한국사이버감시단(이사장 공병철)은 지난 11월 10일 정보보호최고책임자 자격검정 제 11회 실기시험을 마쳤으며, 정보보호산업 현장에서 활동하는 최고전문가 CISO를 총 112명 배출했다고 밝혔다.

지난 2018년 11월 24일 제1회 시행 이후 총 11회가 시행되면서 다양한 분야의 현장 최고전문가들이 참여하고 있으며, 응시자들의 직업분포도를 보면 보안업계 47명, 정보보안업체 80명, 군인 31명, 공공기관 17명, 대기업 5명, 교수 5명, 교육계 3명, 외국계 2명, 금융계 1명, 의료계 1명 등이 참여하였다.

합격자들의 자격증 소지 현황을 살펴보면 ISO27001국제인증심사원, ISMS-P 국내인증심사원, CISSP, CISA, 정보보안기사, 정보처리기사 등을 대다수 소지하고 있어서 최고전문가로써 CISO 자질이 충분히 갖추고 있음을 확인할 수 있었다.

특히, 군인 참여 현황을 살펴보면 준장 2명, 대령 5명, 중령 5명, 소령 8명, 원사 5명, 기타 6명 등 대부분 현역 육군이 많았다.

정보보호최고책임관리사(CISO|CQ)는 한국직업능력개발원(제 42516호)와 과학기술정보통신부(제 2018-004239호) 등록된 민간자격검정 시험으로, 조직의 정보 자산을 안정적으로 운영하는 데 필요한 관리적, 물리적, 기술적 보안 대책 수립과 안정적으로 운영하는데 필요한 지식 능력을 갖추었는지를 평가하고, 위험관리에 기반을 둔 정보보호 전략 및 정책, 활동 대책 도출, 내부 보안감사 수행 등 정보보호를 위한 자원을 확보하며 정보보호의 성과를 검토하고 관리하는 실무업무를 수행하는 최고전문가를 일컫는다.

정보보호최고책임관리사 자격검정은 NCS기반 정보보호거버넌스구현(8수준), 정보보호 정책기획(7수준), 보안 위험관리(7수준), 정보보호 계획수립(6수준), 내부보안감사 수행(7수준) 등 6개의 NCS학습모듈에 근거로 두고 있으며, 정보보안 유사 직무분야에 10년 이상의 경력자가 응시대상이 된다.

정부는 지난 2018년 6월 정보통신망법 개정을 통해 자산총액과 매출액 기준에 따라 임원급 CISO 지정 신고 의무화가 시행되었다. 2020년부터는 ‘중기업’에 해당하는 중소기업도 홈페이지를 운영할 경우 정보보안 업무 경력 등을 보유한 ‘정보보호 최고책임자(CISO)’ 지정·신고 의무를 이행해야 한다. 지난 8월 과기정통부에 따르면 CISO 지정신고 대상 약 3만5천여개 기업 중 60% 이상인 2만여개 기업이 CISO를 신고했다고 밝혔다.

CISO 겸직금지 의무 대상은 자산총액 5조원 이상 정보통신서비스 제공자와 정보보호 관리체계(ISMS) 인증을 받아야 하는 자산총액 5천억원 이상인 정보통신서비스 제공자 기업은 현재 총 144곳이며, CISO 지정, 신고 의무를 위반할 시 3천만원 이하의 과태료를 부과되지만, CISO 신고대상인 기업들은 코로나19 등의 이슈로 기업 경영난과 법률에서 근거한 자격조건에 맞는 전문가를 구하기 어려워서 신고를 못 하고 있다고 호소하고 있다.

지난 10월 7일부터 실시되는 국정감사에서는 공공기관이 보유한 공공 웹사이트 1천210개 사이트 중 583개 사이트가 보안에 취약한 HTTP 사이트로 나타났으며, 지자체를 경유해 중앙 부처 시스템까지 해킹 위협이 있을 수 있다고 지적되었다.

한국지역정보개발원은 17개 시도 및 226개 시·군·구 정보시스템에 대한 사이버 위협을 실시간으로 보안관제를 담당하고 있으며, 지방자치단체를 대상으로 한 해킹 시도가 지난 2015년 기준 8천797건 대비 약 2.5배까지 증가, 작년 기준 2만2천219건 등 최근 5년간 매년 늘고 있으며 이 기간 동안 보안 사고도 13건, 중앙행정기관 대상으로는 34건의 보안 사고가 발생했다고 밝혔으며, 국민 개인정보, 민감 정보를 많이 보유하고 있는 정부 기관들의 경우 정보보보호를 전담할 조직 자체가 없는 부처들이 많은 가운데 업계에서는 민간에서 유효한 CISO 제도 등이 정부부처·공공기관에 적용돼야 한다는 주장이 제기되고 있다.

정보보호 최고책임자 법률적 근거는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제45조의3(정보보호 최고책임자의 지정 등) 제1항에 의거 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위해 임원급의 정보보호최고책임자를 지정하고 과학기술정보통신부장관에게 신고하고, 제3항에 의거 지정 및 신고 된 정보보호최고책임자는 다른 업무를 겸직할 수 없도록 명시하고 있다.

또 전자금융거래법 제21조의2(정보보호최고책임자 지정) 제1항에 의거 금융회사 또는 전자금융업자는 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 총괄하여 책임질 정보보호최고책임자를 지정하며, 제3항에 의거 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자의 정보보호최고책임자는 다른 정보기술부문 업무를 겸직할 수 없도록 명시하고 있다.

한국사이버감시단 공병철 이사장은 “CISO는 정보보안을 위한 기술적 대책과 법률 대응까지 총괄 책임지는 임원을 말한다. CISO는 정보보호의 3요소인 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 측면에서 중요정보자산에 대하여 기술적, 관리적, 물리적 운영상의 위험 관리와 개인정보 유출로 인한 민사소송, 임직원에 대한 형사처벌 등 정보보호 거버넌스 및 정보보호 전략이 조직의 궁극적인 목적 달성에 어떤 영향을 줘야 하는지, 잠재적 위험관리가 무엇인지를 파악하여 IT 보안전략을 수립 및 운영해야 한다”고 밝혔다.

또 “특히, 국방부 정보통신 및 전산분야 전역 장교들에 대한 활용도를 검토할 필요가 있다. 국가가 20년 이상 양성한 최고전문가를 CISO로 전환하여 준다면, 민간·정부부처·공공기관에 부족한 CISO를 원할히 공급할 수 있는 대안이 될 수도 있다”고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★