정보보호최고책임자(CISO) 전성시대가 열렸다. CISO는 기업과 조직 정보보호관리체계를 수립하고 운영한다. 취약점을 분석·평가하고 사전에 정보보호대책을 마련하는 총책임자다.
7일 관계부처와 업계에 따르면 올해를 기점으로 기업과 정부에 CISO 직위가 대거 신설됐다.
정부는 부처 33곳에 사이버 보안 인력 37명을 보강했다. 각 부처 정보화담당관실에서 정보화 개발 업무를 수행하던 정보보호 기능을 전담기구나 인력으로 분리했다. 주요기반시설을 다수 관리하는 미래창조과학부와 산업통상자원부, 국토교통부는 ‘정보보호담당관’을 신설했다. 정보보호담당관은 민간에서 CISO와 같은 역할이다.
미래부는 곽병진 과장, 국토부는 김용옥 과장, 산업부는 전병근 과장이 각각 정보보호담당관에 임명됐다. 직제 개편은 지난해 12월 한국수력원자력 원전자료 유출사고 발생 후 마련한 ‘국가사이버안보 태세 강화 종합대책’ 일환이다.
민간 분야 정보보호 인력보강 속도는 더 빠르다. 미래창조과학부가 지난해 CISO 신고 의무화 제도를 시행한 후 지난 10월까지 4100여개 기업이 CISO를 지정했다. 정보통신서비스 제공자 중 정보보호관리체계(ISMS) 인증 의무대상자, 상시종업원 수가 1000명 이상 기업은 신고 대상이다. 미래부는 전국에 CISO 핫라인도 개통했다.
금융권에서는 지난 4월 16일부터 CISO IT직책 겸직 금지 관련 규정을 시행했다. 여전히 최고정보책임자(CIO)와 CISO를 겸직하는 곳이 많다. 점차 개선될 것으로 보인다.
그룹사 보안도 강화 중이다. 삼성그룹은 연말 인사에서 보안 임원을 늘렸다. 삼성SDS는 오영석 부장이 통합보안센터 보안기획팀장(상무)으로 승진했다. 삼성그룹은 지난해부터 삼성카드, 삼성생명, 삼성증권에 연이어 CISO를 선임했다. 성재모 삼성카드 CISO는 금융보안연구원 정보보안본부장, 한국인터넷진흥원 해킹대응팀장을 역임한 전문가다.
CISO가 늘었지만 권한과 예산부족 문제는 해결과제다.
이홍섭 정보보호최고책임자협의회장은 “정부와 기업 CISO 수가 늘었지만 어떤 역할과 권한을 줄지 합의되지 않는 곳이 많다”며 “실질적 예산과 인원 등 투자가 선행돼야 한다”고 말했다.
송정수 미래부 정보보호정책관은 “기업 정보보호 대응능력은 CISO 지정만으로 담보되지 않는다”며 “CISO가 기업과 기관에서 컨트롤타워 역할을 하는 지원 정책을 고민 중”이라고 밝혔다.
구태언 테크앤로 대표변호사는 “조직체계에서 CISO는 임원급이며 CIO조직은 분리돼야 한다”면서 “CISO와 CIO가 동등한 위치에서 견제하는 구조가 바람직하다”고 설명했다.
< 정보보호 최고책임자 지정·신고 현황 > (’15.10월말기준, 단위: 개)
자료:미래부
김인순기자 insoon@etnews.com