주메뉴바로가기 본문바로가기
전체메뉴
HOME > Target@Biz > 비즈

CISO 의무화 '관치 보안' 논란 부르는 까닭

정보보호최고책임자 지정 13일 시행, 3.9만여 기업 대상…낙하산, 인건비 증가 우려

2019.06.14(Fri) 13:51:18

[비즈한국] ‘관치 보안’ 우려가 커지고 있다. 과학기술정보통신부가 기업의 정보호호최고책임자(CISO) 선임을 의무화 했는데, 관료들의 낙하산 통로가 되는 한편 이를 통해 정부가 인터넷 보안을 통제할 것이란 주장이다. 정부는 이런 내용을 담은 정보통신망법 개정안을 지난 4일 국무회의에서 통과시키고 13일 시행에 들어갔다. 

 

과학기술정보통신부가 기업의 정보호호최고책임자(CISO) 선임을 의무화 했다. 지난 5월 소프트웨어 수업에 참여한 유영민 과학기술정보통신부 장관. 사진=과학기술정보통신부 제공


개정안은 인터넷서비스를 제공하는 자본금 1억 원 이상 기업에 CISO 지정을 의무화하는 게 골자다. CISO란 기업의 정보보안과 관련한 기술 대책 마련과 법률 대응을 책임지는 최고 임원을 뜻한다. 보안최고책임자(CSO)·개인정보보호책임자(CPO)와 비슷한 개념이지만, 보안 예산 편성·정책 마련 등 권한이 더 포괄적이고 강하다.

 

자본금 1억 원 이상 3만 9000개 기업이 대상이다. 전국에 가동 중인 전체 법인 76만 9684개(2017년 기준)의 5% 수준이다. 대상은 인터넷서비스 기업이기 때문에 네이버·다음·쿠팡 등 온라인 서비스 기업은 물론 홈페이지를 갖고 있는 삼성전자·현대자동차·현대중공업·GS건설 등 B2B 기업들도 이에 해당한다. 정부는 적정 계도기간을 거쳐 CISO 지정을 위반할 경우 최대 3000만 원의 과태료를 부과할 계획이다.

 

정부는 사이버 위협이 고조되고 한 번 사고 시 발생하는 피해 규모도 커졌다며 CISO 지정 의무화를 진행해 왔다. 이에 2014년 말부터 CISO 지정·신고제를 운영했다. 그러나 CISO 임명률은 12%(2017년 기준) 수준에 불과하다. 전자·전기·건설·해운 등 B2B 기업들은 CISO의 필요성을 크게 느끼지 못했고, 온라인 B2C 기업들도 이미 CSO를 선임해 운영했기 때문이다. 

 

정부는 CISO의 책임 및 권한을 강화를 위해 자산총액 5조 원 이상 정보통신 서비스 제공자나 정보보호관리체계(ISMS) 인증을 받는 정보통신 서비스 제공자 중 자산총액 5000억 원 이상인 기업에는 CISO의 겸직을 금지시키는 등 CISO 지정을 독려하기로 했다. 이로써 정보보안 분야에서만 3만 9000개의 고위 임원 일자리가 새로 생기거나 조정 수요가 발생하게 된 셈이다. 한국인터넷진흥원 관계자는 “대형 보안 사고가 터졌을 때 CISO를 통해 정부가 신속하게 현황을 파악하고 대책을 마련할 수 있는 장점이 있다”고 설명했다.

 

기업들은 앞으로 보안정책을 정부의 입맛대로 맞춰야 하는 점과 신규 임원 선임에 대한 인건비 증가에 부담을 느끼고 있다.


다만 기업들은 앞으로 보안정책을 정부의 입맛대로 맞춰야 하는 점과 신규 임원 선임에 대한 인건비 증가에 부담을 느끼고 있다. 실제 정부는 최근 사물인터넷(IoT) 기업에 ‘IoT 취약점 점검 시스템’을 도입해 관리하겠다는 입장을 밝혔다. IoT 보안은 그간 ‘쇼단(shodan)’이라는 IoT 검색엔진을 많이 사용했는데, 쇼단을 대체할 ‘한국형 쇼단’을 만들겠다는 것이다. 한국형 쇼단을 도입하는 기업에는 공공입찰 시 가점을 주기로 했다. 달리 얘기하면 이를 도입하지 않는 기업은 사실상 공공입찰에서 배제한다는 뜻이다. 

 

일각에서는 CISO가 정책 당국 관료들의 퇴임 후 일자리 보전을 위한 자리가 되는 것 아니냐는 관측도 내놓는다. 과기부는 기획재정부·산업통상자원부에 비해 산하 유관기간이 적고, 관련 업계도 일부 전자회·통신·IT회사를 제외하고는 기업들이 영세하다. 그런데 CISO를 의무화함으로써 과기부 관료가 IT와 무관한 업종으로 옮길 수 있는 길이 열렸다는 것이다.

 

이번 정부 안을 보면 CISO의 자격 요건으로 정보보호나 IT 분야에서 일정 기간 이상 근무한 사람이라면 누구라도 선임할 수 있게 했다. 인터넷정보보안 등 전문 자격이나 관련 학위가 없어도 가능하다. 과기부나 한국인터넷진흥원 출신들도 현대중공업이나 SK이노베이션 같은 굴뚝 산업으로 이직길이 열린 셈이다. 

 

특히 이번 조치로 대기업은 CISO와 CPO 업무의 겸직이 금지되면서 기존 IT 기업으로의 전직 기회도 생겼다. 실제 이미 CISO를 지정한 KT·네이버 등은 CPO 업무를 맡을 새 임원을 검토하고 있는 것으로 전해진다. IT 업계 관계자는 “CISO 의무화로 그간 비용으로 치부되던 보안 업무가 제대로 된 평가를 받게 된 측면이 있다”면서도 “다만 비전문가이거나 낙하산 성격의 인사가 오게 될 수도 있다”고 내다봤다.    

김서광 저널리스트

writer@bizhankook.com

[핫클릭]

· [유럽스타트업열전] 인쇄소가 디지털보안업체로 '진화'한 사연
· [현장] '아, 옛날이여' 그 많던 노량진 공시생은 다 어디로 갔을까
· [워싱턴 현장] '드론 타고 출퇴근' 우버의 상상은 현실이 된다
· 필수가 된 자료폐기, 기업수사 증거인멸죄 '필수옵션' 되나
· 1999 바텐더, 2009 간호사, 2029년엔? '유망직업' 변천사


<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>