“한국이 IT강국이란 말은 정보보안 분야에서 통용되지 않습니다. 반도체 산업과 통신망 구축 정도에 비해 턱없이 부족하죠. 기업의 IT 보안은 ‘후진국’ 수준입니다. 아직 갈 길에 멀었죠. 이번에 시행되는 정보통신망법이 보안 확산의 시작이 될 것으로 기대합니다.”

최동근 한국CISO협의회 회장[롯데카드 정보보호최고책임자(CISOㆍ상무)]은 한국은 IT강국이지만 정보보안은 후진국이라고 평가했다. 

'정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령'(정보통신망법) 개정안이 현장에 적용된 지 일주일이 채 안된 지난 17일, 최 회장을 서울 중구 롯데카드 본사에서 만났다.

최 회장은 인터뷰 내내 “모든 게 디지털화되어가는 시대에 보안은 선택사항이 아닌 필수사항”이라며 “기본도 못 갖춘 국내 IT 보안의 현실이 빨리 개선되어야 한다”고 강조했다. 그는 이번 정보통신망법 시행령이 “‘후진국’ 수준의 IT 보안이 점진적으로 발전할 수 있는 계기가 될 것”이라고 평가했다.

정보통신망법 개정안은 지난 4일 국무회의를 통과, 13일부터 시행됐다. 이번 개정으로 가장 크게 변화되는 지점은 ‘자산총액 5조 이상’의 대기업에서 CISO가 겸직 금지 대상이 됐다는 점이다.

CISO는 기업의 정보 보안을 위한 기술적 대처와 법률 대응까지 총괄 책임지는 최고 임원이다. ‘냉장고에서도 개인정보가 셀 수 있다’는 말이 나오는 요즘에 그 중요성은 더욱 커지고 있다.

그러나 기업은 CISO를 ‘유명무실’한 직책으로 운영해왔다. 

실제로, 기업의 대표나 사업부장 등이 CISO를 함께 수행하는 곳이 많다. CISO가 임명돼 있어도 개인정보보호최고책임자(CPO)·정보기술책임자(CIO) 등까지 담당하는 상황이다.

최 회장에게 기업의 보안 현실을 묻자 “현재는 몇몇 기업을 제외하곤 정보 보안 업무를 ‘총대’잡고 할 인원이 없다”고 잘라 말했다.

“기업에선 그간 정보 보안의 중요성을 인지해 왔지만, 그렇다고 크게 신경 쓰고 있지는 않아요. 보안은 전부 투자이기 때문입니다. 중요하지만, 사고가 나지 않으면 문제가 없어 보이거든요.”

한국인터넷진흥원에 따르면, 국내 CISO의 임명률은 2017년 기준 12.6%에 불과하다. 미국(65%)과 일본(45.9%)에 비하면 턱없이 적은 수치다.

최 회장은 “이 수치는 CISO가 모두 있는 금융권을 포함한 것”이라며 “이런 식으로 진행이 된다면, 보안 취약점이 계속해서 발생할 수밖에 없다. 최근 다양한 보만 문제가 발생한 가장 큰 원인은 보안을 담당하는 사람이 없었기 때문”이라고 진단했다.

또 CISO가 기업에서 CIO나 CFO와 겸직을 금지해야 한다는 해법도 제시했다. 

최 회장은 “CIO가 있어서도 기업은 정보 보안에 투자하지 않는다. CIO의 미션은 IT자원을 활용해서 비용을 절감하는 것이기 때문"이라며 "업무의 성격이 완전히 다르다. CISO와 CPO는 일부 업무가 겹치기도 하지만, 개인정보보호법이 강화되고 그 영역이 사회 전반으로 확대되고 있어 역할이 점차 차별화되고 있다”고 설명했다. 

최 회장은 이번 정보통신망법 개정으로 대기업을 중심으로 CISO를 임명하는 기업들이 많아져, 점차 중견ㆍ중소기업도 보안에 신경 쓸 수 있는 분위기가 형성될 것이라고 분석했다.

