2019.04.05

강은성의 보안 아키텍트 | 임원급 CISO의 지정과 겸직 금지

강은성 | CIO KR
지난해 6월 12일에 정보통신망법이 개정되면서 보안동네에서 관심이 컸던 사이버 보험 가입 의무화(제32조의3)와 임원급 정보보호최고책임자(CISO)의 지정 및 겸직금지(제45조의3)의 시행이 두 달 앞으로 다가왔다(2019.6.13 시행). 

그 중 제45조의3의 주요 개정 내용은 다음과 같다.

● 예외 요건에 해당하지 않는 정보통신서비스제공자는 임원급 CISO를 지정, 신고하여야 한다(제1항) 
● 일정 요건에 해당하는 정보통신서비스제공자의 CISO는 제4항에서 지정된 업무 외의 다른 업무를 겸직할 수 없다(제3항)

지난 2월에 과기정통부에서 낸 시행령 개정안에서는 제1항에 대해 소기업과 소상공인을 예외로 인정하였고(시행령 개정안 제36조의6 제1항), 제2항 CISO의 겸직 금지 요건으로는 자산총액 5조 원 이상인 자와 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 자로 규정하였다(시행령 개정안 제36조의6 제2항 신설). 또한 CISO의 자격 요건을 다음과 같이 규정하였다(시행령 개정안 제36조의6 제3항 신설).

● 직무 수행에 필요한 정보보호 또는 정보기술 관련 전문지식이나 실무 경험이 풍부한 자로 함. 단, 겸직이 금지되는 CISO는 상근하는 자로서 타 회사의 임직원이 아닌 자로 하고, 4년 이상의 정보보호 분야 또는 5년 이상 정보기술 분야(정보보호 2년 포함)의 경력을 구비하도록 함
 
정보통신망법 개정 이유에서 밝혔던 “CISO 제도의 실효성 확보”가 이뤄지려면 다음 사항이 심도 있게 검토될 필요가 있다고 판단된다.

첫째, CEO 이외에 다른 임원이 없다면 CEO가 CISO를 겸직해야 한다는 점을 명확히 할 필요가 있다. 정보통신망법과 개인정보보호법의 CPO 지정 조항에서는 사업주(대표자)가 CPO가 될 수 있게 함으로써 이런 문제를 해결하였다.

둘째, ‘임원급’에 대한 문제이다. ‘급'이란 표현이 있어서, 일부 기업에서 ‘임원급’의 정의에 관해 관심을 갖고 있고, 일부 보안실무자들은 팀장을 ‘임원급'으로 보임하여 권한은 없으면서 책임만 지는 CISO가 되지 않을까 우려하기도 한다. 보통 임원’급’이란 표현은 상무, 전무 등 전통적인 임원 체계가 없는 공무원이나 공공기관 등에서 임원에 해당하는 직급을 포괄할 때 사용된다. 요즘 인터넷서비스 기업 등 직급을 없앤 기업들이 있어서 이를 포괄하기 위한 표현으로 이해된다. 다만 전자금융거래법의 CISO나 개인정보보호법의 CPO는 ‘임원'으로 한다고 되어 있다. 정부에서도 이 조항의 임원급이나 CISO 지정신고서 양식에서 작성하는 직급/직책은 인사 발령으로 입증되어야 한다 등의 추가 안내를 통해 이를 명확히 할 필요가 있다. 

셋째, CISO의 CPO 겸직 여부에 관한 것이다. 기업의 관심이 큰 부분이다. 나는 CISO가 CPO를 겸직할 수 있어야 한다고 생각한다. 그 이유는 다음과 같다.

우선, 보안 리스크를 관리하는 CISO의 업무와 개인정보 리스크를 관리하는 CPO의 업무는 본질적으로 리스크를 관리하는 업무로서 서로 충돌하지 않는다.

CISO의 겸직금지 규정은 전자금융거래법에 먼저 생겼다. 전자금융거래법에서는 일정 요건에 해당하는 금융회사 또는 전자금융업자에서는 CISO가 정보기술부문 업무(CIO 업무)를 겸직할 수 없도록 하고 있는데(제21조의2 제3항), 이것은 2014년 1월 카드사의 개인정보 유출사태가 발생한 뒤 신설된 조항이다. 이 조항은 개정 이유에서 “개인정보 유출방지 및 해킹 등”에 대응하기 위해 “CISO의 겸직을 제한”한다고 하였으나 실제 법조문에서는 CISO가 CIO를 겸직하는 것만 제한하였다. 

