[ET칼럼]최고정보보호책임자(CISO)가 땜빵용인가

사상 최악의 신용카드 개인정보 유출사건으로 온 나라가 시끄럽다. 카드사별 정보 유출 규모는 총 1억 건이 넘는다. 4900만 명에 육박하는 우리나라 인구수를 놓고 보더라도 1인당 평균 2곳 이상에서 개인정보가 털린 셈이다. 믿고 맡긴 개인정보를 외부 용역 직원이 손쉽게 수집했다는 점에서 금융사는 허술한 정보 관리 책임을 피할 수 없다.

정부와 금융사는 “2차 피해는 없다”고 단정했지만 2차 피해가 발생했다는 주장이 꼬리를 물고 있다. 우연의 일치였는지 설 연휴에는 불법 게임 도박 스팸 문자가 기승을 부렸다.

지난 4일에는 원희룡 전 새누리당 의원이 후배 변호사들과 KB국민카드·롯데카드·농협중앙회 등 3개 카드사와 금융감독원·코리아크레딧뷰로를 상대로 원고 피해자 1명당 100만원씩 모두 5억여원의 손해배상을 청구했다. 개인정보 유출 피해자의 손해배상 소송 움직임은 더욱 확산할 기세다.

급기야 황우여 새누리당 대표가 카드사 개인정보 유출 사태와 관련해 피해자들의 주민등록번호 변경을 적극 고려하겠다고 밝혔다. 앞서 신제윤 금융위원장은 불법으로 취득한 고객 정보를 이용하다 적발되면 1000억원대의 징벌적 과징금을 물리겠다고 엄포를 놓았다.

당장 발등에 불이 떨어진 카드사를 포함한 금융지주사들이다. 정보보호를 책임질 임원인 정보보호최고책임자(CISO) 모시기에 나섰다. 그런데 CISO를 모시려는 금융사의 태도가 한심하다. 1961년~1965년생 임원경력을 요구하면서 연봉 1억원 남짓의 계약직을 제안했다는 것이다. CISO를 임시방편으로 활용하겠다는 것이나 마찬가지다. 이마저도 국내에는 전문가 찾기가 힘들어 해외로 레이더를 넓혔다고 한다. 이름만 대면 누구나 알만한 S그룹과 K그룹 계열 금융사 이야기다. 1000억원대 과징금은 걱정하면서 인재채용에 돈을 아끼는 모순된 모습이다.

국제무대에서 제대로 된 임원급 CISO는 연봉이 15억~20억원이다. 50억원 이상도 많다. 물론 해외에서 활동하는 CISO는 실력과 책임이 뒷받침돼야 한다. 검증된 자격증을 보유해야 함은 물론이고 프로젝트 관리, IT 위험관리, IT 국가 거버넌스, 국제표준에 해박해야 하고 20~30년의 정보보호 업무 경력이 필요하다. 시니어 자격증만 해도 ARM(Associate in Risk Management), CISM(Certified Information Security Manager), CHS(Certified in Homeland Security), CLSS(Certified Lodging Security Supervisor) 등을 포함해 30여종에 이른다.

해외에선 최고정보관리책임자(CIO)와 CISO를 분리하는 게 당연하다. 금융사라면 CISO는 기본이다. 뿐만 아니라 CIO와 CISO는 대등한 포지션이다.

CISO는 어려운 시기를 잘 넘기는데 활용하고 버리는 땜빵용이 아니다. 국내에서도 CISO 제도가 확립돼 CISO가 상시기구로 존재해야 한다. 정부가 추진 중인 CIO와 CISO 분리는 하루속히 이뤄져야 한다. 아울러 CISO 양성도 서둘러야 한다. 지금처럼 CIO와 CISO를 겸임하는 체제에서는 아무것도 안 된다. 국제화를 외치면서 전문가를 홀대하는 사회에서는 전문가가 발 디딜 곳 없다. 이런 상황에서 외국 그룹 CISO 인터뷰 중인 국내 전문가가 땜빵용 저임금 계약직을 선택할지 의문이다.

주문정 논설위원 mjjoo@etnews.com