이 기사는 2024년 06월 20일 07:16 thebell 에 표출된 기사입니다.

대형 정보유출 사고가 잊을 만하면 발생하고 있다. 대표적으로 2014년 카드 3사에서 1억건이 넘는 개인정보가 유출되는가 하면 작년에는 한 통신사에서 수 십만건에 달하는 고객정보가 새나갔다. 이외에 수도 없이 많다. 이는 보안기업들이 성장하는 계기였지만 피해는 고스란히 해당 기업을 믿고 자신의 정보를 맡긴 소비자에게 돌아갔다.

국내 기업들이 디지털 전환으로 해킹 위험에 더욱 노출되고 있다. 실제로 국내 기업과 공공기관 가릴 것 없이 디도스(DDoS) 공격은 급증하는 추세다. 이로 인해 '정보보호 최고책임자(CISO)' 제도가 2012년 금융권부터 도입됐다. 현재는 자산총액 5조원 이상이거나 정보보호관리체계(ISMS) 의무대상 중 자산총액 5000억원 이상 기업으로 확대됐다.

정부는 2021년부터 CISO를 다른 부서 또는 기업에서 파생된 어떤 직책도 겸임할 수 없도록 정보통신망법 시행령을 개정했다. CISO가 정보보안 업무에만 전념토록 했다. 지원 자격요건도 강화해 해당 분야에서 최소 5년 이상 근무를 비롯해 관련 자격증도 보유해야만 한다.

CISO도 나름 C-레벨이지만 최고경영자(CEO), 최고재무책임자(CFO) 등의 위상과는 비교도 안된다. 그도 그럴 것이 대기업 기준 CISO 지위 기준은 '임원급'에서 '이사'로 조정된 지 오래다. 중견기업은 부장급이 맡는다. 관심에서 멀어질 수 밖에 없다. 그럼에도 보안사고가 터졌다 하면 모든 책임은 고스란히 CISO에게 돌아간다.

상황이 이렇다 보니 CISO는 귀하신 몸이다. 보안사고가 계속 터지면서 CISO 품귀 현상도 벌어지고 있다. 얼마 전 사고에 대한 책임을 지고 물러났던 사람이 곧바로 새 직장을 찾는 경우도 빈번할 정도다. 정보통신망법과 개인정보보안법에 따라 비슷한 역할의 CISO와 개인정보보호최고책임자(CPO) 분리선임은 상황을 더욱 어렵게 만들었다.

작년 한 통신사가 정보유출 사고 후 CISO와 CPO가 동시에 물러났지만 후임자가 구해지지 않아 애를 먹었다는 전언이다. 권한과 위상은 없으면서 책임만 지는 자리라는 불만이 나올법하다. 일부 금융권과 대기업, 공공기관을 제외하면 보안에 대한 관심도 투자도 크지 않은 게 현실이다.

기업의 정보를 노린 해킹 공격은 갈수록 고도화되고 있다. 전문인력을 확보하기 위해서는 반드시 투자가 이뤄져야만 한다. 평소에는 관심도 없다가 사고가 터지면 책임만 전가하는 자리라면 악순환은 계속될 수 밖에 없다. 정보보안에 대한 인식의 변화로 소중한 자산을 지키는 동시에 보안업계도 함께 성장할 수 있기를 기대해 본다.