효율성(경영혁신)과 비즈니스 지원을 목표로 하는 CIO와 보안 리스크 최소화를 목표로 하는 CISO는 미션과 목표가 상충할 수 있어서 CIO가 CISO를 겸직할 때 보안 리스크 관리 기능이 약화될 수 있다. 따라서 이 두 직책의 겸직금지는 보안을 강화하는 데 도움이 된다. 하지만 CISO와 CPO는 중요 정보의 보호 또는 개인정보의 보호와 관련 리스크 관리라는 공동의(비슷한) 미션과 목표를 가진다.

둘째, 정보통신망법에서 규정한 CISO의 업무와 CPO의 업무에 공통부분이 적지 않다.

CISO의 업무는 다음과 같이 규정되어 있다(개정안 제45조의3 제4항). 

1. 정보보호관리체계의 수립 및 관리ㆍ운영
2. 정보보호 취약점 분석ㆍ평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

위 내용 중 제1호와 제6호는 직접적으로 CPO의 업무와 연관된다. 정보통신망법에서는 정보보호 관리체계(ISMS) 인증(제47조)과 개인정보보호 관리체계(PIMS) 인증(제47조의3)을 규정하고 있는데, 이 둘을 통합하여 “ISMS + 개인정보 처리단계별 요구사항”으로 정의한 ISMS-P의 내용은 기존 PIMS 인증과 거의 같다. 따라서 법적으로 ISMS의 수립과 관리ㆍ운영을 책임지는 CISO와 PIMS의 수립과 관리ㆍ운영을 책임지는 CPO의 업무에 상당한 교집합이 존재한다. 또한 정보통신망법에서는 암호화를 통해 저장ㆍ전송 시 개인정보를 안전하게 관리할 것을 규정하고 있는데(제28조 제1항 제4호, 시행령 제15조 제4항), 이것은 법적으로 이용자의 개인정보를 보호해야 하는 CPO의 업무이면서 동시에 “중요 정보의 암호화”(제6호)를 하는 CISO의 업무이다. 개인정보를 다루는 대부분 기업에서 중요 정보의 핵심은 개인정보이기 때문이다. 따라서 정보통신망법상 CISO의 업무에 CPO의 업무가 상당 부분 포함된다.

셋째, CISO의 CPO 업무 겸직 금지는 대다수 기업의 개인정보보호 관리체계와 상충한다.

대다수 기업에서 CPO는 겸임 직책이다. 어느 정도 개인정보보호에 투자하는 일정 규모 이상의 기업과 공공기관 CPO들의 모임인 한국CPO포럼에도 전담 CPO는 없다. 다른 직책을 맡고 있는 사람들이 자신의 업무의 50% 이하의 시간을 들여 CPO 업무를 수행한다. 경영스탭, 홍보, HR, CISO, CIO 등이 CPO 업무를 겸임하고 있다[1]. 또한 법적으로 CPO가 수행해야 할 핵심 업무인 ‘개인정보의 보호조치' 또는 ‘개인정보의 기술적ㆍ관리적 보호조치'를 대다수 기업에서 CISO나 CIO가 수행하는 현실을 고려하면 CISO는 유력한 CPO 업무 겸직 후보 중 하나이다. 게다가 이미 대형 금융회사와 전자금융업자에게도 CISO가 CPO를 겸직할 수 있게 허용되어 있는데도 그들보다 자산 규모나 보유한 개인정보 규모가 크지 않은 일반 민간기업에 이를 금지하는 것은 형평성에도 어긋나고 현실적이지도 않다.

좀더 본질적으로는 관련 법의 개정을 통해 다음 사항이 개선되었으면 한다.

첫째, CISO의 다른 모든 직책 겸직금지 조항은 과도한 규제이다.

법에서 CISO-CIO 겸직을 금지하는 것도 세계적으로 유례가 드물텐데, 하물며 이를 넘어서 CISO가 다른 모든 업무를 겸직하지 못하게 하는 법은 세계 그 어디에도 없을 것 같다. 그것도 민간기업에 대해서 말이다. 국가경제의 인프라인 금융회사에서 내부통제 관련 업무를 총괄하기 때문에 임면과 임기, 독립성, 자격요건 등을 법률(금융사지배구조법 제25조, 제26조)에 의해 엄격하게 규정한 준법감시인조차도 겸직을 허용하고 있다. 실제로 많은 금융회사에서 준법감시인이 CPO를 겸직했다가 CISO-CIO 겸직금지가 실시된 이후 대형 금융회사에서 CISO가 CPO를 겸임하고 있다.

