#1. 지난 5월 미국 빅3 유통업체인 타깃의 그레그 스타인하 펠 CEO가 사임했다. 지난해 말 발생한 1억 1000만 건의 고객정보 유출 사태에 책임을 지고 물러난 것. 35년 동안 회사를 위해 일한 베테랑 CEO를 내칠 만큼 정보 유출의 후폭풍은 거셌다. 타깃은 고객정보 유출로 4분기 실적이 하락했고 사태 수습에 6100만 달러(약 610억 원)를 썼다고 알려졌다.

#2. 7월 한국 스탠다드차타드(SC)은행은 김홍선 전 안랩 대표를 부행장급 CISO로 선임했다. 한국SC은행에서는 지난해말 9만 4000만여 건의 고객정보가 유출된 데 이어 올 6월 추가로 1만 1000만 건의 정보 유출이 확인됐다. 8월에는 신수정 전인포섹 대표가 KT의 CISO로 자리를 옮겼다. KT는 올 초 1170만 건의 개인정보가 유출된 이후 정보보안단을 신설했다.

기업의 정보를 위협하는 요인이 늘어남에 따라 보안을 향한 CEO의 관심이 높아지고 있다. 관련 법·제도의 개선 역시 줄을 잇는다. 지난 2월, 대형 금융회사에서 최고 정보책임자(CIO)와 최고정보보호책임자(CISO, Chief Information Security Officer)의 겸직을 금하는 개정법이 발 의됐다. 5월에는 직원 1000명 이상 정보통신기업은 CISO 를 의무적으로 지정해야 한다는 내용의 정보통신망법 개정안이 국회를 통과했다. 얼마 전 카드 3사(KB국민·롯데·NH농협)의 CEO가 정보유출 사태로 모두 물러났을 때 보안에 대한 불안감은 극에 달했다. CEO에게 정보보호 문제는 더 이상 남의 일이 아니다.

왜 CISO가 필요한가

CISO는 기업에서 정보보안 업무에 총괄 책임을 지는 임원이다. 기업이 사업을 하면서 발생하는 위험 요소를 감당하는 사람이라고 할 수 있다. 최근 사업의 위험 요소 대부분이 정보보안 영역에서 일어난다. IT 기술이 거의 모든 사업의 핵심이 됐기 때문이다. 이경호 고려대 정보보호대학원 교수는 “전체 고소·고발 사건의 77%가 인터넷과 관련됐고, 2013년 3월 기준 은행 전체 거래의 90% 이상이 얼굴을 보지 않고 하는 비대면 거래”라고 말했다.

보안 책임자가 임원이어야 하는 이유는 빠르고 정확한 의사결정을 위해서다. 정보유출 사고는 순식간에 벌어진다. 모 은행은 고객정보가 유출되기 시작한지 20분 만에 전 지점의 모든 전산시스템을 껐다.

도입할 때 고려해야 할 점은

보안이 중요하다는 것을 알면서도 비용을 들여가며 CISO를 뽑는 것이 쉽지 않다. 전문 인력이 많지 않아 보안 전문가의 몸값은 급상승하고 있다. 한 금융권 관계자는 “임원이라 나이도 봐야 하고 여러 가지 고려할 사항이 있 다”며 채용에 어려움을 표했다. 하지만 CISO를 뽑겠다고 결정했으면 필요한 능력은 꼼꼼히 살피되 그 외 불필요한 조건은 배제하는 것이 좋다. 우선 보안 전문성을 고려해야 한다. CISO의 판단이 잘못되면 오히려 회사에 피해를 줄 수 있기 때문. 법으로 CISO의 자격 요건을 정해놨지만 기 술만 있어서는 안 된다. 리더십, 의사소통 능력, 사업에 대 한 이해도 역시 CISO가 갖춰야 할 조건이다.

또 이들이 다른 임원과 동등하게 일할 수 있는 여건을 제공해야 한다. 기업 내부의 인식을 바꾸는 것이 중요하다. 현재까지 CIO와 CISO가 겸직하는 기업이 많다. 이런 경우 정보보호 부서가 IT 본부에 속하게 된다. CIO의 목적은 시스템이 효율적으로 돌아가게 하는 것이다. CISO는 복잡하더라도 안전을 지키려 한다. 두 최고책임자의 목적이 부딪치기 때문에 CISO는 완전히 독립된 조직에서 일 해야 한다.

직무의 문제점과 개선방안은

최근 CISO에 통제권을 줘야 한다는 목소리가 높다. 이 경호 교수는 “아직 CISO의 역할과 권한이 제대로 정립되지 않았다”며 “직무 재정립이 필요하다”고 말했다.

CISO가 비용에 대한 권한이 없는 것도 문제라는 지적이다. 지난 8월 법원은 2012년 발생한 KT의 개인정보 유출 피해자 2만 8718명이 낸 손해배상 청구소송에서 1인당 10만 원을 지급하라고 판결했다. 이 사고의 총피해자 수는 870만 명이었다. 앞으로 얼마나 많은 사람이 소송을 제기 할지는 아무도 모른다. 기업은 정보 유출로 회사가 휘청거릴 만큼의 경제적 손실을 입을 수 있다. 사전에 정보 유출 사고를 방지하기 위해 얼마나 투자할지는 CEO가 판단한다. 하지만 많은 CEO가 자신의 임기, 단기 성과에 맞춰 예산을 책정하기 때문에 정보 보호에 많은 비용을 투입하기 어렵다. CISO가 비용에 대한 어느 정도의 권한을 가져야 한다고 주장하는 이유다.

이홍섭 한국CISO협의회 회장은 “무엇보다 사고가 났을 때 CEO가 책임지는 구조가 돼야 한다”고 말했다. CISO에게 모든 비난이 쏠리면 위축돼 제 역할을 못한다는 것이다. 한 CISO는 “늘 도살되기를 기다리는 양 같다”고 부담감을 표하기도 했다.

외국과 비교하면

미국은 법과 제도로 강제하기보다 기업에 자율을 주는 편이다. 대신 사고가 났을 때 기업에 책임을 엄중하게 묻는다. 미국 역시 아직 CISO의 역할과 권한이 정립되지 않은 상황이다. 타깃은 정보 유출 사고 이후 첫 CISO를 뽑았지만 CIO에게 보고하는 체계다. CISO의 필요성은 꾸준히 강조된다. 지난 7월 뉴욕타임스는 “CISO 지원 자 찾기가 하늘의 별 따기”라며 “19만~120만 달러의 연봉과 파격적인 근무환경을 제공한다 해도 CISO는 자신이 하는 일을 가장 어렵게 느낀다”고 보도했다.

로이터에 따르면 JP모건체이스, 펩시 등이 CISO를 찾고 있다. 주요 기업 CISO의 연봉은 50만~70만 달러라고 한다. 영국, 일본, 프랑스 등도 강력한 보안 대책을 요구하는 분위기다. 이경호 교수는 “한국은 최고 수준의 IT 인프라를 갖추고 있다”며 “우리 실정에 맞는 섬세한 보안정책과 전략을 찾아야 한다”고 말했다.