세계 권위의 국제기구에서 보안을 총괄하는 한 임원은 한국에서 최고정보보호책임자(CISO)를 채용한다는 이야기를 듣고 대형 금융사와 수차례 접촉했다. 자신이 해외에서 익힌 금융보안 노하우를 한국에 전수시키고 싶었고 남은 노년을 가족과 함께 한국에서 보내고 싶었기 때문이다.
다수의 국제 보안 자격증을 보유하고 보안 관련 업무를 총괄한 경험이 많아 큰 문제없이 채용될 줄 알았다. 하지만 최근 그는 한국행을 포기했다.
이유는 두 가지다. 해당 금융사가 부장 직급보다 못한 연봉을 제시했고, 보안사고가 터질 경우 임기를 보장할 수 없다는 ‘각서’를 요구했기 때문이다.
그는 “국내 금융사가 CISO 인력 구하기가 힘들다고 말하지만 실상은 최소의 비용으로 보안 사고 책임을 질 수 있는 허수아비를 찾고 있는 것”이라고 강한 어조로 비판했다.
전 세계적으로 CISO를 비롯해 보안 전문가 구인이 크게 늘고 있지만, 한국은 CISO 전문 인력 영입에 아무런 의지가 없다는 것이다. 그는 CISO 연봉이 크게 상승할 것이라는 언론보도도 ‘과대광고’라고 꼬집었다.
CISO로 선임된 한 은행 임원은 회사 출근하기가 죽을 맛이다. CISO란 직함을 받았지만 평소 하던 전산업무는 동일하고, 오히려 일만 몇 갑절 많아졌다. 독립된 경영 보장을 약속했던 금융당국의 약속도 공허한 메아리에 불과했다.
이 임원은 한국 금융시장에서 CISO가 독립적으로 할 수 있는 업무는 ‘프린터 출력’외에는 없다고 개탄했다. 그는 “경영진에 일일보고를 하고 있는 상황”이라며 “보안 업무를 한 경험이 없어 해당 부서에서 무능력하다는 말까지 들어 윗선에 다른 부서 배치를 요청했다”고 말했다.
◇CISO의 또 다른 말, OTP(?)
금융업계에서 CISO자리가 회피 1순위로 떠올랐다. CISO를 빗대 OTP(One Time Prison)라는 말까지 나왔다. 그대로 해석하면 ‘한번 사고 터지면 감옥을 가는 사람’ 정도다.
금융당국은 CISO의 독립적 권한 부여와 임원급 격상이라는 카드까지 내걸고 금융사의 변화를 기대하고 있다.
하지만 보안 투자를 오히려 줄이고 있는 금융사에게 CISO는 계륵에 불과하다. 어쩔 수 없이 따라가는 시늉만 낼뿐 관련 투자나 조직 개편은 고사하고 임원 자리 늘리기 용으로 변질되고 있다.
이러다보니 금융회사들은 인사팀이나 경영지원팀, 심지어 지방 지점장까지 불러들여 CISO 자리 채우기에만 급급한 실정이다.
한 외국계 은행 CISO는 “세계 100대 뱅크에 이름을 올린 한국 대형 금융사조차 CISO 투자에 소극적”이라며 “실제로 CISO조직을 만들어도 임원 1명에 직원 2명 정도 붙여주는 게 전부”라고 분위기를 전했다.
비현실적인 보수 문제도 언급했다. 그는 “해외 글로벌 금융사의 경우 CISO 연봉은 50만달러 이하가 거의 없다”며 “최근 CISO 채용을 진행 중인 A은행과 B보험사는 약 1억원 미만으로 연봉을 책정했다”고 지적했다. 외국계은행 스탠다드차타드와 씨티의 경우 시큐리티 분야만 약 30여 업무로 보안조직을 세분화해 운영 중이다. 보안 전담 부장 인력만 7~8가지 직위가 있다.
◇‘권한’ 주고 ‘책임’ 물어야
CISO가 OTP라는 꼬리표를 떼기 위해서는 ‘분명한 권한’이 주어져야 한다. CIO와 달리 정책 기능의 컨트롤타워 역할을 하는만큼 IT인력의 약 20%를 전담인력으로 둬야 한다는 말까지 나온다. 현재 국내 CISO는 군대로 치면 ‘보급대’만 있을뿐 이를 지원하는 수송대, 의무대가 없어 그야말로 ‘식물조직’ 상태다.
금융권 CISO를 제안 받은 한 보안전문가는 “막상 금융사와 논의를 하다보니 내부에서 할 수 있는 일도, 조직도 전혀 없었다”며 “폐쇄적인 금융권 내부 인력이 외부 전문가를 희생양으로 만들어 내몰기 딱 좋은 환경”이라고 말했다. 그는 “이번에 이직을 포기하고 금융권 내 CISO제도가 자리 잡는 시기를 기다린다”고 덧붙였다.
이미 CISO 도입은 수년째 공회전이다. 2011년 현대캐피탈 고객 정보 유출 사태, 같은 해 농협 전산장애 사고를 거치며 유사사고 방지를 위해 CISO제도가 부상했다. 금융당국은 ‘금융회사 IT보안강화 종합 대책’을 내놨고, 핵심 대안으로 CISO 지정 의무화를 명시했다.
2013년 3·20사이버테러 발생으로 CISO와 CIO 겸직 금지를 토대로 한 금융전산 보안 강화 종합대책이 나왔고, 겸직금지를 명문화하기 위해 전자금융법 개정안이 국회에 계류 중이다.
금융권은 선결과제로 CISO를 임원급으로 격상시키는 것이 우선이라고 입을 모은다. 그래야만 독립된 보안 경영과 예산 확보가 지금보다는 나아지기 때문이다. 업무 전담제를 도입하고 겸직으로 인해 발생했던 업무 범위를 집적화하는 작업도 필요하다는 지적이다.
한 은행 CISO는 “직함만 받았을 뿐 보안 교육, 정책 수립 등 CISO가 정작 해야 할 업무는 손도 못 대고 있는 실정”이라며 “지금 당장 이러한 부분이 정리 되지 않으면 CISO 무용론이 머지않아 나오게 될 것”이라고 경고했다.
길재식기자 osolgil@etnews.com, 김인순기자 insoon@etnews.com