둘째, 개인정보보호에 관한 업무 분장이 기업 현실과 매우 다르다.

정보통신망법에서 CPO는 제4장(개인정보의 보호)에서, CISO는 제6장(정보통신망의 안정성 확보 등)에서 규정하고 있어서, 개인정보 보호조치를 포함해 개인정보의 보호에 관한 법적 책임은 CPO에게 있고, 해킹, 디도스 등의 외부 공격에 대한 대응은 CISO의 업무로 되어 있다. 개인정보보호법에는 아예 CISO가 규정되어 있지 않기 때문에 모든 개인정보 관련 업무는 CPO가 책임지게 되어 있다. 

하지만 기업에서 CPO는 개인정보 보호 컴플라이언스와, 사업 및 서비스에서의 개인정보보호 정책을 담당하고, 개인정보 보호조치(또는 개인정보의 기술적ㆍ관리적 보호조치)는 CISO가 담당하는 것이 일반적이다. 따라서 기업에서 CPO는, 권한도 없고 수행하지도 않는 업무에 대해서도 법적 책임을 가진 달갑지 않은 직책이 되었다. 법이 현실과 동떨어져 있기 때문에 발생하는 일이다.
 
개인정보의 보호가 점점 더 중요해지는 만큼 기업에서 CISO와 CPO가 적절한 업무 분장에 따라 책임과 권한을 행사할 수 있는 법적 환경이 마련될 수 있기를 바란다. 

[참고문헌]
[1] 강은성, “CPO를 누가 맡는 게 좋을까?” 아이뉴스24, 2014.05.28, http://www.inews24.com/view/824695

*강은성 대표는 보안전문업체 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 보안컨설팅과 보안교육을 진행하였고, 지금은 암호화폐 개발업체인 블록체인오에스의 CISO로 일하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr



2019.04.05

강은성의 보안 아키텍트 | 임원급 CISO의 지정과 겸직 금지

강은성 | CIO KR
지난해 6월 12일에 정보통신망법이 개정되면서 보안동네에서 관심이 컸던 사이버 보험 가입 의무화(제32조의3)와 임원급 정보보호최고책임자(CISO)의 지정 및 겸직금지(제45조의3)의 시행이 두 달 앞으로 다가왔다(2019.6.13 시행). 

그 중 제45조의3의 주요 개정 내용은 다음과 같다.

● 예외 요건에 해당하지 않는 정보통신서비스제공자는 임원급 CISO를 지정, 신고하여야 한다(제1항) 
● 일정 요건에 해당하는 정보통신서비스제공자의 CISO는 제4항에서 지정된 업무 외의 다른 업무를 겸직할 수 없다(제3항)

지난 2월에 과기정통부에서 낸 시행령 개정안에서는 제1항에 대해 소기업과 소상공인을 예외로 인정하였고(시행령 개정안 제36조의6 제1항), 제2항 CISO의 겸직 금지 요건으로는 자산총액 5조 원 이상인 자와 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 자로 규정하였다(시행령 개정안 제36조의6 제2항 신설). 또한 CISO의 자격 요건을 다음과 같이 규정하였다(시행령 개정안 제36조의6 제3항 신설).

● 직무 수행에 필요한 정보보호 또는 정보기술 관련 전문지식이나 실무 경험이 풍부한 자로 함. 단, 겸직이 금지되는 CISO는 상근하는 자로서 타 회사의 임직원이 아닌 자로 하고, 4년 이상의 정보보호 분야 또는 5년 이상 정보기술 분야(정보보호 2년 포함)의 경력을 구비하도록 함
 
정보통신망법 개정 이유에서 밝혔던 “CISO 제도의 실효성 확보”가 이뤄지려면 다음 사항이 심도 있게 검토될 필요가 있다고 판단된다.

첫째, CEO 이외에 다른 임원이 없다면 CEO가 CISO를 겸직해야 한다는 점을 명확히 할 필요가 있다. 정보통신망법과 개인정보보호법의 CPO 지정 조항에서는 사업주(대표자)가 CPO가 될 수 있게 함으로써 이런 문제를 해결하였다.

