CISO 지정신고, 더 이상 미룰 수 없다

[CCTV뉴스=최형주 기자] 최근 인도에서는 핵발전소가 해킹 당해 가동이 중단된 사건이 발생했고, 국내에서도 국방부와 한국수력원자력이 해킹 피해를 입은 이력이 있다.

이렇게 국가급 보안 시설들도 사이버 공격에 뚫리는 상황이지만, 지난 6월 13일부터 시행돼 계도 기간이 약 한 달 남은 ‘CISO 지정신고제도(정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 개정안)’의 이행률은 바닥을 기고 있다.

기업들은 왜 CISO를 지정하지 않을까? 그리고 CISO는 기업에 정말 필요한 존재일까?

CISO란

CISO(Chief Information Security Officer, 정보보호최고책임자)는 기업 정보보안의 기술적 대책과 법률 대응을 총괄해 책임지는 최고 임원이다.

2014년 11월 7일 미래창조과학부(현 과학기술정보통신부)가 발표한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령을 통해 국내에 도입됐다.

당시 이 제도는 정부와 기업 보안 책임자 간 정보 채널을 구성하고 각종 보안 위협에 대응하기 위한 방편으로 설계됐다.

CISO가 최고위급 임원직으로 설계된 것은 사이버 공격이 기업 경영의 근간을 흔들 수도 있다는 이유에서이며, 정부는 기업들이 지속적 성장을 유지할 수 있도록 경영진과 이사회 등과 동등한 위치에서 보안에 대한 소통과 협업 전반을 관리하는 자리가 필요하다고 여겼다.

CISO는 기업 내에서 보안업무를 위한 조직과 인력, 예산, 권한과 책임을 가지고 ▲정보보호 정책과 지침 ▲정보보호 프로세스 ▲정보보호 사업 목표 ▲임직원 정보보호 인식 제고를 위한 훈련 ▲정보 자산 종류와 수에 따른 대책 마련 ▲계정 및 권한 관리 ▲공격 조기 탐지를 위한 모니터링 등의 업무를 수행한다.

CISO가 필요한 이유는?

CISO가 반드시 필요한 이유를 찾기는 어렵지 않다. 우리는 이미 많은 기업들의 허술한 보안인식으로 발생한 개인정보 유출 사례들을 접해왔다.

대표적인 사례로는 지난 2013년 국민카드의 ‘카드사고분석시스템’ 업그레이드 용역을 맡은 KCB의 직원 박모씨가 국민카드사 고객 개인정보 5378만 건을 대출중개업자에 유출한 사건이있다.

당시 박씨는 국민카드 외에도 농협카드와 롯데카드사의 고객정보를 포함해 혼자서 총 1억 400만 건의 개인정보 유출 범행을 저지른 것으로 드러났다.

이후 500여 명의 유출 피해자들이 정신적 피해 등을 이유로 국민카드와 KCB에 소송을 걸었고, 양사는 박씨 개인이 주도한 일이라며 손해 배상의 책임이 없음을 주장했다.

하지만 결국 2019년 8월, 법원은 관리감독 소홀을 이유로 원고들에게 인당 10만 원씩을 배상하라는 판결을 내렸다.

이 사건에서 우리가 눈여겨봐야 할 부분은 두 가지로, 첫째는 관리 소홀이다. 국민카드는 금융사인만큼 개인 혹은 기업의 가장 중요한 정보들을 가지고 있다. 하지만 이를 시스템 업그레이드 용역을 맡은 KCB 직원 한 사람이 빼돌릴 수 있었다는 것은, 접근 계정과 권한에 대한 관리가 제대로 이뤄지지 않았다는 뜻이다.

특히 외부인이 이러한 정보에 접근하는 와중에도 단 한 차례의 관리 개입도 없었다는 것은, 정보를 대하는 기업의 태도부터가 잘못됐다고 해도 과언이 아니다. 게다가 유출 이후에도 관리 소홀의 책임을 인정하지 않고 소송을 5년 이상 이어왔다는 것은, 개인정보 보호에 대한 인식과 책임감이 아주 낮은 수준임을 여과없이 보여준다.

두 번째는 배상 금액이다. 500여 명에게 10만 원씩을 보상할 경우 배상금은 5천만 원 수준이라 그리 커 보이지 않는다. 하지만 이는 정보 유출 고객 5378만 명 중 일부만이 소송을 걸었기 때문이고, 이렇게 개인정보 유출이 배상으로 이어지는 판례가 남게 된 것만으로도 업계에 시사하는 바가 크다.

