정부가 연 매출 8000억원 이상의 대기업에 대해 정보보호관리책임자(CISO) 선임을 의무화하는 방안을 검토 중이다.
최근 일어나는 정보보안 사고를 보면 꼭 필요한 제도다. 그러나 실제 기업 현실을 들여다 보면 과연 이러한 제도가 제대로 정착될지 의문이 생긴다. 이미 정부가 이와 유사한 방안을 발표했다가 조용히 사라진 선례가 있기 때문이다. 지난해 5월 금융위원회는 금융권에서 해킹 사고가 빈번하게 발생하고 이 문제가 사회 전반의 문제로 확산되자 금융사에 최고보안책임자(CSO) 제도 도입을 의무화하겠다고 했다. 그러나 이에 대해 금융사들이 반발하자 더 이상 아무런 진전 없이 논의 자체가 사라져 버렸다.
이번에 방송통신위원회가 발표한 CISO 관련 정책이 앞서 추진한 금융위의 정책과 별다를 게 없다는 점에서 우려의 시각이 높다. 무엇보다도 현실성이 떨어진다는 점이 지적된다. 방통위가 CISO 선임을 의무화하겠다고 밝힌 대상인 연 매출 8000억원 이상의 대기업 중에는 매출액 규모는 크지만 정보화 부문이 크지 않거나 고객 정보가 거의 없는 기업들도 많다. 금융사, 통신사, 인터넷, 미디어 기업 등을 제외한 제조업체는 더욱 그러하다.
이러한 기업에는 현재 CISO는커녕 정보화를 총괄하고 있는 CIO도 없는 경우가 많다. 지난 7월 CIO BIZ+가 조사한 결과 국내 상위 14개 그룹 계열사 중 CIO 직제를 보유한 기업은 40여개사에 불과했다. 이 중 삼성그룹 계열사를 제외하면 30여개밖에 없다. 14대 그룹의 전 계열사를 합치면 300여개에 이른다는 점을 감안하면 CIO를 보유하고 있는 그룹 계열사는 매우 적은 편이다.
그렇지만 이들 기업 중 상당수는 매출액 8000억원이 넘는 규모다. 실제로 우리나라 기업 중 연 매출액이 8000억원을 넘는 기업은 2008년 기준으로 243개다. 이 중 11조원 규모인 대우인터내셔널, 6조원 규모인 여천NCC, 5조원 규모인 LG상사 등 수많은 대기업이 CIO를 보유하고 있지 않다.
이런 가운데 정보화 중 특정 영역인 정보보호만을 담당하는 임원을 둔다는 것은 기업 입장에서는 현실적으로 쉽지 않은 얘기다. 더욱이 IT조직 자체도 규모가 작은데, 정보보호를 담담하는 몇 명을 관리하는 임원을 별도로 선임한다는 것은 조직 운영 면에서도 어려운 점이다. 그렇다고 CISO를 임원급이 아닌 부장급으로 둔다면 임원 회의에도 참석하지 못하는 최고책임자가 돼 전사 프로세스 및 인력에 적용할 보안 정책을 실행하는 데 한계를 겪게 될 것이다. 현재 정보보호 문제가 매우 민감한 은행권에도 별도로 CISO를 두고 있는 곳은 없다. 대부분 CIO가 이를 겸직하고 있는 상황이다.
국민에게 안정감을 주기 위해 정책을 빨리 발표하는 것도 중요하겠지만, 그 정책이 실제로 실행될 수 있도록 잘 다듬어진 상태에서 발표를 하는 것이 보다 더 중요하지 않을까. 그러기 위해 정부는 기업의 목소리를 더 많이 들어보고 현실에 적용이 가능한 최선책을 찾아야 한다. 매출액 같은 단순 기준이 아닌, 정보보호의 필요성이 높은 기업부터 적용해 나가는 것도 하나의 방안이 될 수 있다. 설익은 정책에 기업들만 애를 먹는 경우가 많다. 이번 방통위의 CISO 의무화 정책도 그런 사례가 되지 않기 바란다.
신혜권기자 hkshin@etnews.co.kr