3만명 CISO에 ‘책임 강조’…실질 권한은 여전히 미지수

정부와 국회가 잇따른 대형 해킹 사고에 따른 정보보호 최고책임자(CISO) 권한 강화에 나섰다. 그러나 과거에도 비슷한 대책이 반복된 만큼 이번에도 구호에 그칠지, 실제 제도 변화로 이어질지에 의문이 제기된다.

권대영 금융위원회 부위원장은 23일 금융권 CISO 180여 명을 소집한 긴급회의에서 “전쟁에 임하는 각오로 근본적 노력을 해야 한다”며 “CEO 책임 하에 모든 전산시스템에 보안상 허점이 없는지 사운을 걸고 챙겨달라”고 강하게 주문했다.

같은 날 과기정통부도 CJ ENM, KT클라우드, 빗썸코리아 등 주요 30개 기업 CISO들과 긴급회의를 열고 “CISO가 CEO 직속·이사회 보고가 가능한 체계가 필요하다”고 강조했다.

이훈기 더불어민주당 의원도 17일 정보통신망법 개정안을 발의해 CISO 임원급 지정 의무화, 인력관리·예산편성 권한 부여, 정보보호위원회 설치 의무화 등을 제시했다.

정부와 국회가 한목소리로 CISO 권한 강화를 외치는 모양새지만 업계는 회의적이다. 업계 관계자들은 “대형 보안사고가 터질 때마다 CISO 권한 강화가 화두였으나 시간이 지나면 흐지부지됐다”고 지적한다. 한 관계자는 “CISO 독립성이 중요하다는 얘기는 10년 전부터 나왔던 말이다”라며 “여전히 많은 기업에서 다른 업무와 겸직하고 있는 것이 현실이다”라고 지적했다.

실제 현실은 척박하기만 하다. 금융감독원이 국회에 제출한 자료에 따르면 신한·삼성·현대·KB국민·롯데·하나·우리·비씨 등 8개 전업 카드사 가운데 전임 CISO를 둔 곳은 신한·현대·삼성카드 3곳뿐이다. 나머지 5곳은 최고재무책임자(CFO)나 최고투자책임자(CIO)가 CISO를 겸직하고 있다.

또 다른 보안업계 전문가는 "과연 예산 확보와 조직 개편으로 이어질지는 의문이다"라며 "그동안 보안 투자는 늘 '비용'으로만 인식돼 후순위로 밀렸다"고 말했다.

정부의 강력한 메시지에도 기업들의 대응은 엇갈린다. 일부는 적극적 변화를 추진하지만, 여전히 소극적인 곳도 많다.

유심 해킹 사태를 겪은 SK텔레콤은 7월 “향후 5년간 7000억원을 투자해 글로벌 최고 수준의 정보보호 체계를 갖추겠다”는 혁신안을 내놓았다. CISO 조직을 CEO 직속으로 격상하고 아마존·삼성전자 출신 이종현 CISO를 영입했다. LG유플러스도 2023년 고객정보 유출 사고 이후 KISA 출신 홍관희 전무를 CISO로 영입하고 CEO 직속 정보보안센터 설치에 나섰다.

반면 KT와 LG유플러스는 여전히 CISO와 CPO를 분리하지 않고 있다. KT는 올해 7월 “향후 5년간 1조원 이상 투자해 보안 기준을 글로벌 톱 수준으로 끌어올리겠다”고 발표했지만, 두 달 만에 소액결제 피해가 발생하며 한계를 드러냈다.

업계 한 전문가는 “이번처럼 최고위층이 직접 나선 것은 처음이지만, 과연 예산 확보와 조직 개편으로 이어질지는 의문”이라며 “그동안 보안 투자는 늘 ‘비용’으로만 인식돼 후순위로 밀렸다”고 꼬집었다.

정부는 이번에는 다르다고 강조한다. 류제명 과기정통부 2차관은 “국민이 안심할 수 있는 디지털 환경을 만들기 위해 기업 일선의 3만여 명 CISO가 책임감을 가져야 한다”고 당부했다. 하지만 정작 이들 CISO가 실질적 권한을 갖고 역할을 할 수 있을지는 여전히 미지수다.

CISO와 CPO를 분리해 운영하는 한 기업의 보안 담당자는 “CISO는 네트워크·시스템 보안 등 기업 전반의 정보보안 전략을 총괄하고, CPO는 개인정보 수집부터 파기까지 전 과정을 관리하며 관련 법규 준수를 책임진다”며 “기술보안 관점과 컴플라이언스·서비스 관점에서 전문성을 살려 서로 시너지를 낼 수 있다”고 설명했다.

그는 정부의 권한 강화 방침에 대해서도 “정보보호의 중요성은 점점 커지고 있어 방향성은 옳다”면서도 “강화 정책을 어떻게 설계하느냐에 따라 실효성이 크게 달라질 수 있다”며 신중한 접근 필요성을 강조했다.

홍주연 기자
jyhong@chosunbiz.com