이번 시행령으로 CISO 지정·신고 의무 대상에서 자본금 1억원 이하의 부가통신사업자와 소상공인, 소기업(전기통신사업자·집적정보통신시설사업자 제외) 등이 제외했다.

이에 따라 CISO 지정·신고 의무대상 정보통신서비스 제공자는 19만9000여개에서 3만9000여개로 감소(2019년 5월 기준)하게 됐다. 소상공인, 소기업 등은 정보보호 관련 학력·경력 등을 갖춘 CISO 지정·신고 의무의 부담을 완화하게 된다.

일각에선 이를 두고 ‘규제 완화’로 해석하기도 한다. 또 CISO의 겸직금지 사안을 두고는 ‘규제 강화’라 평가하기도 한다. 최 회장은 이에 대해 “이번 시행령은 그런 성격이 아니라 정보보안 확산으로 봐야한다”고 강조했다.

“규제의 측면보다는 날로 복잡해지는 사이버공간의 침해요소에 대한 지원책이라고 여겨집니다. IoT 장비들의 보안취약점 등으로 인해 침해요소는 하루가 다르게 증가하고 있죠. 국가나 기업, 안전한 정보 환경을 제공해 피해를 줄이기 위한 첫 실마리라고 봅니다. 기업이 정보보호 활동을 제도적으로 뒷받침해주는 것이죠.”

업계에선 CISO 겸직금지 대상 기업 구분이 ‘기업의 규모’로 잡혀있어 “허술하다”는 지적이 나온다. 

기업의 성격이나 업무의 특성을 구분하지 않아 부작용이 발생할 수 있다는 견해다.

최 회장은 이에 대해 “현재는 기업별 업무 특성에 맞게 CISO를 임명하는 방안 등을 복잡하게 논의할 수 있는 단계가 아니다”라며 “일단은 시작하는 것이 더 중요하다”고 역설했다.

이어 “중견기업과 중소기업까지 일괄적으로 확대한다면 규제가 될 수 있다. 아직 규모가 작은 기업은 보안에 대해 잘 모르는 게 현실이기 때문”이라며 “그러나 5조 이상이면 얘기가 다르다. 이미 보안을 강화했어야 하는 기업들”이라고 설명했다.

그는 이번 시행령의 중요성을 ‘자동차 책임 보험’에 빗대 설명했다.

최 회장은 “책임 보험이 나오기 전에는 개인적으로 보험에 가입하는 식이었다. 자신에게 사고가 나지 않았기 때문에 문제를 크게 느끼지 못한 셈"이라며 "정보통신망법도 마찬가지다. 중요한 것은 알지만, 사고가 나지 않았으니 기업은 투자할 생각이 없었죠. 정부 입장에선 손을 놓고 있을 수 없었던 상황”이라고 말했다. 

자산총액 5조 이상의 사업자는 특성이 아무리 달라도 이미 CISO임명 등 보안을 완벽하게 구축했어야 한다는 설명이다.

최 회장에게 마지막으로 하고 싶은 말을 묻자 ‘보안 담당자 형사처벌 사항 개정’의 필요성을 짚었다.

최 회장은 “현재 개인정보보호법이나 정보통신망법, 신용정보법 등에서 정보보호 인력이 ‘업무수해 중’ 정보유출이나 보안업무 취약점이 발견되면 형사처벌 사안이 언급돼 있다"며 "외국에서는 이 경우 기업의 책임에 대한 사항들만 있을 뿐이다. 이를 개정해야 정보보호 실무자들이 자신의 업무에 자부심을 가지고 최선을 다 할 수 있다.”고 강조했다.

다음은 일문일답.

Q. ‘자산총액 5조 이상’이 일단은 보안 확산을 위한 사항이지만, 추후 더 명확한 구분이 필요하리라 생각합니다. 어떻게 구분해야 현실이 제도에 반영될 수 있을까요?

A. 이번 시행령에서 명시된 겸직금지에 해당하는 기업은 120여개로 추정됩니다. 우리나라 기업 전체로 봤을 때는 무척 적은 숫자죠. 이 정도 규모라면 이미 별도로 운영되고 있어야 정상입니다.

되레 기업마다 업종의 특성이나 업무의 성격이 다르기 때문에 명확한 구분을 찾는 것이 더 어려워 보입니다. 법 제도나 정책은 보편타당성이 있어야 하고, 더 디테일한 정책은 오히려 시장의 속도와 현실을 따라잡기 어려울 수 있습니다.

