이상일 칼럼

[취재수첩] 기업내 IT위상, CIO·CISO 역할 정립이 중요

이상일 기자

[디지털데일리 이상일기자] 최근 금융당국은 대형 금융사 최고정보책임자(CIO)의 최고정보보안책임자(CISO) 겸임을 금지하고 CISO의 역할 및 독립성을 강화하는 정책을 내놨다.

언뜻 보면 CISO의 역할과 책임이 상당히 중요해진 것으로 보인다. 하지만 과연 CIO가 기업 내에서 올바른 대우와 확실한 역할을 인정받고 있고, 그에 상응한 책임을 지는 자리냐는 물음에 부정적인 의견이 많은 것이 사실이다. 이런 상황에서 CISO가 과연 기대만큼의 역할을 할 수 있을지 의구심이 들 수 밖에 없다.

CIO, CISO의 역할이 제대로 이뤄지기 위해선 기업 내부에서의 IT와, 이를 이끄는 CIO, CISO의 위상이 확실히 자리잡아야 한다는 원론적인 문제를 해결해야 한다.

최근 만난 전 금융사 IT자회사 대표는 “CIO의 리더십이 IT부서는 물론 기업의 IT전략에 있어 가장 중요하다”고 지적했다. 하지만 “통상 CIO가 CFO(최고재무책임자) 밑에 들어가 있는 경우가 많아 IT를 투자 보다는 비용의 개념으로 인식하고 사업을 진행할 수 밖에 없다”고 토로하기도 했다.

비용에서 자유로울 수 없어 IT 사업에 대한 자신의 전략적 판단을 책임지고 진행하기가 구조적으로 어렵다는 지적이다. 기업의 IT를 책임지는 CIO조차 이런 상황에서 CISO가 보안에 대한 사항을 전반적으로 책임지고 추진해나갈 수 있을지 의문이다.

물론 금융당국은 이를 보완하기 위해 보안사고 발생 시 CEO의 책임을 엄중하게 묻기로 하는 등 대책을 내놨지만 사내 정치의 현실에서 CISO가 뚝심 있게 사업을 추진하는 데는 한계가 있을 수 밖에 없어 보인다.

최근 한 CIO를 대상으로 한 행사에서는 CIO가 ‘Career Is Over’의 약자라는 자조적인 지적도 나왔다. 기업 내부에서 CIO가 차지하는 위상을 그대로 표현하고 있는 말이다. 아직도 대부분의 기업에서 CIO는 부장급이 맡고 있는 경우가 허다하다. 대기업을 제외하고 임원으로서 CIO를 찾아보기란 그리 쉽지 않다.

CISO 제도는 물론 크게는 IT부서의 위상과 역할이 대두되기 위해서는 사내에서의 CIO역할이 우선 확실하게 보장돼야 한다고 본다.

그동안 IT가 비즈니스 창출의 도구로서 자리해야 한다고 수년간 얘기해 왔지만 아직도 이는 지난한 얘기다. 이 같은 현상에는 IT부서의 혁신 부재도 자리하고 있겠지만 IT가 비즈니스 전면에 나서지 못하는 구조적인 문제도 있다.

아직까지도 IT는 비용의 개념에서 벗어나지 못하고 있다. IT가 마케팅과 같은 투자의 개념으로 전환되고 이러한 변화를 CEO와 조직이 인정할 때 IT부서의 비즈니스 창출은 물론 좀 더 창조적인 업무와 지원이 가능할 것이다.

금융당국이 보안 담당자들의 사기진작을 위해 여러 대책을 내놨다. 하지만 우선적으로 기업내 IT부서의 위상이 변해야 한다. 그러기 위해선 IT에 대한 필요성과 인식을 기업이 공유해야 할 것이다.

<이상일 기자>2401@ddaily.co.kr

이상일 기자
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널