“최고정보보호책임자(CISO)와 개인정보보호책임자(CPO)가 협업해 기술과 정책이 잘 조화돼야 한다.”
비슷한 듯 다른 일을 하는 CISO와 CPO는 어떻게 역할을 수행해야 할까. 국내 주요 기업 CISO와 CPO는 18일 여의도 전경련회관에서 열린 `제9회 국제 개인정보보호 심포지엄 & 한-EU 개인정보보호 세미나-프라이버시 글로벌 엣지 2016`에서 방안을 논의했다.
개인정보보호법, 정보통신망법에서 CPO 선임을 의무화했다. 전자금융거래법, 정보통신망법, 정보통신기반보호법은 CISO를 의무적으로 선임해야 할 사업자를 명시했다. CPO와 CISO를 선임한 민간과 공공 사업자들이 크게 늘었다. 하지만, 개인정보보호조직(CPO)와 정보보호조직(CISO) 사이 업무 분장이 법과 현실에서 차이가 있고 이에 따른 협업과 갈등이 발생한다.
최중섭 네오위즈게임즈 CISO는 “기업에서 필요한 소프트웨어를 직접 개발할 때 CISO와 CPO 조직이 기획 단계부터 관여해 개인정보 취급 사항을 논의한다”고 말했다. 네오위즈게임즈 CPO는 법무대외협력실장이 담당한다. CPO 영역은 법적 규제가 많은 탓이다. 최 CISO는 “2012년 네오위즈게임즈 합류 후 사내에 흩어진 보안정책과 지침을 하나로 모았다”며 “개인정보보호조직과 정보보호조직이 협업하는 내용까지 담았다”고 설명했다. 네오위즈게임즈는 CPO·CIO·CISO 등이 참여하는 `정보보호위원회`를 운영해 조직 내 갈등을 최소화하고 협업을 추구한다. 한달에 한번 위원회를 개최한다.
많은 기업이 한 명이 CISO와 CPO를 겸직한다. 김성훈 열심히커뮤니케이션즈 CPO도 CISO 역할까지 수행한다. 김 CPO는 “CPO는 법적 책임이 강하다”며 “CPO와 CISO 조직이 나눠있으면 개인정보 관련 예산을 어느 쪽에 배정해야 하는지 혼란스럽다”고 말했다. 그는 “개인정보보호 문제는 업무 흐름에서 개인되지 않는 곳이 없다”며 “CPO와 CISO가 서로 협력할 수 밖에 없는 구조”라고 덧붙였다.
강은성 CISO랩 대표는 “개인정보조직은 관련 법과 정책을, 정보보호 조직은 기획과 정책을 운용한다”며 “두 조직은 개인정보보호조치라는 교집합 영역을 가진다”고 말했다. 강 대표는 “CISO는 개인정보보호와 관련된 법을 파악하고 CPO는 기술 부분을 보강하고 서로 협력해야 한다”고 강조했다.
김인순 보안 전문기자 insoon@etnews.com