Q. 자산총액은 기업의 상황에 따라 바뀔 수 있어, 그 경계에 있는 업체의 상황이 우려됩니다. 예를 들어, 이번 시행령으로 겸직금지 CISO를 임명했다가 5조 밑으로 자산총액이 떨어지면 해고되는 경우가 발생할 가능성이 없진 않아 보입니다. 이에 대해 어떻게 생각하시는지요.

A. 이번에 먼저 시행되는 기업이면 정보보호에 대한 대응이 필요하리라는 판단을 한 것 같습니다. 임원으로 임명 후 정보보호 대응 효과를 본다면 굳이 해고하는 일은 없으리라 사료됩니다. 이제는 보안이 담보되지 않은 비즈니스는 한순간에 회사를 망하게 할 수도 있다는 인식이 필요한 상황입니다.

Q. 기업은 CISO 임명을 신고하기만 하면 아무런 제약이 없습니다. 미신고자도 벌칙금 최대 3000만원 수준입니다. 형사 처벌도 없는 것으로 보입니다. 이에 따라 일부 회사에서 CISO가 유령 직업이 될 가능성이 있을 것 같습니다. 우려되는 지점인데, 어떻게 생각하시는지요.

A. 초연결 사회에서 CISO의 역할은 CFO나 CIO보다 중요한 역할입니다. 누군가 책임을 지고 기업의 정보보호 업무를 수행한다면, 그 효과는 분명할 것으로 생각합니다. 현재는 그 수준도 이뤄지지 않고 있는 것이 현실이죠.

기업의 정보보호는 외부의 침해로부터 보호하는 것이 목적이지, 벌칙을 주는 것이 아닙니다. 정보보호 활동에 대해 형사처벌을 논하는 것은 마치 기업이 정보보호 활동을 하지 않는 것 자체가 형사적인 책임을 져야만 한다는 것과 같은 얘기입니다.

다만, 기업의 활동상 자산에 해당하는 고객정보 등의 보호를 일정 수준으로 할 수 있는 환경이 제공되어야 한다곤 생각합니다. CISO를 임명하고 나면, 기업의 정보보호 활동 전개 과정에서 리스크 해결을 위한 다양한 활동이 이뤄질 것으로 기대됩니다.

Q. 기업의 매출대비 정보보안 투자비율은 어느 정도선에서 이뤄지고 있는지 궁금합니다.

A. 아직은 이런 것을 논할 단계에도 오지도 못한 것이 현실입니다.

통상적으로 금융권에서는 IT투자에 7~8%를 투자해야 한다고 가이드라인이 제시되고 있지만, 어디에 딱 들어맞는 것은 아니죠.

해외에선 정보보안 투지에 봤을 땐 인력비와 관제비용까지 포함됩니다. 유럽권은 10%를 투자하죠. 이미 장비와 시스템이 기본적으로 구축된 환경에서 10%라서 의미가 다릅니다.

우리나라는 중견기업과 중소기업에선 여건이 마련돼 있지 않은 상황입니다. 때문에 많은 투자가 이뤄져 이런 상황에서 7~8% 룰이 맞지 않죠.

Q. 정부는 이번 시행령에 대해 ‘현실화’에 초점을 맞추고 있다고 합니다. 이번 시행령을 어떻게 평가하시는지요.

A. ‘첫술에 배부르랴’는 속담처럼 현실적으로 기업들의 규모에 따라 먼저 시행을 하고, 향후 점진적으로 확산될 것으로 봅니다.

아직 규모가 작은 기업들은 제대로 된 CISO를 임명하는 것은 버거울 수도 있죠. 과학기술정보통신부에 신고한 CISO는 6000명 수준이지만, 실제로 임원급은 매우 적습니다. 10% 선이죠.

