CISO 지정 의무화…기업들 정보보안성 높일까

[이부연기자] 정보보호 최고책임자(CISO) 지정이 의무화됐다. 최고정보책임자(CIO)와 겸직이 금지되면서 3천곳에 이르는 사럽자들이 CISO를 따로 두어야 하는 시대를 맞이하게 됐다.

지난 29일 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 개정으로 CISO 지정·신고제가 본격 시행됐다. 신고 대상 기업들은 앞으로 90일 이내에 CISO를 지정해 각 지방전파관리소에 방문하거나 미래부 전자민원센터를 통해 신고해야 한다. 이번 CISO 지정 신고제 시행으로 CISO를 지정해야 하는 기업은 2천500~3천곳에 이를 것으로 추산된다.

신고 대상은 ▲유해사이트 차단 소프트웨어를 개발 및 보급하는 사업자 ▲정보통신서비스 부문 매출이 연 100억원 이상이거나 일평균 100만명 이상 방문하는 정보보호 관리체계 인증(ISMS)을 받아야 하는 사업자 ▲상시 종업원수가 5명 이상이거나 전년도말 기준 직전 3개월간의 사이트 하루방문자수가 1천명 이상인 웹하드 사업자 등이다.

또 ▲온라인쇼핑몰 등 통신판매업자로서 상시 종업원수가 5명 이상인 사업자 ▲인터넷컴퓨터게임시설제공업을 영위하는 자에게 음란물 및 사행성게임물 차단 프로그램을 제공하는 사업자 ▲상시 종업원수가 1천명 이상인 사업자도 포함된다.

◆금융권 이미 시행 중…임원급 아니면 한계 지적도

이미 금융회사는 CISO를 임원급으로 의무적으로 선임토록 하고 있다. 2011년 농협 해킹 사태, 올초 카드사들의 대규모 정보유출 사건 등이 지속적으로 발생하면서 타격을 입은 금융권이 전자금융거래법 개정을 통해 총자산 2조원, 종업원 300명 이상인 금융회사는 의무적으로 CISO 임원을 두도록 한 것.

하지만 아직까지 CISO를 임원급으로 배치한 금융기업은 3곳 중에 1곳에 불과한 상황이다.

업계에서는 이번 지정신고제가 CISO를 임원급으로 격상시키지 않아 효력의 실효성에 의문을 품고 있다. 임원급이 아니라면 기업 내에서 의사결정에 목소리를 내거나 보안 강화 역할에 제한을 받을 가능성이 크기 때문. 권한이 분명하지 않고 CISO라는 직책만이 주어진다면 그 역시 한계가 클 것이라는 시각도 존재한다.

보안업계 관계자는 "지정 신고제 시행이 의미가 있다하더라도 CISO 자리만 하나 만든 것에 불과하다면 정보보호에는 실질적인 효과가 크지 않을 수 있다"며 "이미 도입한 금융회사들 사례에서도 인사나 경영지원팀 관계자 등 비전문가로 CISO 자리를 채우는데 급급한 모습도 나타난다"고 말했다.

글로벌 IT 기업 오라클의 메리 앤 데이비슨 CSO(최고보안책임자)는 최근 방한해 "보안문제는 최고책임자에게 책임에 맞는 지위와 권한을 보장해줘야 한다"면서 "최고보안책임자(CSO)와 CISO의 의견을 기업들이 적극적으로 반영하는 풍토가 보안력을 높일 수 있게 한다"고 말했다.