금융 및 ICT업계 CISO 영입 활발
보안업계 "CISO제도 실효성 높이기 위해 시행령이 관건"

정부가 정보보호 최고책임자(CISO) 제도를 도입한 이후 ICT 기업의 CISO 영입전이 활발하다. 보안이 중요한 금융권뿐만 아니라 유통기업까지 CISO를 선임하는 등 정보보호 책임자의 중요성이 업계에 자리잡는 분위기다.

정보보호 이미지 / 아이클릭아트
정보보호 이미지 / 아이클릭아트
보안업계는 제도의 내실화를 위한 단계가 남았다는 목소리를 낸다. 제도를 잘 지키지 않는 기업을 모니터링하고 제재하는 단계가 필요하다는 것이다. 정부도 제도 개선을 통해 실효성 제고에 나섰다.

1일 과학기술정보통신부는 CISO 제도 개선사항을 담은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)‘ 일부 개정안을 1일 국무회의에서 의결했다.

개정안은 크게 ▲중소기업은 부장급 정보보호 책임자도 지정 가능 ▲개인정보 보호책임자(CPO) 등 유사 정보보호 관련 업무 수행하도록 겸직제한 완화 ▲허위신고 및 부적격자 지정에 대한 제재 규정 마련 등의 내용을 골자로 한다.

보안업계에 따르면 2019년 CISO 제도 시행 이후 CISO를 영입하는 곳이 많이 늘었다. 특히 보안을 중시하는 금융권에서는 CISO 영입전이 활발하다. 최근 카카오페이는 토스와 쿠팡 출신 김남진 CISO를 영입했다. 올초 핀테크 기업 아톤에서도 조민재 화이트해커를 CISO로 영입했다.

금융권뿐만 아니라 고객정보를 다루는 기업들은 정보보호의 관리자의 중요성을 체감한다. 2020년 해킹사건으로 곤욕을 치른 이랜드는 최근 양호석 전 SSG닷컴 CISO를 최고기술책임자(CTO)로 선임한 것으로 알려졌다.

보안 이슈가 있던 화웨이는 2020년 이준호 CSO를 영입했다. 그는 삼성테크윈에서 시작해 다음, 네이버에서 CIO와 CISO로 근무한 보안전문가다.

제도 회피하는 기업 잡아내야

CISO 제도의 긍정적 효과도 있지만 실효성을 우려하는 목소리도 있다. 그동안 일부 기업이 제도를 변칙 운용하는 사례들이 많기 때문이다. 책임없는 사람을 형식적으로 앉혀놓는 것이 대표적인 예다. 개정안이 규제 완화내용을 담고 있는 만큼 계속해서 책임을 회피하려는 기업들이 있을 수도 있다는 것이다.

보안업계 관계자는 "일부 기업이 CISO 제도를 대충 운영하는 경우가 있었는데, 적은 금액이지만 이번 과태료 규정이 담겨 분위기를 전환시키는 효과가 있을 것으로 보인다"며 "이후 시행령에서도 법을 지키지 않는 기업들을 어떻게 확인할 것인 지에 대한 내용이 현실성 있게 담기는 것이 중요하며, 그렇지 않을 경우 제도가 꼬일 수 있다"고 말했다.

이어 "아직 120개가 넘는 기업의 CISO가 누구인지 정부에서 파악하지 못하는 것으로 알고 있다"며 "KISA에서라도 CISO 간담회를 정기적으로 열어 애로사항을 청취하는 등 현황을 파악하려는 노력도 필요하다"고 덧붙였다.

또 다른 보안업계 관계자도 "(개정안에)전반적으로는 실효성을 높이는 내용이 담겼다"며 "(겸직제한 등)규제가 조금 느슨해진 것은 아쉽지만, 제도가 업계 전반에 뿌리내리는 측면에서 긍정적으로 본다"고 말했다.

이어 "CISO를 영입하는 기업들이 늘고, 정보보호 투자를 늘리는 등의 효과가 나타나고 있다"며 "제도가 자리잡기 위해선 법을 회피하거나 지키기 않는 기업들을 관리·감독하는 것도 중요하다"고 강조했다.

류은주 기자 riswell@chosunbiz.com