그러나 고무적인 부분은 이번 시행령을 통해 기업의 경영자가 보안에 더 관심을 갖게 된다는 점입니다.

Q. 정부는 겸직 금지 제도 시행을 앞두고 업계 혼란을 고려해 제도 준수를 독려하는 계도 기간을 시행할 예정입니다. 계도 기간 종료일은 특정하지 않은 상태죠. 계도 기간이 어느 정도면 적당하다고 보시는지요.

A. CISO의 겸직금지에 해당하는 것은 CIO와의 겸직을 금지하는 것으로 해석할 수 있습니다. 둘의 업무가 서로 상충하는 부분이 있기 때문에, 계도기간이 길어서는 CISO의 업무수행이 원활히 이뤄질 수 없는 결과가 초래될 수 있습니다. 무작정 길게 가져가는 것은 아니라고 판단됩니다.

Q. 일각에선 ‘정보보호 최고책임자의 일반 자격요건’이 너무 낮다는 지적이 나옵니다. 정부는 중소기업을 배려한 조건이라고 설명하는데, 자격요건은 적당하다고 생각하시는지요.

A. 양쪽 의견에 모두 동의합니다. 겸직금지에 해당하는 기업들은 대부분 그 기준 이상의 CISO를 임명하고 있는 것으로 알고 있습니다.

사실, 금융권의 CISO들의 자격요건에 비하면 매우 낮습니다. 그렇다고 높은 자격요건을 내세우게 되면 CISO를 임명할 자원이 부족하다는 기업CEO의 의견이 반영된 것으로 여겨지네요. 중장기적으로, 그리고 점진적으로 자격요건을 높여가야 한다고 봅니다.

Q. 이번 시행령으로 일자리 창출효과도 있을까요?

A. 당장은 CISO의 자리가 필요한 것으로만 보입니다. 그러나 CISO가 기업에서 제대로 업무를 추진하다 보면 추가적인 인력충원이 필요하겠고, 장기적으로는 일자리 창출효과가 발생하는 셈이죠.

또한, 기업 비즈니스를 위한 정보보호 필요성은 기하급수적으로 증가하는 추세입니다. 전문 인력의 수요도 분명 늘겠죠. 대학에 보안 관련 학과도 늘고 있습니다. 현장에 도움이 되는 교육 프로그램을 운영하는 곳에서의 일자리도 늘 것으로 보입니다.

Q. 정부가 이번 시행령 도입 전, 현직에 계신 분들과 소통을 잘했는지 궁금합니다.

A. CISO협의회 입장에서 볼 때, 정부는 이번 시행령을 위해 정말 현장과의 소통에 노력했습니다. 소통을 위한 자리도 많이 마련했죠. 정보보호 업체 및 전문가, 기업입장에서의 CEO간담회 등을 진행한 것으로 알고 있습니다.

Q. 기업에서 CISO가 맡은 업무가 과도한 편이라고 들었습니다. 어떻습니까?

A. 과거 CISO는 유무선 IT시스템에 대한 보안을 주로 맡았습니다. 현재는 완전히 상황이 다르죠. 지금 CISO는 기업전반의 리스크에 대한 책임을 지고 업무를 수행합니다.

그럼에도 개인정보의 귀책을 져야하죠. 개인정보 민감한 데이터를 보호하는 일은 모든 단계(수집, 활용, 폐기 등)에 걸쳐 업무수행의 주체가 비즈니스 현업에 있음에도 그렇습니다. 현재의 법과 제도들이 현실적으로 개정되어야 한다고 생각합니다.

또한, 디지털 미래에 일어날 수 있는 사이버 침해사고에 대응하기 위한 투자와 인력이 확보돼야 합니다. 기존 인력과 예산으로 미래에 대응한다는 것은 엄청난 리스크를 대비하기엔 역부족이죠. 이런 측면을 사회의 리더들이 분명히 인지해 달라고 당부 드리고 싶습니다.