둘째, ‘임원급’에 대한 문제이다. ‘급'이란 표현이 있어서, 일부 기업에서 ‘임원급’의 정의에 관해 관심을 갖고 있고, 일부 보안실무자들은 팀장을 ‘임원급'으로 보임하여 권한은 없으면서 책임만 지는 CISO가 되지 않을까 우려하기도 한다. 보통 임원’급’이란 표현은 상무, 전무 등 전통적인 임원 체계가 없는 공무원이나 공공기관 등에서 임원에 해당하는 직급을 포괄할 때 사용된다. 요즘 인터넷서비스 기업 등 직급을 없앤 기업들이 있어서 이를 포괄하기 위한 표현으로 이해된다. 다만 전자금융거래법의 CISO나 개인정보보호법의 CPO는 ‘임원'으로 한다고 되어 있다. 정부에서도 이 조항의 임원급이나 CISO 지정신고서 양식에서 작성하는 직급/직책은 인사 발령으로 입증되어야 한다 등의 추가 안내를 통해 이를 명확히 할 필요가 있다. 

셋째, CISO의 CPO 겸직 여부에 관한 것이다. 기업의 관심이 큰 부분이다. 나는 CISO가 CPO를 겸직할 수 있어야 한다고 생각한다. 그 이유는 다음과 같다.

우선, 보안 리스크를 관리하는 CISO의 업무와 개인정보 리스크를 관리하는 CPO의 업무는 본질적으로 리스크를 관리하는 업무로서 서로 충돌하지 않는다.

CISO의 겸직금지 규정은 전자금융거래법에 먼저 생겼다. 전자금융거래법에서는 일정 요건에 해당하는 금융회사 또는 전자금융업자에서는 CISO가 정보기술부문 업무(CIO 업무)를 겸직할 수 없도록 하고 있는데(제21조의2 제3항), 이것은 2014년 1월 카드사의 개인정보 유출사태가 발생한 뒤 신설된 조항이다. 이 조항은 개정 이유에서 “개인정보 유출방지 및 해킹 등”에 대응하기 위해 “CISO의 겸직을 제한”한다고 하였으나 실제 법조문에서는 CISO가 CIO를 겸직하는 것만 제한하였다. 

효율성(경영혁신)과 비즈니스 지원을 목표로 하는 CIO와 보안 리스크 최소화를 목표로 하는 CISO는 미션과 목표가 상충할 수 있어서 CIO가 CISO를 겸직할 때 보안 리스크 관리 기능이 약화될 수 있다. 따라서 이 두 직책의 겸직금지는 보안을 강화하는 데 도움이 된다. 하지만 CISO와 CPO는 중요 정보의 보호 또는 개인정보의 보호와 관련 리스크 관리라는 공동의(비슷한) 미션과 목표를 가진다.

둘째, 정보통신망법에서 규정한 CISO의 업무와 CPO의 업무에 공통부분이 적지 않다.

CISO의 업무는 다음과 같이 규정되어 있다(개정안 제45조의3 제4항). 

1. 정보보호관리체계의 수립 및 관리ㆍ운영
2. 정보보호 취약점 분석ㆍ평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

위 내용 중 제1호와 제6호는 직접적으로 CPO의 업무와 연관된다. 정보통신망법에서는 정보보호 관리체계(ISMS) 인증(제47조)과 개인정보보호 관리체계(PIMS) 인증(제47조의3)을 규정하고 있는데, 이 둘을 통합하여 “ISMS + 개인정보 처리단계별 요구사항”으로 정의한 ISMS-P의 내용은 기존 PIMS 인증과 거의 같다. 따라서 법적으로 ISMS의 수립과 관리ㆍ운영을 책임지는 CISO와 PIMS의 수립과 관리ㆍ운영을 책임지는 CPO의 업무에 상당한 교집합이 존재한다. 또한 정보통신망법에서는 암호화를 통해 저장ㆍ전송 시 개인정보를 안전하게 관리할 것을 규정하고 있는데(제28조 제1항 제4호, 시행령 제15조 제4항), 이것은 법적으로 이용자의 개인정보를 보호해야 하는 CPO의 업무이면서 동시에 “중요 정보의 암호화”(제6호)를 하는 CISO의 업무이다. 개인정보를 다루는 대부분 기업에서 중요 정보의 핵심은 개인정보이기 때문이다. 따라서 정보통신망법상 CISO의 업무에 CPO의 업무가 상당 부분 포함된다.

