“CISO 의무화, 보안산업 악순환이 고리 끊을까”
상태바
“CISO 의무화, 보안산업 악순환이 고리 끊을까”
  • 김선애 기자
  • 승인 2019.06.07 10:59
  • 댓글 0
이 기사를 공유합니다

“경영진에 보안 전문가 포함되면 ‘가격’만으로 제품 선정하는 관행 해결할 수 있어”

[데이터넷] 정보보호최고책임자(CISO) 지정신고제가 13일 정식 실시된다. 이에 따라 보안업계에서는 고급 보안 전문가의 수요가 증가하고, 보안업계의 고질적인 문제도 해결될 수 있을 것이라는 기대감을 비치고 있다.

CISO 지정 신고제는 기업에서 정보보안을 위한 기술적 대책과 법률 대응까지 총괄 책임지는 최고 임원을 말하며, 정보보호 관리체계 수립과 운영, 취약점 분석 평가와 개선, 침해사고 예방과 대응 등의 역할을 수행한다. 특히 총 자산 5조원 이상인 기업이나 정보보호 관리체계(ISMS) 인증 대상 기업은 CISO가 다른 업무와 겸직할 수 없도록 해 정보보호 고유의 업무에만 집중할 수 있도록 했다.

CISO 지정신고 의무 대상 기업은 ▲공정거래법에 명시된 기업집단(대기업) ▲중견기업 성장 촉진 및 경쟁력 강화에 관한 특별법 상 명시된 중견기업 ▲중소기업 기본법에 명시된 소기업 ▲소기업 중 ISMS 인증 의무 기업, 전기통신사업자와 집적정보통신시설 사업자 등이다.

CISO 자격 요건은 ▲정보보호 또는 정보기술 분야 석사학위 이상 취득한 사람 ▲관련분야 학사학위를 취득하고 관련분야 업무를 3년 이상 수행한 경력이 있는 사람 ▲관련 분야 전문학사학위를 취득하고 관련분야 업무를 5년 이상 수행한 경력이 있는 사람 ▲관련분야 업무를 10년 이상 수행한 경력이 있는 사람 ▲정보보호 관리체계 인증기관의 인증심사원 ▲해당 정보통신서비스 제공자의 정보보호 업무 관련 부서의 장으로 1년 이상 근무한 경력이 있는 사람이다.

겸직금지 대상 CISO는 상기 자격 요건을 갖춘 사람으로, 4년 이상 정보보호 분야 업무를 수행한 경력자이거나 2년 이상 정보보호 분야 업무 수행 경력과 정보기술 분야 업무 수행 경력을 합해 5년 이상인 사람이다.

▲과학기술정보통신부 전자민원센터 정보보호 최고책임자 지정 신고 화면

CISO 확보 기업, 침해 데이터 당 7달러 피해 줄여

CISO 지정 신고제가 실시된 이유는 사이버 침해사고가 급증하고 있지만 기업은 이에 제대로 대응하지 못하기 때문이다. 기업에서 발생하는 침해사고의 대부분은 이미 알려진 공격에 의한 것이며, 침해사고를 당하고도 상당히 오랜 기간 발견하지 못하고 있다. 보안 조직은 폭증하는 보안 업무로 인해 장기적이고 체계적인 보안 전략을 세우지 못하며, 매번 동일한 공격에 당하고 있다.

기업의 경영진에 보안 전문가가 포함되는 것이 이러한 문제를 해결하는데 도움이 될 수 있다. 보안 전문가가 임원단에 포함되면 경영 전략의 측면에서 보안 정책을 수립하고 체계적으로 대응할 수 있다. 미국 기업의 65%, 일본 기업의 45.9%가 CISO를 임명하고 있다. 포네몬인스티튜트의 조사에서는 CISO를 확보하고 있는 조직은 침해당한 데이터 7달러의 피해를 줄일 수 있는 것으로 나타났다.

김정희 한국인터넷진흥원 사이버보안빅데이터센터장은 “큰 보안 사고를 겪을 때 마다 CISO 의무화에 대한 충분한 공감대가 생겼다. 선진국 기업들은 CISO를 선임하는 것이 일반적이며, 정보보호 업무를 체계적으로 수행하는 책임자를 두는 것이 보안 수준을 제고하는데 도움이 되는 것으로 나타나고 있다”고 말했다.

그는 이어 “현재 CISO 자격 기준이 업계에서 기대했던 것 보다 낮다는 지적이 있지만, 실제 기업이 수용할 수 있는 현실적인 기준을 마련하기 위해 다양한 의견을 수렴하고 논의하면서 결정한 것이다. 향후 지속적으로 운영 실태를 점검하면서 자격 기준을 수정해 나갈 방침이며, 전문성 강화와 인력양성을 위한 노력도 경주해 나갈 것”이라고 덧붙였다

“공공기관까지 CISO 전담 의무화 확산 기대”

CISO 지정신고제 실시로, 보안업계에서는 보안 전문인력 수요 증가와 저가경쟁의 늪에서 탈출할 수 있을 것이라는 기대를 내비치고 있다.

국내 보안 기업들은 고객이 ‘국산 솔루션’에 대해 제대로 비용을 지불하지 않으며, 보안성 지속서비스와 같은 필수적인 비용도 제대로 계산하지 않는 관행을 문제 삼는다. 보안업계의 수익성이 낮아져 기술 개발 예산을 충분히 투입하지 못하며, 초급 엔지니어 위주로 채용해 기술을 발전시키지 못한다.

기업의 의사결정라인에 보안 전문가가 자리하게 된다면 ‘가격’보다 기술의 완성도와 성숙도를 위주로 제품을 선정하게 될 것이며, 보안 컨설팅, 보안 관제 및 침해대응 등 고급 보안 서비스를 통해 기업의 보안 체질을 강화하는 노력도 진행될 것이라고 기대한다.

보안업체의 한 대표이사는 “CISO 지정 의무제는 보안업계의 숙원사업 중 하나였다. 보안 전문가가 경영진에 포함되어 체계적인 보안 정책을 수립해 실시하고, 제대로 된 보안 제품을 선택하며, 그에 대한 합당한 비용을 지불하는 것이 관행이 될 것이라고 기대한다”며 “향후 공공기관 CISO 전담 의무화까지 확대돼 보안 산업의 고질적인 문제가 해결되는 실마리가 되기를 희망한다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.