2일 전

강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급

강은성 | CIO KR
정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다. 
 
ⓒGetty Images

2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다. 

다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.
 
개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항
 ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.  
   1. 정보보호관리체계의 수립 및 관리·운영
   2. 정보보호 취약점 분석·평가 및 개선
   3. 침해사고의 예방 및 대응
   4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등
   5. 정보보호 사전 보안성 검토
   6. 중요 정보의 암호화 및 보안서버 적합성 검토
   7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항
 ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다.  
   1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
      가. 정보보호 계획의 수립·시행 및 개선
      나. 정보보호 실태와 관행의 정기적인 감사 및 개선
      다. 정보보호 위험의 식별·평가 및 정보보호 대책 마련
      라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
   2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
      가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
      나. 「정보통신기반 보호법」 제5조 제5항에 따른 정보보호책임자의 업무
      다. 「전자금융거래법」 제21조의2 제4항에 따른 정보보호 최고책임자의 업무
      라. 「개인정보 보호법」 제31조 제2항에 따른 개인정보 보호책임자의 업무
      마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

먼저 CISO의 업무 구성 틀이 완전히 바뀐 것을 알 수 있다(제45조의3 제4항 제1호). 개인정보보호법 제31조(개인정보 보호책임자의 지정) 제2항(CPO의 업무)과 비슷한 구조로 됐는데, 개정 전 CISO 업무보다 직관적이고 이해하기 쉽다.

전통적인 CISO의 핵심 업무인 “침해사고의 예방, 탐지, 대응”이나 최근 강조되고 있는 “정보보호 거버넌스의 수립·운용”처럼 CISO와 정보보안 부서의 활동 토대가 되는 업무가 빠진 점이 좀 아쉽긴 하지만, 계속 변화하는 ‘업무’를 법령에서 상세하게 규정하는 것이 반드시 좋은 것만은 아닐 수도 있다.

또 한 가지 큰 변화는 CISO의 직급에 관한 것이다. 2012년 최초 도입할 때부터 있던 ‘임원급’ CISO 규정이 바뀌었다. 이 역시 9년 만에 처음 바뀐 것이다. 
 
제45조의3 (정보보호 최고책임자의 지정 등) 제1항
개정 전: 정보통신서비스 제공자는…임원급의 정보보호 최고책임자를 지정하고
개정 후: 정보통신서비스 제공자는…대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고

‘임원급’이 ‘대통령령으로 정하는 기준에 해당하는 임직원’으로 바뀌었다. 구체적인 사항은 대통령령에 맡겨 놓았으나, 굳이 ‘임원급’을 ‘임직원’으로 바꾼 것은 임원이 아닌 직원도 CISO로 지정할 수 있도록 길을 열어 놓기 위함일 것이다. 

무엇보다도 시행령에서도 ‘임원급’이란 모호한 말은 없애면 좋겠다. 전자금융거래법의 CISO 요건이나 개인정보보호법의 CPO 요건처럼 그냥 임원이라고 하면 된다. 임원급이란 용어가 있으니 기업에서도 임원 아닌 사람을 임원급으로 해석하려는 ‘꼼수’를 고민하게 된다. 

CISO의 직급에 관한 논점을 단순화하면 보안 전문성을 갖춘 임원을 찾기 어려운데, 그런 상황에서 CISO의 전문성과 임원 직급 사이에 어느 것이 더 중요하냐는 것이다.

예를 들어 (CISO의 겸직 금지 제한 요건에 해당하지 않는 기업에서) CFO 산하에 정보보안팀이 있고, 부장 직급의 보안전문가가 정보보안팀장을 맡고 있다고 하면, CFO가 CISO를 겸하는 것이 좋은가, 아니면 정보보안팀장을 CISO로 지정하는 것이 좋은가의 문제로 볼 수 있다.

정보보안팀장을 CISO로 지정하는 것이 좋다는 쪽은 주로 CISO의 전문성이 중요하다고 주장한다. 여기서 ‘전문성’은 주로 CISO가 보안 기술을 잘 알아야 한다는 의미가 크다. 일리가 없지 않으나 이렇게 되면 정보보안팀장이 CISO 업무를 수행하는 데 필요한 권한은 갖지 못한 채 책임만 지게 될 가능성이 작지 않다. 기업에서는 직급에 따라 권한이 부여되는 면이 크기 때문이다.

그래서 이런 상황에서는 CFO가 CISO를 겸직하도록 하는 것이 더 낫다고 생각한다. CISO의 업무에는 기술뿐 아니라 정보보호 거버넌스의 구축과 전사 보안 정책, 보안 관리, 정보보호 협업 체계 수립과 운용 등 보안 기술 외적인 업무도 상당하고, 정보보안 조직의 구성과 관리 같은 일반 관리 업무가 정보보안 조직에 미치는 영향도 크다. 

