[ET칼럼]최고정보보호책임자(CISO)는 아무나 하나

사상 최악의 카드사 개인정보 유출 사건의 충격이 가시기도 전에 이번엔 지난해 말 일어난 공인중개사협회 홈페이지 해킹사고가 알려졌다. 2004년부터 부동산중개업소가 작성한 계약서 데이터베이스(DB) 서버가 해커에 의해 뚫려 대출 및 매매사기 등 추가 피해가 우려된다.

최근 5년 사이 국내에 일어난 굵직한 사건만 들어도 7·7 DDoS 공격 사건(2009년), 3·4 DDoS 공격 사건과 농협 전산시스템 마비 사건(2011년), 3·20, 6·25 사이버테러(2013년) 등 손가락에 꼽고도 남는다. 여기에 보이스피싱·스미싱 피해까지 더하면 온통 사이버 범죄 세상이다. 보이스피싱을 희화한 TV 개그코너가 인기를 얻고 그 어눌한 억양으로 길안내 앱까지 나왔다.

정부는 대형 보안사고가 터지면 다음해 기계적으로 보안관련 예산을 늘렸다가 별일 없으면 다시 줄이기를 반복해 왔다. ‘널뛰기 예산’으로 사이버 범죄를 막겠다는 것이다. 임시방편식 예산으론 어림없다. 미래를 내다보는 큰 틀을 만들어야 한다.

핵심은 사람이다. 올바른 사고방식과 자격을 지닌 보안 전문가가 있어야 한다. 정책을 만들어 집행하는 정부부터 제대로 된 보안전문가가 필요하다. 어느 부처가 정부 최고정보보호책임자(CISO) 역할을 맡아야 하는지를 떠나서라도 안전행정부나 미래창조과학부·금융위원회 등에 진정한 보안전문가가 있는지 따져볼 일이다. 적어도 금융사를 관리·감독하는 금융위원회와 금융감독원 정도면 보안전문가 집단이 있어야 한다. 동시에 정부가 추진 중인 대형 금융사 최고정보관리책임자(CIO)·CISO 분리도 이뤄져야 한다. 전자금융거래법 개정이 시급한 이유다.

최근 잇따른 보안사고로 CISO를 비롯한 보안전문가 모시기가 ‘하늘의 별 따기’ 수준으로 어려워졌다. 전문가가 없으니 몸값도 치솟는 모양이다. 그렇다고 CISO는 아무나 할 수 있는 자리가 아니다. 상황이 급하면 인력 채용에도 문제가 생긴다. 자칫 IT 전문가나 감사 전문가이면서 보안전문가로 적당히 포장된 인사를 채용하는 우를 범할 수 있다.

금융 그룹사 임원급 CISO는 화려한 정보통신기술(ICT) 경력에 정보보호 경력, 서비스 운영경험, 자격증이 있어야 한다. 기본적으로 20~30년 정보보호 경력과 CEM(Certified Emergency Manager), CFCE(Certified Forensic Computer Examiner), CHS(Certified in Homeland Security), CNA(Certified Network Administrator), SCCP(Systems Security Certified Practitioner), CSO(Certified Security Officer), CISSP(Certified Information System Security Professional) 등 30여종에 이르는 자격증을 보유해야 한다.

문제는 이 정도 자격요건을 만족하는 보안전문가를 국내에서 찾기 힘들다는 점이다. 해외에선 일반화한 상황인데도 말이다. 구글에서 ‘Inforamtion Security job’을 키워드로 넣거나 링크드인(www.linkedin.com/job/q-information-security-officer-jobs)을 검색해보면 어떤 자리도 만만치 않고 많은 자격증을 요구한다.

30대 후반만 되면 모두 제너럴리스트를 만들고 관리자나 영업직으로 내모는 우리나라와 대조적이다. 팔방미인을 요구하는 풍토에서 제대로 된 CISO가 나올 수 없다. CISO는 고도의 전문성과 경험을 요하는 자리다. 더욱이 임원급 CISO를 계약직으로 채용한다는 것은 보안을 포기하는 것이나 마찬가지다. CISO가 1, 2년마다 바뀌는 상황에서 효율적인 보안정책이 나올 수 없다. 장기적 안목을 갖고 CISO를 채용해야 한다. CISO 역시 책임과 의무를 다해야 함은 물론이다.

주문정 논설위원 mjjoo@etnews.com