[보안컬럼]CISO 전담제 시행과 정보보호 생태계 도약

[보안컬럼]CISO 전담제 시행과 정보보호 생태계 도약

한국의 보안 생태계는 어떻게 세계 5위 수준에 도달할 수 있었을까. 20년 전 정보보호 제품 인증제 도입 초기를 생각해 본다.

처음에는 국내 보안 솔루션 성능 및 기능이 외산 제품과 비교해서 매우 제한돼 있었다. 외산 제품과 1대1로 싸움이 되지 못할 수준이었다. 그러나 백도어 우려 때문에 보안 제품 인증제도가 시행됐고, 국내 보안 제품을 공공기관에 납품할 기회를 얻었다. 이후 10년 동안 기능과 성능 개선을 위한 축적의 시간을 꾸준히 보냈다.

축적의 시간을 보낸 후 일본과 동남아에 외산 제품을 제치고 품질성능평가시험(BMT) 1등을 차지하고 100억원 규모를 수출하는 보안 기업이 탄생했다. 20년 전에는 상상도 못할 일이다.

지금 한국의 보안 산업은 미국, 중국, 이스라엘 다음으로 세계 5위 안팎의 수준이라고 말할 수 있을 정도로 성장했다.

이렇듯 초기 유치산업 육성에 인증제도가 중요한 역할을 했다. 만일 초기에 국내 보안 업체에 글로벌 보안 업체와 1대1로 맞대결을 하라고 했으면 현재 수준의 생태계 성장은 불가능했을 것이다.

보안 생태계의 또 다른 도약을 위해서 필요한 한 가지는 무엇일까. 현재 국내 보안 생태계는 더 치고 나가느냐 이대로 주저앉느냐라는 절체절명의 위기 상황에 놓였다. 국내 사이버 정보보호 시장은 3조원을 넘는 규모로, 글로벌 보안 100조원 시장의 2%를 조금 넘는 수준이다.

자금 투자 측면에서 미국 기업과 차이가 있다. 국내 시장 장악을 위한 글로벌 제품의 저가 공세가 심해지고 있다. 글로벌 기업이 5년 동안 저가로 국내 시장에 보안 제품을 뿌리면 국내 기업은 더 이상 투자할 여력이 없어진다. 이렇게 국내 경쟁자를 죽이고 시장을 독점한 후 차츰 가격을 올리더라도 대안이 없기 때문에 끌려다닐 수밖에 없다.

글로벌 회사는 국내 기업이 좀처럼 따라가기 어려운 글로벌 위협 데이터베이스(DB)의 공유 등을 무기 삼아 국내 보안 업체를 압박한다. 보안 전문성이 2% 부족한 의사결정권자의 외산 제품 맹목 선호도가 여전히 높은 것도 사실이다.

국내 보안 생태계 성장을 위해 꼭 실현돼야 할 일은 '임원급 최고정보보호책임자(CISO) 전담제'다. 아무리 실무자가 열심히 일하더라도 윗분들이 평가해 주지 못하면 노력은 빛나지 못한다. 보안만을 생각하는 임원이 아니면 해당 임원은 2%도 보안에 관심이 없다. 비록 자신이 CISO직을 겸하고 있지만 승진하고 인센티브를 받는 이유에는 보안이 없다.

개인정보 보호와 기밀 데이터 보호 이슈를 대표이사에게 직접 보고하는 직책이 조직에 없다면 보안 종사자의 비전은 앞으로도 요원하다.

과거 큰 개인정보 유출 사고가 발생한 회사는 임원급 CISO전담제 시행을 선도했다. 이후 보안 투자가 늘고, 인력을 충원하며 성장하는 모습을 보였다. 보안만을 생각하는 임원이 탄생했기 때문이다.

이러한 맥락에서 지난달 13일부터 시행된 정보통신망법 개정안 내 자산 5조원 이상 기업의 임원급 CISO전담제 시행은 보안 생태계 도약에 핵심 역할을 할 것으로 기대된다.

일부에서 과도한 규제가 아니냐고 주장한다. 일면 맞는 말이다. 민간 시장 경제 활동은 대체로 최대한 자율에 맡기는 것이 바람직하다. 정부 규제는 대부분 발목 잡기가 되기 쉽다. 향후 모든 비즈니스가 정보기술(IT)화되는 건 명확한 일이다. 경쟁력도 IT가 중요한 역할을 한다.

그런데 보안 투자를 시장 자율에 맡기면 대체로 뒤처진다. 큰 사고가 발생해야 투자로 이어지는 상황을 20년 동안 반복했다.

한 번 보안 투자 효과를 체험한 조직은 투자 수준을 계속 유지하려 한다. 한 번도 투자해 보지 않은 조직은 결국 사고가 난 뒤에 투자한다. 이러한 퇴행성 보안 발전 단계를 넘어설 시점이다.

국내 보안 생태계를 위한 인프라 투자의 출발점은 CISO전담제 시행이다. CISO전담제를 시행해서 비즈니스 디지털 전환과 그에 걸맞은 보안 수준의 동반 성장을 유도하자. 10년쯤 지난 후에는 규제를 풀고 시장 자율에 맡기자.

김대환 소만사 대표 kdh@somansa.com