기업에서 지정해야 할 직책을 법에서 규정하는 것은 그리 흔한 일은 아니다. 그럼에도 유독 정보보호 직책에 관한 법 규정은 늘어나고 있다.

정보보호최고책임자(정보통신망법, 전자금융거래법), 정보보호책임자(정보통신기반보호법), 개인정보보호책임자(개인정보보호법), 개인정보관리책임자(정보통신망법), 위치정보관리책임자(위치정보법), 신용정보관리·보호인(신용정보법) 등이 바로 그것이다. 특히 정보보호최고책임자(CISO)에 관해서는 CISO 의무지정제(정보통신망법 2014.11.29 시행), CISO의 IT직책 겸직 금지(전자금융거래법 2015.4.16 시행) 등 관련 규정이 계속 강화되고 있다.

지난해 11월부터 시행된 정보통신망법에서는 CISO를 지정해야 할 정보통신서비스 사업자를 다음과 같이 규정했다(정보통신망법 시행령 제36조의6).

① 정보보호관리체계(ISMS) 인증 의무 대상자
② 상시 종업원 수가 1천 명 이상인 사업자
③ 통신판매업자 또는 통신판매중개업자로서 상시 종업원 수가 5명 이상인 자(예, 인터넷쇼핑몰)
④ ‘특수한 유형의 온라인서비스제공자’로서 상시 종업원 수가 5명 이상이거나 전년도 말 기준 직전 3개월 간의 일일 평균 이용자 수가 1천명 이상인 자(예, 웹하드 업체, P2P 업체)
⑤ 인터넷 컴퓨터게임 시설제공업을 영위하는 자에게 음란물 및 사행성 게임물 차단 프로그램을 제공하는 사업자
⑥ 정보통신망에서 청소년 유해정보를 차단하기 위해 내용 선별 소프트웨어를 개발 및 보급하는 사업자

이미 ISMS 인증기준에 CISO 선임이 포함돼 있어 선언적 의미가 강한 ①의 경우와 규모가 작은 업체가 대부분인 ③~⑥의 경우를 제외하면 실질적으로 CISO를 선임하는 의미가 큰 것은 ②의 경우라 할 수 있다.

<2014년 정보보호실태조사>(미래창조과학부, 한국인터넷진흥원, 2014.12)에 따르면 여기에 해당하는 기업이 500개 정도이다. 이런 기업이 갖고 있을 산업기밀, 고객정보, 컴퓨터와 네트워크, 소프트웨어 등 정보자산이나 정보보호의 주체이면서 동시에 보안취약점인 임직원의 규모를 볼 때 기업 보안을 위해 CISO를 지정하는 것이 바람직하다고 생각된다.

거시경제학에서는 가계, 기업, 정부를 국민경제의 세 주체라고 부른다. 같은 방식으로 정보보호 부문을 분류해 보면, 개인(가계), 민간기업(금융 포함), 공공(정부, 공기업 등) 중 보유한 정보자산과 이의 활용이 많으면서 정보보호 수준의 편차가 가장 심한 곳이 기업부문일 것이다.

게다가 보안수준이 떨어지는 한 기업을 해킹하고 그 곳을 경유지로 다른 기업을 해킹하는 것이 하나의 사이버 범죄 흐름이 되어 한 기업의 정보보호가 해당 기업의 문제만으로 끝나지 않는다. 한 기업의 보안수준을 높이는 것이 우리 사회의 보안수준을 높임으로써 정보보안 범죄에 따른 사회적 혼란과 국민의 재산 피해를 막는 데 매우 중요하다는 말이다.

사회의 정보보호 수준. 정보보호의 세 주체가 인터넷으로 연결되어 있어서 가장 낮은 곳의 정보보호 수준이 우리 사회의 정보보호 수준을 결정한다.

CISO 의무지정제가 시행된 지 1년이 되었다. 대상 기업의 상당수가 CISO를 지정해 신고한다면 1차적인 목표는 달성한 게 될 것이다. 하지만 이 제도의 목적이 CISO를 지정하여 기업의 정보보호 수준을 높이고 이를 통해 우리 사회의 정보보호 수준을 확보하는 것이라면, 이제 그 첫 걸음을 뗀 것이라는 점 역시 잊지 말아야 한다.

이 정책의 주무부처인 미래창조과학부와 우리 사회 정보보호에서 큰 역할을 하고 있는 한국인터넷진흥원이 CISO 지정에 따른 5개년 정도의 계획을 갖고 치밀하게 준비하고 추진해 나가면 좋겠다.

예를 들어 시행 첫 해인 올해가 대상 기업이 CISO를 지정하도록 하는 것이 목표라면, 2차년도에는 CISO들의 교육, 정보 공유, 온·오프라인 교류 체계를 수립, 시행해 CISO의 기본 역량 강화를 꾀하면서 동시에 자체적으로 활동할 수 있는 체계를 갖추도록 한다. 3차년도에는 CISO 제도 안착을 목표로 2차년도 활동의 업그레이드와 더불어 CISO가 기업에서 실질적인 역할을 할 수 있도록 정보보호 거버넌스 강화, CISO의 실질적인 권한 강화를 위한 프로그램 운영 등을 추진하는 것이다.

4, 5차년도는 3차년도까지의 활동 평가를 기반으로 CISO들의 자발적인 활동을 통해 제도가 발전하는 단계에 오를 수 있도록 지원하고, 정부는 법과 제도 측면에서 필요한 사항을 보완하는 것이 어떨까 싶다.

공공부문에서도 CISO의 역할은 결코 적지 않다. 정보통신기반보호법에서 보호하는 ‘주요 정보통신기반시설’에는 민간이 보유한 관련 시설도 해당되지만 발전, 철도, 도로, 공항, 항만, 국방, 치안 등 정부와 공공부문에서 운영하는 중요 기반시설이 많다.

한수원이나 서울메트로 해킹 사태를 통해 보안(Security)이 우리 사회의 안전(Safety)에 치명적인 영향을 미칠 수도 있다는 것이 더 이상 영화 속의 얘기만이 아님을 우리는 경험했다.

이를 보호하기 위해 기반보호법에서는 관리기관에 정보보호책임자를 지정할 것을 의무화하였는데(제5조 제4항), 국민의 재산을 다루는 금융부문에서 CISO의 자격 요건을 강화하고 일정 규모 이상 금융회사는 겸직 금지를 의무화한 것처럼 공공부문의 주요 정보통신기반시설 중 국민의 재산뿐 아니라 생명에도 영향을 미칠 수 있는 시설을 관리하는 기관에 최소한 이와 유사한 의무를 부과하는 것이 필요하리라 생각한다.

우리 사회의 정보보호 수준을 높임으로써 국민의 재산과 생명을 보호하는 일에 관련 부처의 적극적인 대응을 기대해 본다.

<강은성(CISO Lab 대표, 정보보호포럼 부의장)>