CISO 지정신고, 더 이상 미룰 수 없다
상태바
CISO 지정신고, 더 이상 미룰 수 없다
  • 최형주 기자
  • 승인 2019.11.28 11:23
  • 댓글 0
이 기사를 공유합니다

계도기간 종료 임박에도 낮은 의무 이행률, 무엇이 문제일까

[CCTV뉴스=최형주 기자] 최근 인도에서는 핵발전소가 해킹 당해 가동이 중단된 사건이 발생했고, 국내에서도 국방부와 한국수력원자력이 해킹 피해를 입은 이력이 있다.

이렇게 국가급 보안 시설들도 사이버 공격에 뚫리는 상황이지만, 지난 6월 13일부터 시행돼 계도 기간이 약 한 달 남은 ‘CISO 지정신고제도(정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 개정안)’의 이행률은 바닥을 기고 있다.

기업들은 왜 CISO를 지정하지 않을까? 그리고 CISO는 기업에 정말 필요한 존재일까?

CISO란

CISO(Chief Information Security Officer, 정보보호최고책임자)는 기업 정보보안의 기술적 대책과 법률 대응을 총괄해 책임지는 최고 임원이다.

2014년 11월 7일 미래창조과학부(현 과학기술정보통신부)가 발표한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령을 통해 국내에 도입됐다.

당시 이 제도는 정부와 기업 보안 책임자 간 정보 채널을 구성하고 각종 보안 위협에 대응하기 위한 방편으로 설계됐다.

CISO가 최고위급 임원직으로 설계된 것은 사이버 공격이 기업 경영의 근간을 흔들 수도 있다는 이유에서이며, 정부는 기업들이 지속적 성장을 유지할 수 있도록 경영진과 이사회 등과 동등한 위치에서 보안에 대한 소통과 협업 전반을 관리하는 자리가 필요하다고 여겼다.

CISO는 기업 내에서 보안업무를 위한 조직과 인력, 예산, 권한과 책임을 가지고 ▲정보보호 정책과 지침 ▲정보보호 프로세스 ▲정보보호 사업 목표 ▲임직원 정보보호 인식 제고를 위한 훈련 ▲정보 자산 종류와 수에 따른 대책 마련 ▲계정 및 권한 관리 ▲공격 조기 탐지를 위한 모니터링 등의 업무를 수행한다.

 

CISO가 필요한 이유는?

CISO가 반드시 필요한 이유를 찾기는 어렵지 않다. 우리는 이미 많은 기업들의 허술한 보안인식으로 발생한 개인정보 유출 사례들을 접해왔다.

대표적인 사례로는 지난 2013년 국민카드의 ‘카드사고분석시스템’ 업그레이드 용역을 맡은 KCB의 직원 박모씨가 국민카드사 고객 개인정보 5378만 건을 대출중개업자에 유출한 사건이있다.

당시 박씨는 국민카드 외에도 농협카드와 롯데카드사의 고객정보를 포함해 혼자서 총 1억 400만 건의 개인정보 유출 범행을 저지른 것으로 드러났다.

이후 500여 명의 유출 피해자들이 정신적 피해 등을 이유로 국민카드와 KCB에 소송을 걸었고, 양사는 박씨 개인이 주도한 일이라며 손해 배상의 책임이 없음을 주장했다.

하지만 결국 2019년 8월, 법원은 관리감독 소홀을 이유로 원고들에게 인당 10만 원씩을 배상하라는 판결을 내렸다.

이 사건에서 우리가 눈여겨봐야 할 부분은 두 가지로, 첫째는 관리 소홀이다. 국민카드는 금융사인만큼 개인 혹은 기업의 가장 중요한 정보들을 가지고 있다. 하지만 이를 시스템 업그레이드 용역을 맡은 KCB 직원 한 사람이 빼돌릴 수 있었다는 것은, 접근 계정과 권한에 대한 관리가 제대로 이뤄지지 않았다는 뜻이다.

특히 외부인이 이러한 정보에 접근하는 와중에도 단 한 차례의 관리 개입도 없었다는 것은, 정보를 대하는 기업의 태도부터가 잘못됐다고 해도 과언이 아니다. 게다가 유출 이후에도 관리 소홀의 책임을 인정하지 않고 소송을 5년 이상 이어왔다는 것은, 개인정보 보호에 대한 인식과 책임감이 아주 낮은 수준임을 여과없이 보여준다.

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.