모두 직급과 권한이 중요한 분야다. 특히 조직 체계를 잘 갖춘 대기업은 이런 속성이 훨씬 강해서 제아무리 전문성이 뛰어난 팀장이라 하더라도 다른 임원 조직을 통제하기 어렵다. 대다수 중견기업도 마찬가지다. 

또한 CFO는 내부 관리 또는 내부 통제 업무도 일부하고 있으므로 보안 위험을 다루는 업무 속성과 충돌하지 않는다. 기술에 능한 정보보안팀장을 산하에 두는 것 또한 중요하다. 덧붙이면, 영업, 마케팅, 사업 등 회사의 사업 목표를 달성하기 위해 일정하게 보안 위험을 무릅써야 하는 임원은 보안 위험을 관리하는 CISO에 적합하지 않다.

물론 회사 환경이나 정보보안팀의 위상에 따라 다르다고 할 수도 있다. CEO를 비롯한 최고경영진이 보안 이슈를 중요하게 챙기고 보안문화가 잘 형성되어서 정보보안팀장이 실무만 잘 수행하면 되는 환경이라면, 얼마든지 부장이 CISO를 할 수도 있다. 다만 현실성은 많이 떨어진다.

따라서 임원 CISO를 기본으로 하되, 적절한 임원을 찾기 어려운 중소기업 정도에서 직원을 지정할 수 있도록 예외를 인정해 주는 것이 타당하리라 본다. 해당 직원도 전문성이 없다면 직급이 높은 것이 훨씬 낫다. 시행령 개정 과정에서 잘 정리되면 좋겠다.

끝으로, 겸직 가능한 업무를 적시한 것도 눈에 띈다(제45조의3 제4항 제2호). 2018년 개정에서 CISO의 겸직 금지 업무에 CPO 업무까지 포함했던 것에 비판이 많았던 점을 반영한 것으로 보인다. 개인정보 보호를 이유로 한 CISO 관련 법령의 제·개정 취지나 기업의 현실, 기업의 보안 위험 관리라는 업무 속성 측면에서 CISO의 CPO 겸직은 당연히 가능해야 한다. 늦었지만 다행스러운 일이다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 



2일 전

강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급

강은성 | CIO KR
정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다. 
 
ⓒGetty Images

2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다. 

다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.
 
개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항
 ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.  
   1. 정보보호관리체계의 수립 및 관리·운영
   2. 정보보호 취약점 분석·평가 및 개선
   3. 침해사고의 예방 및 대응
   4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등
   5. 정보보호 사전 보안성 검토
   6. 중요 정보의 암호화 및 보안서버 적합성 검토
   7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항
 ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다.  
   1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
      가. 정보보호 계획의 수립·시행 및 개선
      나. 정보보호 실태와 관행의 정기적인 감사 및 개선
      다. 정보보호 위험의 식별·평가 및 정보보호 대책 마련
      라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
   2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
      가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
      나. 「정보통신기반 보호법」 제5조 제5항에 따른 정보보호책임자의 업무
      다. 「전자금융거래법」 제21조의2 제4항에 따른 정보보호 최고책임자의 업무
      라. 「개인정보 보호법」 제31조 제2항에 따른 개인정보 보호책임자의 업무
      마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

먼저 CISO의 업무 구성 틀이 완전히 바뀐 것을 알 수 있다(제45조의3 제4항 제1호). 개인정보보호법 제31조(개인정보 보호책임자의 지정) 제2항(CPO의 업무)과 비슷한 구조로 됐는데, 개정 전 CISO 업무보다 직관적이고 이해하기 쉽다.

전통적인 CISO의 핵심 업무인 “침해사고의 예방, 탐지, 대응”이나 최근 강조되고 있는 “정보보호 거버넌스의 수립·운용”처럼 CISO와 정보보안 부서의 활동 토대가 되는 업무가 빠진 점이 좀 아쉽긴 하지만, 계속 변화하는 ‘업무’를 법령에서 상세하게 규정하는 것이 반드시 좋은 것만은 아닐 수도 있다.

또 한 가지 큰 변화는 CISO의 직급에 관한 것이다. 2012년 최초 도입할 때부터 있던 ‘임원급’ CISO 규정이 바뀌었다. 이 역시 9년 만에 처음 바뀐 것이다. 
 
