[데스크라인]누구를 위한 CISO인가

CISO(Chief Information Security Officer). 우리말로 정보보호최고책임자다. 말 그대로 고객과 기업의 자산인 정보를 보호하는 데 최고 책임을 가진 자리다.

어느 산업이나 정보 보호가 중요하지 않을 리 없다. 핵심기술 정보일 수도 있고, 영업비밀일 수도 있다. 더 중요한 고객정보일 수도 있다.

CISO가 새삼 부각되는 이유는 뭘까. 정보통신기술(ICT) 기반 사회가 된 21세기는 정보가 중요한 자산이기 때문? 교과서에 나오는 아름다운 구절일 뿐이다.

실상은 그만큼 보안사고가 많이 일어난다는 얘기다. 해커가 PC에 심어놓은 바이러스 때문에 당신이 부지불식간에 좀비 PC 보유자가 된다. 당신 회사의 홈페이지와 서버는 하루에도 수차례 분산서비스거부(DDoS) 공격을 받고 있고 고객정보는 해커에 넘어간 지 오래다. 당신이 인식하게 될 때는 이미 사고는 수습하기 어려운 시점이다. 아무도 모르는 사이 수십만, 수백만의 보안사고는 진행 중이다.

금융권에서 CISO제도가 화두가 된 것도 바로 사고 때문이었다. 수억건의 고객정보가 털리고 나서야 부랴부랴 만든 대책의 핵심이었다. 자본주의 최고의 자산인 ‘돈’을 다루는 금융회사에서 고객정보와 고객의 거래정보가 유출된다는 것은 업의 본질인 ‘신뢰’를 스스로 망가뜨리는 행위기 때문에 강도가 높을 수밖에 없다.

문제는 ‘급히 먹는 밥에 목이 멘다’고 제도 마련에서부터 도입, 의무화 규정까지 일사불란하게 움직였지만 본지가 조사한 금융권 CISO제도 운용 현황 결과는 상식 밖이었다.

CISO 지정제도가 시행된 지 2년이 지났지만 50여개 금융사 중 17개사(2014년 3월 말 기준)만 임원급 CISO를 운용 중이고, 금융공기관 20여곳은 제도 자체에 대해 임직원이 인지하지 못하거나 인사담당자가 겸임하는 등 ‘무늬만 CISO’가 허다했다.

CISO가 있는 금융사들도 아래 한두 명 직원만 두고 다른 업무를 함께 처리하는 등 정부의 감독만 피하는 수준에서 운용하다 보니 제 기능을 하지 못하는 곳도 많았다.

금융당국이 총자산 2조원, 종업원 300명 이상인 금융회사는 CISO를 임원급으로 선임하도록 의무화하고 최고정보책임자(CIO) 업무를 겸직하지 못하도록 하는 법안을 만들었지만 현장에서는 유명무실했다.

상황이 이쯤 되자 보안전문가들 사이에서는 ‘금융권 CISO는 총알받이’라는 뼈아픈 우스갯소리가 나온다. 요건만 맞춰 눈가림하고, 사고가 나면 책임을 묻는 자리라는 의미다.

도대체 어디서부터 잘못된 걸까. 금융권 관계자들은 “당국이 대책마련에 급급해 현장의 상황을 반영하지 않은 이상론을 도입했기 때문”이라고 지적한다. 임원급으로 앉힐 만한 사람도 찾기가 어렵고 독립된 업무를 부여하기에는 비용부담도 크고 인력 운용이 적절치 않다는 설명이다. 몇 년 안 가 CISO제도가 유명무실해질 수 있다는 전망도 나온다.

그러나 이는 근시안적 사고다. 해외 기업들의 CISO 운용 현황만 봐도 잘 알 수 있다. 증시, 뱅킹 등 금융서비스는 국민생활 인프라다. 신뢰와 안정성이 생명이다. CISO를 단기적인 비용 관점이 아닌 미래를 위한, 생존을 위한 투자의 관점에서 바라봐야 한다는 지적이 나오는 것도 이 때문이다.

CISO는 금융회사의 지속가능한 경영, 그 자체라는 말을 허투루 듣지 말고 대안을 다시 모색해야 할 때다.

정지연 경제금융부장 jyjung@etnews.com