정보통신망법 개정으로 13일부터 대기업 등 주요 기업의 최고정보보호책임자(CISO)가 겸직 금지 대상이 됐지만 대상 기업의 90%가 대응에 미흡한 것으로 나타났다. 대부분 기업은 대표, 사업부장 등이 CISO를 겸하거나 개인정보보호최고책임자(CPO)·정보기술책임자(CIO) 등까지 담당하고 있어 새로운 CISO 적임자를 찾아야 하는 실정이다.
13일부터 정보통신망법 개정으로 CISO가 겸직금지 의무 대상이 됐다. 대상 기업 가운데 내부적으로 CISO 단독 보직 체계를 완료한 기업은 10% 수준이다. 대기업, 통신사 등 주요 기업 대부분의 CISO가 비슷한 직군을 겸하고 있다.
과학기술정보통신부 관계자는 “자체 조사 결과 현재까지 CISO 단독 체제를 완료한 기업은 약 10%였다”면서 “CISO 겸직금지에 대해 알리는 한편 향후 계도 기간을 얼마나 둘 것인지를 최종 조율하고 있다”고 전했다.
국내 사이버 침해 사고 피해가 연평균 수조원에 이를 뿐만 아니라 관련 피해 규모도 지속 증가함에 따라 정부는 정보보호 책임·권한이 있는 최고책임자의 필요성을 통감했다. 이미 금융권은 2014년 정보보호 최고책임자 지정신고제도를 시행했고, 후속 시행령 개정으로 CISO 겸직금지 및 자격요건 등을 신설했다.
CISO 겸직이 제한되는 기업은 총 126개사다. 정보통신서비스 제공자는 전년도 말 기준 자산총액 5조원 이상인 자(78개), 정보보호관리체계(ISMS) 인증을 받아야 하는 자 가운데 전년도 말 기준 자산총액 5000억원 이상인 자(48개)가 대상이다. 정보통신서비스 제공자는 홈페이지 등을 통해 기업 정보 제공자도 모두 포함되는 만큼 자산 5조원 이상 기업 대부분이 CISO 겸직금지 대상이다.
게다가 CISO 자격 요건은 △정보보호 업무를 4년 이상 수행한 경력이 있는 사람이나 △정보보호와 정보기술 업무 수행 경력을 합산한 기간이 5년 이상(그 가운데 2년 이상은 정보보호 업무 수행 경력)인 사람으로 지정·신고하도록 하는 등 정보보호 최고책임자 자격 요건을 강화했다.
국내 대기업조차 CISO 겸직 금지에 따른 새로운 임원을 구하는 것에 어려움을 느끼고 있는 것으로 알려져 있다. 마땅한 인물을 찾기 어렵다는 호소도 뒤따른다.
A 제조 기업은 “13일부터 법이 시행되는 것은 인지하고 있지만 아직 CISO가 다른 직책을 겸하고 있다”면서 “법 해석을 어디까지 해야 하는지 법무 등 관련 팀끼리 협의하고 있으며, 계도 기간 안에 이 문제를 해결하려 한다”고 말했다.
B 기업은 “단순히 보안 인력을 뽑는 것이 아니라 임원급을 지정해야 하는 만큼 신중할 수밖에 없다”면서 “현재 다양한 인력을 추천 받고 있는 등 준비를 하고 있다”고 밝혔다.
국내 주요 통신사도 마찬가지다. SK텔레콤은 현재 유영상 MNO사업부장이 CISO를 겸직하고 있다. CISO 분리는 결정했지만 새로운 임원은 아직 정하지 못했다. KT와 LG유플러스는 CISO 겸직 문제는 해소됐지만 CPO를 새로 선임해야 하는 숙제가 남았다.
과기부와 한국인터넷진흥원(KISA)은 현재 인력 부족 문제 등을 고려해 향후 실태 조사를 실시해서 현황을 파악하고 CISO 커뮤티니 구성 및 교육 등으로 역량 강화에 나설 방침이다.
KISA 관계자는 “CISO 핫라인을 통한 실시간 침해 사고 정보 및 대응 방안을 공유하고, 정보보호 교육도 한다”면서 “올해 말까지 기업 대상으로 CISO 지정 신고 이행을 독려하는 한편 2020년 CISO 운영 현황 실태 조사로 현황 파악에 나설 예정”이라고 말했다.
정영일기자 jung01@etnews.com