만약 10만 명의 고객정보를 관리 중이던 중소기업이 개인정보 유출 사고를 일으키게 된다면, 인당 10만 원씩만 계산해도 100억 원에 가까운 보상금을 지급해야 한다. 해당 기업이 이 정도 수준의 배상금을 감당할 수 없다면 그대로 파산절차를 밟아야 할 수도 있다.

이러한 상황을 방지하기 위해, 그리고 기업의 서비스를 이용하는 다수의 안전을 보장하기 위해 CISO는 반드시 필요하다. 기업이 이익을 위해 고객 정보를 수집하면, 당연히 이에 대한 사회적 책임이 발생하고, 이를 성실히 이행하기 위해서는 전문가 관리를 동반하는 철두철미한 보안책 마련이 필수적이다.

과학기술정보통신부에서 CISO지정신고제도를 담당하고 있는 윤승용 사이버침해대응과 사무관은 “모든 정보가 인터넷을 통해 전달되고 있는 이른바 ‘초연결시대’의 도래로 CISO의 존재가 매우 중요해졌다”며 “CISO 제도는 전문성을 갖춘 임원급 직원이 정보보호 업무를 전담해 철저하게 침해사고를 예방하고, 신속한 대응을 담보하기 위해 만들어졌다”고 강조했다.

낮은 이행률, 정부도 기업도 잘못

현재 CISO 지정신고가 필요한 기업은 3만 9천여 곳 이지만, 신청 기업은 11월 초 기준 고작 1만 1600여 곳 뿐이다. 이렇게 이행률이 낮은 이유는 무엇일까? 개정안 자체에 문제가 있는 것은 아닐까?

기존 정보통신망법 시행령에선 ▲‘저작권법’ 제104조제1항에 따라 특수한 유형의 온라인서비스제공자로서 상시 종업원 수가 5명 이상이거나 ▲‘전자상거래 등에서의 소비자보호에 관한 법률’ 제2조제3호에 따른 통신판매업자(통신판매중개업자 포함)로서 상시 종업원 수가 5명 이상인 경우에 CISO를 지정해야 했다.

다시 말해 소기업이라도 고객정보를 조금이라도 다루는 경우, 종업원 수가 5인이 되면 CISO를 따로 지정해야 하는 상황이 벌어진다.

한국인터넷진흥원 사이버보안빅데이터센터 김정희 센터장의 말을 빌려 조금 과장되게 설명하자면, 직원이 5명인 동네 정육점이 인터넷을 통해 고기를 팔면 CISO를 지정해야 하는 웃지 못 할 상황이 벌어지는 것이다.

그런데 개정안은 이런 문제를 해결했다. 새로 개정된 시행령은 ▲전년도 말 기준 직전 3개월간의 일 평균 이용자 수가 100만 명 이상이거나 ▲전년도 정보통신서비스 부문 매출액 100억 원 이상인 기업 중 ▲전기통신사업자와 직접정보통신시설사업자들에 한해 CISO를 지정신고하게 했다. 정부는 이 개정안을 통해 정보통신서비스 제공 기업을 19만 9천여 곳에서 3만 9천여 곳으로 줄여 사실상 제도 자체를 완화했다.

제도가 문제가 아니라면 남은 문제는 무엇일까? 지정신고가 필요한 기업 수와 정보보호 인력 수를 한번 살펴보자.

2016년 정보보호 인력수급 실태조사를 통해 보고된 국내 정보보호 인력은 12만 3743명이었다. 그리고 이중 CISO 선임 조건에 부합하는 고급 인력은 5만 1890명 이상이었다.

신고가 필요한 기업과 고급인력의 수에서 이미 CISO 지정신고를 완료한 9천여 개의 기업을 제하면, 고작 6개월 만에 3만 개의 업체가 4만 3천여 명의 고급 정보보안 인력 중 자사에 맞는 성향의 인물을 찾아 CISO를 선임해야 한다는 계산이 나온다.

다시 말해 약 3만여 명의 이직이 6개월만에 이뤄져야 한다는 것인데, 이들이 최고 임원급이란 점을 감안하면 현실적으로 말이 되지 않는다. 즉, 인력수급 문제를 고려하지 않은 탁상행정이라는 결론이 나온다.

