정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망 법)과 시행령 개정으로 13일부터 최고정보보호책임자(CISO) 겸직이 금지됐다.
정보통신망 법 개정에 따라 대기업 등 CISO 겸직 금지 대상 기업은 약 126개사다. 그러나 CISO 단독 보직 체계를 완료한 곳은 대상 기업 가운데 10분의 1 수준에 불과한 것으로 나타났다.
지난해 법 개정 예고 이후 시행까지 시간이 충분했다는 점을 감안하면 저조하다고 평할 수밖에 없다. CISO 겸직금지 제도가 시작부터 유명무실하다고 해도 과언이 아니다.
기업의 정보보호 인식이 안일한 게 아닌 지 의심이 든다. 기업 정보든 고객 정보든 정보 보호의 중요성은 일일이 열거하지 않아도 기업이 누구보다 잘 알 것이다.
정보 위협은 갈수록 교묘해지고 있다. 피해 규모도 점증하고 있다. 자칫 기업에는 치명타가 될 가능성도 배제할 수 없다.
정보보호 최고 책임자의 필요성은 이전부터 제기됐다. 그럼에도 전담 CISO를 선임한 기업이 10%에 불과하다는 사실은 걱정거리다.
다만 올해 첫 시행일뿐만 아니라 적임자 선임에 시간이 필요하다는 점은 공감한다. 정부도 이를 감안, CISO 겸직 금지에 대해 알리는 한편 일정 계도 기간도 두고 독려할 방침이다.
일부 기업은 강화된 CISO 자격 요건에 부합하는 인사를 찾는 데 어려움을 호소한다. 정부는 기업의 핑계로 간주할 게 아니라 융통성을 발휘할 여지가 있는지 고민해야 한다.
무엇보다 중요한 건 기업의 정보 보호 인식 제고다. CISO 겸직 금지 등 법률과 제도로 강제하는 건 한계가 있을 수밖에 없다.
기업이 서둘러 CISO를 선임하고, 역할과 책임을 분명하게 정의해야 한다. 이와 함께 CISO에게 제 역할을 할 수 있도록 권한을 보장하지 않으면 법과 제도에 따른 보여 주기라는 비판을 면하기 어려울 것이다.