때문에 법 개정에 앞서 지난 2014년과 2018년 두 차례에 걸쳐 CISO 지정 제도를 마련하고 지정·신고 의무화 및 일정 규모 이상의 기업 겸직 금지 조항을 마련한 바 있다. 또 CISO의 세부 자격요건을 규정하는 등 정보통신망법의 내용을 보다 구체화시켰다.

산업계 “필요성 공감하지만 부담 커”

CISO에 대한 산업계의 반응은 '정책에 공감하지만 너무 획일적이다'는 분위기다. 대체적으로 CISO의 필요성에 대해서는 공감하면서도 까다로운 임명 조건과 인사 영입으로 인한 인건비 증가, 퇴직관료의 낙하산 일자리 논란 등이 걸림돌로 꼽힌다.

한 조선업계 관계자는 “조선업의 경우 기술이 중요한 만큼 보안을 철저히 해야 한다는 데는 동의한다”면서도 “다만 홈페이지로 실제 영리활동을 하는 것도 아는데 (CISO) 지정 의무화 적용 대상으로 삼는 것은 불합리한 부분이 있다고 생각한다. 조건이 까다로워 적임자를 구하는 것도 쉽지 않고, 외부에서 영입하는 경우 인건비도 부담이다”고 설명했다. 

유통업계 관계자도 “정보보호 관련 사건이 터지면 피해가 크다는 점에서 (CISO) 없는 것보다는 있는 게 낫다”면서도 “다만 개인정보가 유출되는 경우 책임자인 CISO 개인이 모든 형사적 처벌을 져야한다는 점에서 임직원들이 해당 직책을 꺼려하는 분위기다”고 말했다. 

상황이 이렇다보니 기업들의 참여도 지지부진한 상황이다. 한국인터넷진흥원에 따르면 국내 CISO의 임명률은 2017년 기준 12.6%에 불과하다. 같은 해 미국(65%)과 일본(45.9%)에 비하면 턱없이 낮은 수준이다. 이에 따라 과태료를 물릴 경우 당장 대기업 위주의 CISO 임명률이 높아질 수는 있겠지만 이는 임시방편에 그칠 가능성이 높다는 지적이 나온다.  

실제 정보통신망법에 명시된 CISO의 일반 자격요건을 보면 정보보호 또는 정보기술 관련 석사 학위 이상의 학위를 취득한 사람 외에도 ▲관련 분야 업무를 10년 이상 수행한 경력이 있는 사람 ▲해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람 등이다. 

자산총액 5조원 이상으로 다른 직무의 겸직이 제한되는 CISO의 경우 조건이 한층 더 복잡하다. 일반 자격을 갖추고 상근해야 하며 ▲정보보호 업무를 4년 이상 수행한 경력이 있는 사람 ▲정보보호와 정보기술 업무 수행 경력을 합산한 기간이 5년 이상인 사람만 가능하다. 

해당 조건들은 언뜻 보면 까다로워 보이지만 포괄적이고 해석의 여지가 많아 주관이 개입될 가능성이 높다. 전문성도 담보할 수 없다. 정보보호나 IT 분야에서 일정 기간 이상 근무한 사람이라면 전문 자격이나 관련 학위가 없어도 누구나 CISO가 될 수 있기 때문이다. 

아울러 CISO 겸직금지 대상 기업 구분이 ‘기업의 규모’로 잡혀있어 허술하다는 지적도 나온다. 기업의 성격이나 업무의 특성을 구분하지 않아 부작용이 발생할 수 있다는 견해다.

이러다보니 일각에서는 CISO가 과학기술정통부 등 관련 퇴직 관료들의 일자리 보존을 위해 마련된 것 아니냐는 주장이 나온다. 과거에도 비슷한 논란은 수차례 있어왔다. 예컨대 정책금융공사는 과거 CISO에 재정경제부와 금융위원회 출신 낙하산 인사를 선임해 논란이 된 바 있다. 

실효성과 관련한 의문도 나온다. 익명을 요구한 기업 정보보호 실무자는 “정부의 CISO 의무화가 실제 기업들의 정보보호 강화에 얼마나 도움이 될지 모르겠다”고 전했다. 그는 “실무를 해보면 겸직금지 대상이 아닌 기업들은 99%의 담당자가 다른 직책과 CISO를 함께 맡고 있다. 이름만 올려놓는 식이다. 아울러 회사에서 정보 유출이 발생할 경우 형사처벌을 받는 등 희생양이 되는데 그 자리를 누가 가려고 하나. 현실을 모르는 전형적인 관치라고 본다”고 전했다.  

제도 실효성 가지려면… 벌 보다는 상(賞), 지속적인 모니터링 필요
 
전문가들은 기업들의 정보보호의 중요성에 관한 자각이 필요할 뿐 아니라 정부의 유인책도 필요하다고 조언한다. 

김승주 고려대학교 정보보호대학원 교수는 “과거에는 기업들이 정보보호책임자를 말단직원으로 두고 문제가 생기면 자르는 경우가 많았다. 해외에는 정보보호 유출 등으로 조 단위 소송이 들어오지만 국내는 소송제도가 그렇지 않다보니 기업들이 책임지지 않고 대충 넘어가려고 하면서 생긴 일이다”고 일부 기업들의 행태를 꼬집었다. 

이어 “CISO를 임원급으로 정하라는 것 자체가 개인정보유출 사고가 났을 때 기업이 꼬리자르기를 하지 말고 확실하게 책임을 져야한다는 의미”라면서 “정부도 실효성을 확보하기 위해 지속적으로 체크하는 등 노력을 기울여야 한다”고 제언했다. 

정인호 GGL리더십그룹 대표는 “의무 미이행 사업자는 3000만원 이하의 과태료가 부과되는 것과 CISO를 임원급으로 고용해야 하는 것 중에 선택해야 한다. 정부는 기업에서 나가는 비용 중 어느 쪽의 기회비용이 큰지 생각해봐야 한다”며 “안하면 벌을 주는 것보다 잘하는 기업에게 상을 주는 제도로 개편하는 것이 실효성이 있을 것”이라고 조언했다. 

또한 “강제로 CISO 전문가를 앉혀 놓는다고 해서 정보보안이 제대로 될 것이라 보지 않는다. 과기부나 정부산하기관에서 공공발주 사업을 할 때 CISO를 도입하면 가점을 준다고 하니 기업들이 울며 겨자 먹기로 이를 수용할 수밖에 없다. 정작 CISO가 제대로 운영되는지에 대한 정성적 가치에 대한 기준은 찾아보기 어려워 이를 보완할 필요가 있다”고 전했다. 

그는 “CISO 도입에 따른 운영원칙을 두고 논의를 쌓아서 결론에 도달하는 사회적 합의 과정도 필요하다”며 “정부는 몇 번의 과정만으로 획일적 제도의 적용을 강조하지만 연속성도 없고 실질적 논의의 축적도 안 됐다. 기업 현장의 목소리를 제대로 경청하고 제도를 유연하게 실행할 필요가 있다”고 덧붙였다. 

키워드

#이코노믹리뷰 #이가영