[강은성 보안칼럼] CISO 3만 명 시대...CISO라는 '직업'

올해 상반기 과학기술정보통신부에 신고한 정보보호 최고책임자(CISO, Chief Information Security Officer) 수가 3만 명이 넘었다(과학기술정보통신부 중앙전파관리소_정보보호 최고책임자 신고 업체현황). 2014년 11월 정보통신망법에 ‘정보보호 최고책임자 지정·신고제’가 도입된 지 약 10년 만에 CISO 3만 명 시대가 열린 것이다.

정보통신망법 뿐 아니라 전자금융거래법, 정보통신기반보호법에서도 적용 대상 사업자에 정보보호(최고)책임자를 지정할 것을 규정하고, 개인정보보호법(개인정보보호책임자), 신용정보법(신용정보관리·보호인) 등 유사한 직책을 사업자에 지정할 것을 의무화한 법도 있어 이를 포함하면 그 수는 더 많아질 것이다.

정보통신망법에서는 CISO를 '정보통신시스템 등에 대한 보안 및 정보의 안전한 관리'를 책임지는 직책으로 규정한다. 정보통신망법 규율 대상이 주로 ‘정보통신서비스 제공자’, 즉 전기통신사업자와 ‘온라인 영리사업 영위자’이기 때문일 것이다. 실제로 홈페이지나 SNS만 운영해도 영리를 목적으로 한다면 정보통신서비스 제공자에 포함되므로 제조기업이나 유통기업 등 본인들이 제대로 인식하지 못한 사업자들이 법에 정한 요건에 해당, CISO 지정 대상이 되기도 한다.

세계적으로 CISO(또는 이와 비슷한 직책)를 법으로 의무화한 사례는 찾기가 쉽지 않다. 대표적인 사례가 유럽연합의 ‘네트워크 및 정보시스템 보안2’(NIS2: Network and Information system 2) 지침이다.

NIS2 지침(Directive) 제20조(거버넌스)에서는 ‘필수적이고 중요한 기관’이 제21조(사이버보안 위험 관리 조치)에 적시된 ▲위험(Risk) 분석 및 정보 시스템 보안에 관한 정책 ▲사고 처리 ▲ 사업 연속성 ▲공급망 보안 등 해당 기관의 네트워크 및 정보 시스템 보안에 대한 위험을 관리하고, 사고가 서비스 이용자에게 미치는 영향을 예방·최소화하기 위해 적절한 조치를 취할 의무를 CISO와 같은 특정 직책이 아니라 해당 기관의 경영진에게 부과한다.

거버넌스 측면에서 바람직한 구조다. 미국의 ‘연방 정보보안 현대화법’(FISMA, Federal Information Security Modernization Act)에서는 유럽연합 NIS2와 비슷하게 연방기관의 장에게 ▲무단 접근, 사용, 공개 등으로 발생하는 위험 및 피해 규모에 상응하는 정보보안 보호 제공 ▲세부 요구 사항 및 관련 정책, 절차, 표준 및 지침 준수 ▲정보보안 관리 프로세스가 기관의 전략, 운영 및 예산 계획 프로세스와 통합되도록 보장하는 등의 정보보안 책임을 부과할 뿐 아니라 한발 더 나아가 이를 실제 수행할 수 있는 ‘고위 기관정보보안책임자’(SAISO, Senior Agency Information Security Officer)를 지정할 것을 명시했다.

FISMA가 미국 연방정부에 적용되는 법이므로, SAISO 지정 역시 연방기관에 부과하는 의무가 된다. 정부·공공기관에 CISO 지정 의무를 부과하지 않은 채 주로 민간기업에만 의무를 부과하는 우리나라와는 정반대다.

세계적으로 흔하지 않은 우리나라의 CISO 지정 의무화 법 규정은 IT 인프라 해킹과 개인정보 유출 사건이 발생한 것이 계기가 돼 신설됐다. 금융권 전산망이 해킹으로 마비되고, 대규모 개인정보 유출 사고가 여러 건 터졌던 다음 해인 2012년에 정보통신망법에 CISO 제도가 들어왔고, 우리 사회를 떠들썩하게 했던 카드 3사 개인정보 유출 사고가 발생한 2014년에 정보통신망법에 CISO 지정·신고제, 전자금융거래법에 CISO의 CIO 겸직금지 제도가 도입됐다. 우리나라 IT 인프라가 세계 최고 수준으로 발달함에 따라 그로 인한 피해도 우리 사회의 근간을 흔들 정도로 크다고 본 것이다.

