[이강태의 IT경영 한수]<19>CISO는 CIO에게 기회인가? 위협인가?

CIO가 등장할 때처럼 CISO도 잇따른 정보 유출사고와 맞물려 화려한 등장세다. CIO라는 직책이 처음 나온 1990년대 중반에도 IT가 중요하기 때문에 CIO가 필요하다고는 했었다. 그러나 CIO의 업무범위, CIO의 자질과 자격, CIO 양성 프로그램 등 깔끔하게 정리된 게 없었다. 그래서 처음에 여러 혼선이 있었다. CISO도 마찬가지다. 정보보안을 담당하는 임원이 필요해서 CISO를 임명해야 한다고는 했지만 CISO의 업무 범위, CISO의 자질과 자격, CISO 양성계획에 대해 어느 누구도 깔끔하게 정리해 주지 못하고 있다. 하지만 정보 유출사고 이후 정부는 일정 규모 이상의 기관과 기업에는 CISO를 두도록 강력하게 밀어붙이고 있다. 여러 혼란에도 불구하고 CISO에 관해 세 가지 기본적 질문이 있다.

첫째 질문, CISO가 필요한가? 세월호 사건 이후 사회적으로 안전이 더욱 중요한 화두가 되고 있다. 모든 국민들이 우리가 정말 안전한 사회에서 살고 있나? 그리고 우리 사회가 나를 위험에서 지켜 줄 수 있는지 의구심을 갖게 된 것이다. 사회적 안전이라고 하는 것에 개인정보보호도 포함된다. 우리가 개인정보를 주고받는 것은 서로의 사회적 신뢰를 전제로 한다. 개인정보를 주고받는 목적과 범위 외에는 사용하지 않겠다는 이른바 선량한 관리자로서의 의무를 다해야 한다. 그런데 유감스럽게도 내 개인정보가 허술하게 관리되고 있고, 이것이 나도 모르는 사이에 다른 사람의 손에 넘어가 전혀 다른 용도로 쓰이고 있다는 사실에 사람들이 경악하게 된 것이다. 지금 여러 사후 대책을 만들어 강력하게 시행한다고 해도, 솔직히 이미 시중에 뿌려진 개인 정보가 그러한 대책 때문에 파기되고 더 이상 문제를 일으키지 않으리라는 보장이 없다. 그래서 기관이나 기업의 첫째 목적이 영속성이라고 본다면 정보보안의 문제는 기업의 생존, 브랜드 파워, 마케팅 효력증대 측면에서 매우 중요한 과제다. 그런 측면에서 CISO와 같은 정보보안을 책임지는 임원이 존재하는 것은 맞다고 본다.

둘째 질문, CIO와 CISO를 분리시키는 것이 맞나? 아직도 금융기관조차 CISO를 꼭 별도로 임명해야 하는지 반신반의하고 있다. 그래서 CIO가 겸직하기도 하고, 임명했다고 해도 누구에게 보고하도록 할 것인지 우왕좌왕하고 있다. CISO는 C레벨이기 때문에 CEO에게 직접 보고해야 한다는 의견과 그렇게 하면 CEO의 업무 범위가 너무 넓어질 뿐더러 문제가 생겼을 때 CEO가 바로 사회적 위험에 노출되는 문제가 있다. 그렇지만 정보보안이 정보 부문만의 일이 아니고 전사적인 제도, 문화와 임직원에 대한 교육을 포함한다고 하면 CEO에게 보고하는 것이 맞다고 본다. CIO들도 가급적 CISO 임무를 피하고 싶어 한다. 정부도 별도의 CISO가 있어야 한다고 하기 때문에 CIO와 CISO를 분리시키는 것이 맞다.

마지막 질문은 그럼 누구를 CISO에 임명할 것인가? 어떤 금융기관은 임원 중에 하고 싶은 사람 손들어 보라고 하니까 누구도 손드는 사람이 없었다고 한다. 한 부행장이 손들었는데 왜 손들었냐고 물어 보니까 이래저래 내년에 밀려날 것 같은데 이거라도 하면 혹시 안 밀려날 수도 있겠다는 생각이 들어 손들었단다.

CISO가 가슴 뛰는 자랑스러운 직책이 아니고 직장생활 마지막에 리스크 테이킹하는 부담스러운 감투가 된 것이다. 정보보안의 기능이 이 부서 저 부서를 전전하다가 그냥 맘 약한 임원에게 떠맡겨져서는 안 된다. 정보보안이 회사에 매우 중요하다고 하면서도 전 임원들이 CISO가 정보 보안사고가 터지면 기자회견하면서 머리 숙이는 임원이라고 생각하는 한 CISO라는 직책은 있으나 마나다. 이런 식으로 CISO를 고르거나 임명해서는 안 된다. CISO를 영광스럽게 만들어 줘야 정보보안이 완벽해지고 CEO도 정보보안 리스크로부터 자유로워질 수 있다.

IT 전문가로 임명할 것인지 아니면 비전문가로 임명할 것인지도 관건이다. 정보보안이 꼭 IT만이 아니라 제도, 문화, 사람에 관한 업무기 때문에 IT 전문가가 아니어도 가능하다고 본다. 괜히 임원 수 늘리기 부담스러우니 겸직 시키는 사례도 많다. 이때 자기 업무가 있는데 혹 붙인 임원이 얼마나 열심히 할까? 폭탄 돌리기 하지 않을까? 그래서 자기의 미래 커리어를 정보보안 쪽으로 확실히 정한 임원을 CISO로 임명해야 한다. 정보보안을 자기의 평생 직업으로 삼아야 스스로 공부를 할 것이고, 공부를 해야 회사의 허술한 부분이 눈에 보이기 시작할 게다.

정보보호 업무는 그 범위가 매우 넓고 또 현업에도 정통해야 한다. 한마디로 넓이와 깊이를 다 섭렵해야 하는 매우 난해한 업무다. 그뿐 아니다. 협력업체 서버와 이 서버의 유지보수 업체 직원들까지 관리해야 한다. 이런 일들을 겸직업무로 해서 잘 될까 싶다. 또 하나 CEO가 챙겨야 하는 것은 예산문제다. 정부가 IT예산의 5% 이상을 보안예산에 쓰라고 지도하고 있다. 그런데 대부분의 정보보안 관련 예산에 대해 IT부서에서 관리하고 있다. CISO가 돈을 쓰려면 CIO 눈치를 봐야 한다. 상당 부분이 IT인프라에 대한 투자기 때문에 CIO가 승인을 해야 한다. 이게 잘 될까 싶다. 일을 하려면 인사, 예산 권한을 줘야 한다. CISO를 임명하라고 하니까 마지못해 임명하고 힘을 실어 주지 않으면서 문제 생기면 모두 네가 책임져야 한다고 윽박지르기만 한다면, 머지않아 또 CEO가 머리를 조아리는 날이 오게 될 것이다.

CIO포럼 회장 ktlee777@gmail.com