셋째, CISO의 CPO 업무 겸직 금지는 대다수 기업의 개인정보보호 관리체계와 상충한다.

대다수 기업에서 CPO는 겸임 직책이다. 어느 정도 개인정보보호에 투자하는 일정 규모 이상의 기업과 공공기관 CPO들의 모임인 한국CPO포럼에도 전담 CPO는 없다. 다른 직책을 맡고 있는 사람들이 자신의 업무의 50% 이하의 시간을 들여 CPO 업무를 수행한다. 경영스탭, 홍보, HR, CISO, CIO 등이 CPO 업무를 겸임하고 있다[1]. 또한 법적으로 CPO가 수행해야 할 핵심 업무인 ‘개인정보의 보호조치' 또는 ‘개인정보의 기술적ㆍ관리적 보호조치'를 대다수 기업에서 CISO나 CIO가 수행하는 현실을 고려하면 CISO는 유력한 CPO 업무 겸직 후보 중 하나이다. 게다가 이미 대형 금융회사와 전자금융업자에게도 CISO가 CPO를 겸직할 수 있게 허용되어 있는데도 그들보다 자산 규모나 보유한 개인정보 규모가 크지 않은 일반 민간기업에 이를 금지하는 것은 형평성에도 어긋나고 현실적이지도 않다.

좀더 본질적으로는 관련 법의 개정을 통해 다음 사항이 개선되었으면 한다.

첫째, CISO의 다른 모든 직책 겸직금지 조항은 과도한 규제이다.

법에서 CISO-CIO 겸직을 금지하는 것도 세계적으로 유례가 드물텐데, 하물며 이를 넘어서 CISO가 다른 모든 업무를 겸직하지 못하게 하는 법은 세계 그 어디에도 없을 것 같다. 그것도 민간기업에 대해서 말이다. 국가경제의 인프라인 금융회사에서 내부통제 관련 업무를 총괄하기 때문에 임면과 임기, 독립성, 자격요건 등을 법률(금융사지배구조법 제25조, 제26조)에 의해 엄격하게 규정한 준법감시인조차도 겸직을 허용하고 있다. 실제로 많은 금융회사에서 준법감시인이 CPO를 겸직했다가 CISO-CIO 겸직금지가 실시된 이후 대형 금융회사에서 CISO가 CPO를 겸임하고 있다.

둘째, 개인정보보호에 관한 업무 분장이 기업 현실과 매우 다르다.

정보통신망법에서 CPO는 제4장(개인정보의 보호)에서, CISO는 제6장(정보통신망의 안정성 확보 등)에서 규정하고 있어서, 개인정보 보호조치를 포함해 개인정보의 보호에 관한 법적 책임은 CPO에게 있고, 해킹, 디도스 등의 외부 공격에 대한 대응은 CISO의 업무로 되어 있다. 개인정보보호법에는 아예 CISO가 규정되어 있지 않기 때문에 모든 개인정보 관련 업무는 CPO가 책임지게 되어 있다. 

하지만 기업에서 CPO는 개인정보 보호 컴플라이언스와, 사업 및 서비스에서의 개인정보보호 정책을 담당하고, 개인정보 보호조치(또는 개인정보의 기술적ㆍ관리적 보호조치)는 CISO가 담당하는 것이 일반적이다. 따라서 기업에서 CPO는, 권한도 없고 수행하지도 않는 업무에 대해서도 법적 책임을 가진 달갑지 않은 직책이 되었다. 법이 현실과 동떨어져 있기 때문에 발생하는 일이다.
 
개인정보의 보호가 점점 더 중요해지는 만큼 기업에서 CISO와 CPO가 적절한 업무 분장에 따라 책임과 권한을 행사할 수 있는 법적 환경이 마련될 수 있기를 바란다. 

[참고문헌]
[1] 강은성, “CPO를 누가 맡는 게 좋을까?” 아이뉴스24, 2014.05.28, http://www.inews24.com/view/824695

*강은성 대표는 보안전문업체 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 보안컨설팅과 보안교육을 진행하였고, 지금은 암호화폐 개발업체인 블록체인오에스의 CISO로 일하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr

X