Offcanvas

CSO / 비즈니스|경제

강은성의 보안 아키텍트ㅣ정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)의 자격 요건

2022.02.14 강은성  |  CIO KR
2012년 정보통신망법에 정보보호최고책임자(CISO) 규정이 들어온 뒤 처음으로 임원이 아니라 직원이 CISO가 될 수 있도록 작년 6월에 법이 개정된 뒤 작년 12월 시행령에 구체적인 요건이 들어갔다.
 
“다. 정보보호 관련 업무를 총괄하는 부서의 장” 
(시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제1항 제3호 다목)

즉, 직전 사업연도 말 기준 자산총액이 5조 원 미만이거나 ISMS 인증 의무대상이면서 자산총액 5천억 원 미만인 기업에서는 과장급 정보보안팀장이 CISO가 될 수 있게 된 것이다. CISO 업무는 통제 권한이 있어야 수행할 수 있는 업무가 많은데, 기업에서는 아무리 직책이 CISO라고 해도 직급을 뛰어넘는 권한이 생기기 어렵다. 직원 CISO는 권한은 없고 책임만 지게 되기 십상이다. 

중소기업도 아니고 자산총액 수조 원인 중견기업에 임원이 적지 않은데, 과기정통부가 왜 시행령을 저렇게 만들었는지 의문이다. CISO의 취지와 배경, 그것이 기업 현장에서 어떻게 작동하는지 제대로 이해하고 있는지 모르겠다. 이에 관한 상세한 내용은 지난 칼럼(강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급)을 참고하기 바란다. 

‘임원’ 요건과 연관된 또 하나의 CISO 요건이 ‘자격’ 요건이다. 정보통신망법에 따라 지정·신고해야 하는 기업의 CISO는 다음과 같은 ‘자격’을 갖춰야 한다.
 
1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람
2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
5. 정보보호 관리체계(ISMS) 인증심사원의 자격을 취득한 사람
6. 해당 정보통신 서비스 제공자(기업)의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
(시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제4항)

정보보호 또는 정보기술 분야가 어떤 전공과 경력인지는 이를 깨알같이 나열한 전자금융거래법령을 인용한다. 적시된 학과를 나와서 적시된 분야의 업무를 적시한 기간 동안 수행한 증빙이 있어야 CISO를 할 수 있다는 것이다. 그 공부를 열심히 했는지, 독학으로 공부를 했는지, 업무 성과는 좋았는지는 관심이 없다. 오로지 법령에서 규정한 학력, 전공, 경력 분야와 기간, 자격증 보유라는 형식을 갖춰야 한다!

근본적으로 이 자격 요건은 기업의 CISO 선임 결과를 못 믿겠다는 인식에서 출발한 것으로 보인다. 기업은 시간(과 공간)의 제약을 받으며 한정된 자본과 인력으로 수익을 내야 하는 조직이어서 중요 직책에 좋은 인력을 선임하는 것은 기본 중의 기본이다. 그럼에도 (심지어!) 임원급 인력에 대한 자격 요건을 기업의 판단이 들어갈 필요가 없는 매우 초보적인 기준을 만들어 놓았다는 것은 정부가 전적으로 판단하겠다는 규제기관 중심의 마인드가 깔려있다. 표준기관이나 시장조사업체에서 CISO에 어떤 역량이 필요한지 발표한 것이 여럿 있으나 그것을 판단하는 것은 어디까지나 CISO를 선임하는 기업의 몫이다. 

기업의 주요 직책에 법령에서 전공과 경력 요건을 이렇게 상세하게 써 놓은 사례가 국내외를 막론하고 얼마나 있는지 모르겠다. 국내에서도 유독 보안 동네만 이런 게 아닌가 싶다. 이런 자격 요건을 갖춘 임원을 찾기 어려운 중견기업에서 CISO의 임원 요건을 없애 달라고 했다면 과기정통부에서는 오히려 이 ‘자격’ 요건을 없애는 것이 적절했을 것이다. 

한 가지 우려스러운 점은 이제 이것이 DPO(Data Protection Officer)의 ‘전문성’이란 말과 더불어 개인정보보호책임자(CPO)의 자격 이슈로 옮겨왔다는 것이다. 유럽 개인정보보호법(GDPR)의 DPO 요건은 다음과 같다. 
 
“DPO는 직무상의 자질, 특히 개인정보보호법과 실무에 대한 전문가적 지식 및 제39조에 규정된 업무를 수행할 수 있는 능력에 근거하여 지정되어야 한다.” 
(GDPR 제37조(DPO의 지정) 제5항)

이 짧은 문장 어디에도 학력, 전공, 경력, 자격증 요건이 없다. “법과 실무에 대한 전문적 지식, 업무를 잘 수행할 수 있는 능력”이다. GDPR 제39조에서 규정한 DPO의 업무는 다음과 같다.
 
(a) GDPR 등 유럽연합과 회원국의 개인정보보호 법규의 의무 수행에 관하여 개인정보 처리 사업자와 직원에게 고지와 권고
(b) GDPR 등 개인정보보호 법규와 개인정보보호 관련 회사 정책을 잘 준수하는지 모니터링
(c) 요청이 있으면 개인정보 영향평가에 관해 조언하고 잘 수행하는지 모니터링
(d) 감독기구와의 협력
(e) 감독기구와의 창구 역할 및 자문 제공
(GDPR 제39조(DPO의 업무) 제1항)

이 업무를 잘 수행할 수 있는 DPO를 지정하라는 말이다. CPO 역시 CPO의 업무를 잘 수행할 수 있는 사람을 선임해야 한다. 문제는 CPO의 업무는 법, 정책, 관리체계, IT 및 보안 기술 등 다양한 분야에 넓게 펼쳐져 있어서 이에 대한 전문성을 두루 갖춘 사람이 별로 없고, 기업 개인정보보호 업무를 직접 수행하지 않는 DPO와 달리 CPO는 기업의 개인정보보호 업무를 총괄하여 책임지기 때문에 전사적 권한을 행사할 수 있는 ‘임원’ 요건이 필수적이라는 점이다. 필자가 CPO의 요건에 관해 칼럼을 썼던 이유다(강은성의 보안 아키텍트ㅣCPO, DPO, K-DPO?··· CPO에 대한 체계적인 교육과 지원이 필요하다).

기업에서 CPO가 개인정보보호 업무를 수행하기 힘든 것은 대다수 CPO가 다른 업무와 겸직하고 있고, 산하에 전담 실무 인력이 별로 없기 때문이다. 법에서 규정한 일부 업무는 CISO나 CIO가 갖고 있어서 권한은 없는데 법규상 책임만 지고 있기도 하다. 이러한 직책이 기업에서 위상과 권한이 탄탄하기 어렵다. 

한번 법령에 들어온 규정이 없어지기는 정말 힘든 것 같다. 이제 우리나라 법령도 1인당 GDP 세계 10위, 글로벌 코로나 위기를 탁월하게 대응하여 실질적인 G8으로 대우받는 글로벌 선진국가 대한민국에 걸맞게 서서히 재정비되면 좋겠다. 그리고 정보보호와 개인정보보호 관련 규제 방식의 패러다임 전환에 대해서도 진지하게 고민해 보면 좋겠다.

* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.