[아이티투데이 이경탁 기자] “CISO란 직함과 임원이란 허울 좋은 명예만 있을 뿐 뭔가 중요한 것을 하려 하면 제동 걸리고 가만히 있기에도 눈치만 보이고 이럴 것이면 CISO는 왜 있는지 모르겠네요” 국내 한 대형병원에 근무하는 CISO의 이야기다.

최근 관련 업계에 따르면 기업 내 CISO(정보보호최고책임자)가 허수아비란 오명을 벗고 이름에 걸맞는 기업의 핵심 실무 임원으로 자리매김하고 있다.

업계에 따르면 최근 보안 사고에 대한 대중들의 경각심이 높아지고 지난 7월부터 기업의 징벌적 손해배상제도가 시행되며, CISO의 손에 기업의 운명이 달려있다는 인식이 생긴 것이다.

전자금융거래법과 정보통신망법이 지난 2012년과 2014년 개정된 후 일정 규모를 갖춘 금융권 및 민간 기업들의 CISO 도입이 의무화됐다. 하지만 기업들 입장에서는 CISO를 임명하더라도 계속되는 경기 악화로 보안에 대한 투자를 강화하기는 쉽지 않았다.

특히 기업 내 CIO(최고정보관리책임자) 입장에서 CISO는 전산 효율화에 딴지를 거는 존재였고, CFO(최고재무책임자) 입장에서는 돈만 축내는 성가신 동료였다.  

하지만 지난 2014년 카드사 개인정보 유출에 대한 책임을 지고 은행장 및 최고경영자(CEO)들이 줄사퇴한 것을 계기로 사내에서도 CISO의 역할이 중요하다는 인식을 심어주기 시작했다.

보안업계 한 관계자는 “과거 CISO들을 만나 이야기를 들어보면 회사 내에서 허수아비까지는 아니더라도 CEO들한테 핀잔만 듣고 권한도 없다고 불만을 토로했다”며 “최근의 CISO들은 확실히 사내에서 과거보다 입김이 통한다고 이야기들을 한다”고 전했다.

이는 물론 과거 CISO들이 대부분 외부에서 영입한 인재들이라 초반에 조직 장악력이 떨어진 측면도 있다. 또, 최근 금융권을 중심으로 인터넷전문은행 등 핀테크 바람이 불며 정보보안에 대한 중요성은 더욱 강조되고 있는 상황이다.

한국CISO협회장을 맡고 있는 임종인 고려대학교 정보보호대학원 교수는 “과거 보안에 투자를 해도 효과가 보이지를 않으니 CISO에게 힘을 실어주지 않았던 분위기였다면 최근 보안 투자가 고객 신뢰와 브랜드로 직결, CISO에게 힘을 실어주고 있는 추세다”며 “CEO들도 보안사고가 자신의 자리와 기업의 생명과 연결되며 CISO를 공동 운명체라 생각하고 있다”고 말했다.

이어 임종인 교수는 “최근 금융권을 중심으로 CISO의 역할과 권한이 강해지고 있지만 여전히 그렇지 못한 기업들이 존재해 보안사고 발생시 고객들이 철저하게 심판을 해줘야 한다”고 덧붙였다.

한편, 이처럼 금융권 및 대기업을 중심으로 CISO의 권한도 강화되고 보안에 대한 투자 환경도 개선되고 있지만, 여전히 중견 및 중소 기업은 취약한 보안 시스템으로 헛점에 노출될 수 밖에 없다.

특히 인터넷 서비스 기업의 경우도 네이버나 카카오 등을 제외하고는 CISO를 따로 둔다는 것이 감불생심이다. 보안 전문가들은 자체적인 보안 역량을 구축하기 힘들 경우 보안 조직을 어설프게 구성하는 것 보다는 보안 전문 기업에 아웃소싱할 것을 조언한다.