제45조의3 (정보보호 최고책임자의 지정 등) 제1항
개정 전: 정보통신서비스 제공자는…임원급의 정보보호 최고책임자를 지정하고
개정 후: 정보통신서비스 제공자는…대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고

‘임원급’이 ‘대통령령으로 정하는 기준에 해당하는 임직원’으로 바뀌었다. 구체적인 사항은 대통령령에 맡겨 놓았으나, 굳이 ‘임원급’을 ‘임직원’으로 바꾼 것은 임원이 아닌 직원도 CISO로 지정할 수 있도록 길을 열어 놓기 위함일 것이다. 

무엇보다도 시행령에서도 ‘임원급’이란 모호한 말은 없애면 좋겠다. 전자금융거래법의 CISO 요건이나 개인정보보호법의 CPO 요건처럼 그냥 임원이라고 하면 된다. 임원급이란 용어가 있으니 기업에서도 임원 아닌 사람을 임원급으로 해석하려는 ‘꼼수’를 고민하게 된다. 

CISO의 직급에 관한 논점을 단순화하면 보안 전문성을 갖춘 임원을 찾기 어려운데, 그런 상황에서 CISO의 전문성과 임원 직급 사이에 어느 것이 더 중요하냐는 것이다.

예를 들어 (CISO의 겸직 금지 제한 요건에 해당하지 않는 기업에서) CFO 산하에 정보보안팀이 있고, 부장 직급의 보안전문가가 정보보안팀장을 맡고 있다고 하면, CFO가 CISO를 겸하는 것이 좋은가, 아니면 정보보안팀장을 CISO로 지정하는 것이 좋은가의 문제로 볼 수 있다.

정보보안팀장을 CISO로 지정하는 것이 좋다는 쪽은 주로 CISO의 전문성이 중요하다고 주장한다. 여기서 ‘전문성’은 주로 CISO가 보안 기술을 잘 알아야 한다는 의미가 크다. 일리가 없지 않으나 이렇게 되면 정보보안팀장이 CISO 업무를 수행하는 데 필요한 권한은 갖지 못한 채 책임만 지게 될 가능성이 작지 않다. 기업에서는 직급에 따라 권한이 부여되는 면이 크기 때문이다.

그래서 이런 상황에서는 CFO가 CISO를 겸직하도록 하는 것이 더 낫다고 생각한다. CISO의 업무에는 기술뿐 아니라 정보보호 거버넌스의 구축과 전사 보안 정책, 보안 관리, 정보보호 협업 체계 수립과 운용 등 보안 기술 외적인 업무도 상당하고, 정보보안 조직의 구성과 관리 같은 일반 관리 업무가 정보보안 조직에 미치는 영향도 크다. 

모두 직급과 권한이 중요한 분야다. 특히 조직 체계를 잘 갖춘 대기업은 이런 속성이 훨씬 강해서 제아무리 전문성이 뛰어난 팀장이라 하더라도 다른 임원 조직을 통제하기 어렵다. 대다수 중견기업도 마찬가지다. 

또한 CFO는 내부 관리 또는 내부 통제 업무도 일부하고 있으므로 보안 위험을 다루는 업무 속성과 충돌하지 않는다. 기술에 능한 정보보안팀장을 산하에 두는 것 또한 중요하다. 덧붙이면, 영업, 마케팅, 사업 등 회사의 사업 목표를 달성하기 위해 일정하게 보안 위험을 무릅써야 하는 임원은 보안 위험을 관리하는 CISO에 적합하지 않다.

물론 회사 환경이나 정보보안팀의 위상에 따라 다르다고 할 수도 있다. CEO를 비롯한 최고경영진이 보안 이슈를 중요하게 챙기고 보안문화가 잘 형성되어서 정보보안팀장이 실무만 잘 수행하면 되는 환경이라면, 얼마든지 부장이 CISO를 할 수도 있다. 다만 현실성은 많이 떨어진다.

따라서 임원 CISO를 기본으로 하되, 적절한 임원을 찾기 어려운 중소기업 정도에서 직원을 지정할 수 있도록 예외를 인정해 주는 것이 타당하리라 본다. 해당 직원도 전문성이 없다면 직급이 높은 것이 훨씬 낫다. 시행령 개정 과정에서 잘 정리되면 좋겠다.

끝으로, 겸직 가능한 업무를 적시한 것도 눈에 띈다(제45조의3 제4항 제2호). 2018년 개정에서 CISO의 겸직 금지 업무에 CPO 업무까지 포함했던 것에 비판이 많았던 점을 반영한 것으로 보인다. 개인정보 보호를 이유로 한 CISO 관련 법령의 제·개정 취지나 기업의 현실, 기업의 보안 위험 관리라는 업무 속성 측면에서 CISO의 CPO 겸직은 당연히 가능해야 한다. 늦었지만 다행스러운 일이다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 

X