지난 11월 초, 6차 교육을 끝으로 한국인터넷진흥원(KISA)의 유명 보안 교육 프로그램인 K-Shield의 하나로 진행한 ‘정보보호 최고책임자(CISO)가 알아야 할 정보보안’ 올해 강의를 마쳤다. 보통 한 회에 15명이 넘는 분들이 수강했으니, 올해 100명 정도의 CISO나 정보보안업무를 담당하는 팀장, 실무자들이 교육을 받은 셈이다.

특히, 지난 10월 말, 부산에서 진행한 5차 교육이 인상적이었다. 부산 뿐 아니라 대구, 울산, 창원 등지에서 2시간 이상 차를 타고 오신 분들도 꽤 있었다. CISO 또는 정보보안 팀장 역할을 하는 분들의 비중이 높았고, 질문이나 의견도 여럿 나와서 강의를 하는 보람과 즐거움이 컸다.

필자는 CISO 강의에서 ‘정보보안 거버넌스’를 강조한다. 올해 발생한 대규모 사이버 침해사고에서 보듯 침해사고는 전사적인 위험이어서 최고경영진이 관리, 대응해야 하는데, 정보보안 거버넌스가 제대로 구축되지 않은 회사에서 CISO가 일만 열심히 하다가는 고생은 고생대로 하고, 성과 평가를 제대로 받지 못하거나, 사고가 터지면 그 책임을 CISO 조직이 오롯이 질 수 있다.

정보보안 거버넌스를 '조직의 정보보안 목표를 달성하기 위해 의사 결정을 내리고 수행하는 체계'(ISO/IEC 26000)로 정의하면, 그것은 조직과 사업의 정보보안 목표를 달성하기 위한 (경영적) 의사결정 구조와 이를 수행하기 위한 조직체계 및 협업체계로 구성된다. CISO 조직이 일상 업무를 수행할 때 정보보안 거버넌스가 왜 중요한지 쉽게 알 수 있다.

하지만, 기업에서 하루아침에 적절한 보안 거버넌스가 만들어지지 않는다. 최고경영진이 이를 인식하고 지원해 줘야 하기 때문이다. 그렇다고 해서 한두 번 시도하고 말 일도 아니다. 3년 정도의 계획은 잡고 꾸준히 추진할 필요가 있다.

기업에서 CISO와 정보보안의 역할에 대한 정의와 인식도 조금은 비즈니스 관점으로 바뀌어야 하지 않을까 싶다. CISO를 '정보통신시스템 등에 대한 보안 및 정보의 안전한 관리'(정보통신망법)를 책임지는 ‘기술자’나 ‘보호자’보다는 '조직과 사업의 보안 위험을 최소화함으로써 기업의 지속적 성장을 지원하는 비즈니스 리더'로 규정하고, 정보보안에 관해 ‘전략가’와 ‘조언자’의 위치를 점해 나갈 필요가 있다.

정보보안의 역할 또한 마찬가지다. '정보의 기밀성·무결성·가용성 보호를 통한 정보자산의 보호'라는 전통적인 기술적 관점을 넘어서서 '보안 위험 관리를 통한 기업의 지속적 성장을 지원'하는 역할로 확장해 나가는 것이 바람직하다. 그럼으로써 CISO는 CEO를 비롯한 최고경영진이 달성하고자 하는 사업 목표를 보안 위험 관리를 통해 돕는 비즈니스 파트너로 자리 잡을 수 있다.

한발 더 나아가면, 우리 사회에서 CISO라는 직업 자체에 대한 인식 변화도 필요해 보인다. 지난 9월 국가정보자원관리원 화재와 대다수 정부 인터넷 서비스 중단, 2022년 SKC&C 데이터센터 화재와 카카오톡 장애에서 보듯 우리나라는 민간이나 공공 할 것 없이 IT 인프라에 문제가 생기면 사회적으로 엄청난 영향을 받는 IT 기반 사회가 되었다. 더욱이 소프트웨어와 소프트웨어 기반 서비스의 공급망으로 세계가 촘촘히 연결되어 있어 한 사이트가 침해당하면, 이와 공급망으로 연결된 많은 사이트가 침해당하기도 한다.