그렇다고 정책만을 탓할 수는 없다. 기업들의 취약한 보안 인식도 낮은 CISO 의무지정 신고율을 거들고 있다. 앞서 언급했듯 CISO제도가 공식적으로 발표된 것은 지난 2014년 11월이다.

그런데 이로부터 4년 6개월이 지난 2019년 4월 말, 당시 CISO 지정신고 대상이던 19만 9천여 기업 중 단 9천여 개 업체만이 CISO를 지정신고한 상태였다. 이 수치는 국내 기업들의 보안 인식이 얼마나 허술했는지를 잘 보여준다.

국내 기업들의 낮은 보안 인식은 해외 사례와의 비교를 통해 더욱 여실히 드러난다. 2016년 기준, 미국 기업 중 CISO(또는 CSO)를 임명한 기업은 65%(ISACA 자료)였다. 일본 기업의 경우 45.9%(NRI Secure Technologies 자료)가 CISO를 임명했다.

물론, 미국의 경우 자국내에서 발생하는 잦은 테러로 CISO가 필수적으로 임명돼야 한다는 분위기가 있었고, 일본은 2009년부터 ‘일본정부 정보보안대책 통합지침’을 수립했고, 매년 이를 개정해 보급하고 있어 기업들의 거부감을 덜어낸 지 오래다.

양 국가 모두 우리보다 더 빠르게 CISO(당시엔 CSO) 제도를 도입했으니 상대적으로 더 많은 기업들이 CISO를 보유하고 있는 것은 당연한 일이다. 그러나 미국은 CISO를 의무화하지 않았다. 반면 우리는 자진신고가 가능했던 지난 4.5년 간 9천여 개 기업만이 CISO를 선임했고, 개정안 발표 전을 기준으로 신고율도 5%를 이제 막 넘어선 참이다.

따라서 상대적으로 도입 시기가 늦었다는 것이 국내기업의 CISO 지정신고 불이행에 대한 면죄부가 될 수는 없다.

계도기간 종료, 그 이후

2020년 1월 1일부터 과기부는 대상기업의 의무이행 여부를 확인하고 과태료 부과를 사전 통지한다. CISO 지정신고 의무 불이행 시 과태료 부과 기준금액은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 1회 위반 시 1천만 원, 2회 위반 시 2천만 원, 3회 이상 위반 시 3천만 원이다. 사전통지기간부터 과태료 부과까지는 약 15일의 이의제기 기한이 주어질 예정이다.

하지만 지난달인 11월까지 CISO 지정신고 기업은 1만 1600여곳으로, 개정 전과 비교해 고작 2천여 개가 늘었다. 이러한 상황에서 남은 기업들이 올 연말까지 모두 CISO를 지정신고 한다는 것은 사실상 불가능하고, 결국 많은 기업들이 과태료를 내게 되는 상황이 발생할 것이다.

앞서 언급한 인도의 핵발전소, 국방부, 한국수력원자력과 같이 ‘망분리’를 통해 내부망과 외부망이 나눠져 있는 기관들도 당할 수 있는 것이 바로 해킹이다.

우리는 이 사건들에서 철저히 관리돼야 하는 국가급 보안 시설도 부족한 대비와 구성원의 허술한 보안의식으로 해킹 피해를 입을 수 있음을 알 수 있었다. 그리고 이것이 CISO가 우리 사회와 기업에 반드시 필요한 존재인 이유다.

CISO 지정신고제도의 의무화는 개인 혹은 기업을 불편하게 만들고자 하는 제도가 아니다. 기업은 고객 개인의 정보를 지키기 위해, 한발 더 나아가 회사의 존폐 유무를 결정지을 수 있는 대형 보안 사고를 미연에 방지해 피해를 최소한으로 줄이기 위해 필요한 제도다.

윤승용 사무관은 “현재 과기부는 임원급 CISO 확보를 위해 전문인력 양성정책, 교육지원 정책 등을 통해 전문가 육성을 지원하고 있다”며 “앞으로도 정보보호 최고책임자의 직무, 개인정보 보호책임자와의 관계, 임원급의 의미 등이 제도적으로 꾸준히 보완된다면 제도적 완결성이 더욱 커질 것”이라고 강조했다.

모든 것이 인터넷을 통해 오가는 5G 시대. 우리의 개인정보를 보유하고 있는 기업들의 보안의식은 과연 안녕할까? 기업을 넘어서, 우리 사회 전체의 보안인식이 다시 한번 제고돼야 하는 시점이다.