올해부터 개인정보보호법 뿐만 아니라 개정된 정통망법 그리고 금융권의 IT보안 강화대책 등으로 기업과 금융사들은 더욱 거세질 IT보안 컴플라이언스 압박을 받게 될 전망이다.
 
이에 대한 대책으로 우선 기업들은 자사의 보안을 총괄할 CSO(최고정보보호책임자·Chief Security Officer)를 물색하고 적임자를 임명하는데 주력하고 있다. 실제로 최근 보안업체 임원이나 KISA(한국인터넷진흥원) 주요 인력들이 일반기업의 CSO로 이직을 한 사례도 늘고 있다.
 
기업에서 CSO 임명이 활성화 되는 것은 분명 긍정적인 방향이긴 하다. 하지만 기업들은 CSO의 필요성은 알고 있지만 CSO를 맞을 준비가 안돼 있다는 것이 큰 문제다. 아직 국내 기업들은 CSO에 대한 명확한 R&R(Role & Responsibility·역할과 책임)도 문서로 마련해 두지 않은 상태다. 이런 상황에서 CSO는 사고처리의 희생양으로 전락할 공산이 크다. 기업은 우선 CSO를 영입할 준비가 돼 있어야 한다.
 
◇기업들, 먼저 CSO의 책임과 역할 규정 마련해야=김승주 고려대 교수는 기업에서 CSO 영입시 SLA와 같은 명확한 업무 계약이 이루어져야 한다고 강조한다. 그래야만 CSO가 제대로 실력발휘를 할 수 있다는 것이다.  
 
김 교수는 “얼마전 방통위는 클라우드 서비스의 품질·백업·AS 수준 등을 명확하고 객관적으로 제시하는 ‘SLA (Service Level Agreement) 가이드’를 제정해 클라우드 서비스 업체에게 보급한바 있다”며 “SLA를 통해 클라우드에 대한 사용자들의 막연한 불안감을 해소시키고자 한 것이다. 마찬가지로 기업들이 CSO 개인과 계약을 할 때도 당연히 SLA와 같은 업무계약 기준을 제시해 줘야 한다”는 것이다.  
 
즉 “CSO를 영입하기 전에 당신의 책임은 어디까지고 역할은 무엇이다라는 명확한 가이드를 주지 않으면 CSO는 불안해 질 수밖에 없다”며 “역할과 책임에 대한 명확한 규정도 없이 사고 터지지 않게 하는 것이 CSO의 최대 미션이다. 또 사고 터지면 다 책임져야 한다는 식이라면 CSO는 사고수습용 희생양으로 활용하겠다는 것밖에 안된다”고 지적했다.
 
또 김 교수는 “현재 기업들은 CSO에 대한 명확한 R&R을 마련해 놓지 않은 상황이다. 정부나 관계당국이 CSO 임명을 강조하는 것도 중요하지만 CSO들이 명확한 자신의 역할과 책임을 알고 일할 수 있도록 그 가이드를 기업들에게 제시해 주는 것도 필요하다”고 강조했다.  
 
◇CSO, 연봉은 많은데 오래 버티기 힘들다는 인식 커=한편 모 대기업 보안책임자는 “최근 대기업의 CSO 연봉은 대략 1억 5000만원에서 2억원 사이로 알려져 있다. R&R이 명확하지 않은 상황에서 사고가 터지면 자신이 오래 버티지 못할 것이란 것을 잘 알고 있다. 하지만 3년만 버티면 4억~6억원 정도는 벌 수 있다는 것에 위안을 삼고 있다”고 말했다. 
 
특히 그는 “기업 내부에서 CSO라는 자리는 한직이라는 인식이 강하다. 연봉은 많이 받겠지만 회사를 떠나기 직전에 맡게 되는 직책이라는 인식이 자리잡고 있다”며 “각종 보안관련 법률이 강화되는 마당에 CSO의 역할이 중요해 지고 있음에도 불구하고 풀어야 할 숙제인 것 같다”고 전했다.
 
◇글로벌 기업 대부분 명확한 R&R 준비돼 있어=외국계 기업에 근무하다 최근 국내 모 그룹사 보안책임자로 자리를 옮긴 A씨는 “외국계 기업은 CSO 뿐만 아니라 모든 직원들의 책임과 역할이 명확하게 문서로 규정돼 있다”며 “아무리 대형사고가 터지더라도 자신이 해야 할 역할을 충실히 했다는 것이 입증되면 어떤 경우에도 부당하게 해고되는 일은 없다. 문화의 차이도 있겠지만, 우리나라 기업들은 대부분 R&R이 명확하지 않기 때문에 사고 터지면 최고책임자가 옷을 벗는 식으로 마무리된다. 그리고 그것으로 끝이다. 과연 CSO 한 명 자른다고 해서 문제가 해결될까”라고 반문했다.
 
그는 “그렇기 때문에 조직 내부에서 누구도 보안쪽 업무를 맡지 않으려고 한다. 혹시 맡는다 해도 사고 발생시 어떻게 하면 내가 책임을 지지 않을까를 고민하게 된다. 보안실장들도 그렇고 보안팀장들도 그렇다. 그래서 결국 최고책임자인 CSO가 덤탱이 쓰는 것”이라며 “외국계 기업들은 한 명이 독박을 쓰는 것이 아니라 모든 업무가 유기적이고 수평적인 구조로 자신의 역할과 책임이 명확하게 규정돼 있다. 그래서 어떤 부분의 잘못으로 사고가 발생하면 책임자 처벌 보다는 프로세스의 잘못이라고 인식하고 빨리 그 부분을 개선하고 다시 재발하지 않도록 하는데 주력한다”고 설명했다.(물론 직원 개인의 중대한 잘못이 입증될 때는 해고 혹은 패널티가 주어진다.)  
 
실제로 모 글로벌 기업은 대형 보안사고가 발생했음에도 불구하고 우리나라처럼 보안책임자를 문책성 해고시킨 것이 아니라 오히려 책임자를 임원급 CSO로 승진시킨 경우도 있다.
 
이 기업 관계자의 말에 따르면 “모두 자신의 역할에 충실한 상황에서 발생한 사고였다. 보안책임자가 책임질 상황의 것이 아니었다”라며 “승진을 시킨 이유는 사고가 왜 발생했는지 가장 잘 알고 있는 사람이 필요했기 때문이다. 사고 경험을 바탕으로 다시는 같은 사고가 재발하지 않도록 할 수 있는 사람은 바로 사고를 직접 당해본 당사자이기 때문”이라고 설명했다.
 
또 다른 글로벌 기업 보안책임자도 “글로벌 기업들은 대부분 CSO 뿐만 아니라 모든 개발자나 직원들의 역할과 책임이 문서로 명확하게 나와 있다. 특히 채용 시에도 글로벌기업들은 R&R을 정확히 제시하고 있으며 채용 이후에는 더 자세하게 문서로 제시하고 계약을 하게 된다”며 “예를 들어 MS사이트(본사) 오른쪽 끝에 커리어 부분을 클릭해서 확인해 보라. SECURITY라는 검색으로 검색해 보면 그들이 얼마나 디테일하게 업무별로 R&R을 규정하고 있는지 확인할 수 있을 것이다. 물론 채용 이후에는 더욱 자세한 R&R 지침을 보게 된다. 국내는 아직 이런 규정들이 안돼 있어 리스크를 감수해야 할 CSO 업무를 기피하는 것 같다”고 설명했다.
[데일리시큐=길민권 기자]