백제현 前 여기어때 정보보호최고책임자(CISO)

[CCTV뉴스=백제현] 2018년 6월 12일 법률 제15628호로 일부 개정된 『정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)』에는 정보보호최고책임자(이하 CISO)에 관한 매우 중요한 규정이 들어 있다.

CISO가 이 법에서 정하고 있는 업무 이외의 업무를 겸직하는 것을 금지하고 있으며, CISO의 자격요건을 대통령령으로 정한다는 내용이 포함되어 있다. 이번에 개정된 정보통신망법 CISO 관련 규정의 개정 취지는 CISO 제도의 실효성을 확보하기 위한 것이다.

더욱이 CISO의 겸직금지 조항은 금융업에 적용되는 법률보다 더 강화된 규정이므로, 정보통신망을 기반으로 서비스를 제공하고 있는 기업 내 정보보안의 중요성을 법률에서 다시 한번 강조하는 것이라고도 볼 수 있다.

이러한 CISO 겸직 금지 조항에 내포되어 있는 선순환적 효과는 매우 크다고 볼 수 있다. 예를 들어 CTO가 CISO를 겸직하는 기업이 상당히 많은데 이러한 경우에는 ‘개발 업무’와 ‘정보보안 업무’ 상호간 견제가 필요한 모순적 의사결정을 해야 하는 상황이 분명히 존재할 수 밖에 없다.

뿐만 아니라 CIO가 CISO를 겸직하는 기업도 생각보다 많은데, 이는 ‘정보의 활용’과 ‘정보의 보호’라는 양 극단의 업무가 상충되는 상황도 존재하게 된다. 이번 정보통신망법 개정에서는 이러한 문제를 해소하고 CISO가 정보보안 업무에 보다 집중할 수 있도록 하는 효과가 있다고 볼 수 있다.

다만, 이번 정보통신망법 개정에서 두 가지 아쉬운 점이 있다면 첫째로 ‘CISO를 대표이사(이하CEO) 직속으로 두어야 한다’는 규정을 포함시키지 않았다는 것이다. 이로 인해 이번 개정의 취지와 반대되는 풍선효과를 만들어 낼 것은 명약관화(明若觀火)하다.

예를 들면 그 동안에는 기존의 CTO나 CIO가 CISO를 겸직했지만, CISO 겸직 금지 규정이 시행되는 2019년 6월 13일부터 CTO나 CIO는 CISO 업무를 다른 누군가에게 넘김과 동시에 기업의 조직도 내에서 CISO 조직을 새롭게 구성해야만 할 것이다. 그런데 이 과정에서 CEO 직속으로 CISO 조직을 구성하기 보다는 기존의 CTO나 CIO 하부 조직으로 CISO 조직을 구성할 가능성이 매우 높다.

뿐만 아니라 엉뚱하게도 정보보안과 전혀 무관한 CFO 하부 조직으로 CISO를 구성하는 기업도 분명히 생겨날 것이다. 그런데 이렇게 되면 CISO 제도의 실효성을 확보하고자 했던 개정 취지와 정반대로 CISO의 위상을 격하시키게 되고 불필요한 의사결정단계만 추가시키는 결과를 만들어 낼 수도 있다.

이 뿐만 아니라 CISO가 정보보호’최고’책임자가 아닌 단순한 정보보호책임자로 전락할 수도 있으며, 정보보안 이슈에 대한 최종 의사결정 기준이 정보보안 그 자체가 아닌, ‘개발 편의성(CTO)’이나 ‘정보의 활용(CIO)’ 또는 ‘비용(CFO)’이 될 수도 있게 된다.

둘째로 ‘CISO에게 책임을 수행하는데 필요한 권한을 보장해야 한다’는 규정을 포함시키지 않았다는 점이다. 현실적으로 보면, CISO는 기업의 정보보안을 기술적ㆍ법률적으로 책임지는 최고책임자이다.

그런데 현재의 정보통신망법에서는 CISO가 수행해야 하는 업무에 대한 ‘책임’만 규정되어 있을 뿐이고, 이러한 업무를 수행하는데 ‘필요한 권한을 보장해야 한다’는 규정은 찾아볼 수가 없다. 하다못해 동전도 양면이 제 기능을 하고 있어야 동전으로서 화폐가치를 인정받는다. 그런데 한 기업의 정보보안을 최종적으로 책임지는 CISO의 ‘책임’은 규정되어 있고 이러한 책임을 수행하기 위해 필요한 ‘권한의 보장’을 규정하지 않는다면, 앞서 지적한 것처럼 CISO의 위상이 격하되는데 더해서 CISO 제도 자체의 의도를 제대로 살려 나가지 못할 수도 있을 것이다.

CISO 제도의 실효성을 확보하고자 하는 개정 취지를 보장하기 위해서라도, 향후 정보통신망법 개정에서는 ‘CISO를 CEO 직속으로 두어야 한다’는 규정과 ‘CISO의 책임을 수행하는 데 필요한 권한을 보장해야 한다’는 규정이 포함되기를 조심스럽게 기대해 본다.

#CISO#백제현