[데이터넷] 모든 기술 기업은 ‘인재’의 역량에 따라 기술 발전 속도가 달라진다. 정보보호는 특히 얼마나 많은 인재를 확보했는지에 따라 기술 혁신성에 크게 차이가 난다. 우리나라 정보보호 산업 구조상 고급 전문가를 양성하는데 상당한 어려움이 있다. 따라서 정부와 업계에서는 정보보호 전문가를 적극 양성하고, 이들이 보람을 갖고 일할 수 있는 여건을 만들어야 한다. 고급 전문가가 현업을 지키고 있을 때 기술 혁신을 이루고 산업을 발전시킬 수 있다.
정보보호책임자(CISO) 지정 신고 의무제도는 고급 전문가 양성을 돕는 한 방법이라고 할 수 있다. 기업의 정보보호를 책임지는 임원을 선정하면 전체 정보보호 전략을 수립하고 이행해 나가는데 효과적이다. CIO 매거진 조사에 따르면 CISO를 임명했을 때 침해사고로 인해 발생하는 비용은 유출된 데이터 당 7달러가 감소한다. 그래서 포춘 100대기업의 70%가 보안리더를 선임해 보안 리스크를 관리하고 있다.
“CISO 의무, 고급 보안 전문가 양성 계기 될 것”
6월 정식 시행된 CISO 의무 지정제는 약 4만개 기업이 해당되며, 대기업은 물론이고 중견기업까지 대상이 된다. CISO가 다른 업무와 겸직하지 못하도록 한 지정한 곳도 126개에 이른다. 정보보호 업무만을 전담하는 임원이 선정되면 해당 분야 전문성을 기반으로 정보보호 전략을 수립하고 목적에 맞는 제품과 서비스를 선택해 저가수주 관행을 업앨 수 있을 것으로 보인다.
CISO 지정 대상이 되는 임원급 인사 중 보안사고 시 과도하게 책임을 지게 되지 않을까, CISO로 지정되면 승진에 제약을 받지 않을까 등을 염려하는 사람도 있다. 기업들은 CISO 자격 요건을 갖춘 고급 인력을 찾기 어렵다고 호소하기도 한다.
정보보호 업체 D사의 대표이사는 “전문 인력을 찾기 어려워하는 기업의 입장과 CISO 지정 대상이 되는 임원들이 고충을 토로하는 것은 충분히 이해된다. 그러나 기업의 정보보호 경쟁력을 높이고 선순환 생태계를 구축하기 위해 정보보호 전문임원은 반드시 필요하다. 이들은 지속적으로 정보보호 수준을 고도화하려고 노력하며, 사고가 발생하기 전 기틀을 잡는다. 정보보호에 투자하지 않는 조직은 사고로 인해 어려움을 겪게 되며, 지속적인 투자로 정보자산을 보호한 기업은 장기적으로 발전할 수 있다”고 설명했다.
그는 이어 “국가 정보보호 수준 제고를 위해 공공기관으로 CISO 지정 신고 의무제가 확대되어야한다. 외교부에는 우리나라 국민들의 출입국 기록을 보유하고 있고 교육부에서는 초중고대학생들의 개인정보를 보유하고 있다. 복지부는 의료·복지관련 정보를, 국세청은 세제 관련정보를, 병무청은 국방의 의무를 수행하는 청년들의 정보를 보유하고 있다. 유출되었을 때 가장 치명적인 정보를 보유하고 있는 공공에는 CISO가 없다. 공공분야에서 CISO를 지정하고 운영해 보안이 기반이 된 국가 정보화 전략을 수립하고 이행해야 한다”고 강조했다.
정보보호 산업, 공공 의존도 낮춰야
우리나라 정보보호 산업에 대한 비판 중 가장 뼈 아픈 것이 ‘자립성이 부족하다’는 점이다. 국가 주도형으로 산업이 발전해오면서 정보보호 기업의 공공 시장 의존도가 매우 높다. 초기에는 정보보호에 대한 민간의 인식 수준이 높지 않았던 만큼, 공공 시장에서 선제적으로 정보보호 기술을 도입하면 이를 민간에서 벤치마크하는 식으로 산업을 성장시켜왔다.
그러나 현재 민간의 정보보호 수준은 매우 높은 편이다. 민간기업은 보안 솔루션과 서비스의 국적을 따지지 않는다. 전 세계에서 들어오는 공격은 우리나라 제품만으로 막을 수 없기 때문이다. 우리나라 기업들은 제공하지 못하는 글로벌 위협 인텔리전스도 해외 서비스를 이용해야 한다.
국내 정보보호 기업들은 민간 기업이 요구하는 높은 보안 기술에 충분히 대응하지 못한다. 글로벌 보안 기업들은 막대한 자금과 인력을 투자해 기술을 개발하고, 전문 기술 기업을 인수하며, 전 세계 주요 고객에게 적용해 여러 성공사례를 확보했다. 이 경험을 국내 대기업에 소개하면서 차세대 보안 시장을 장악해나가고 있다. 국내 기업들은 이들과 상당한 기술 격차가 있으며, 전 세계적으로 인정받을 수 있는 성공사례를 확보하는 것에도 어려움을 겪는다. 한국 기반 비즈니스만으로 글로벌 사례를 만드는 것은 현실적으로 어려운 일이다.
국내 정보보호 기업들이 외산 솔루션과의 기술격차에 좌절하고 포기하면 결코 안 된다. 국내에서 개발한 혁신 기술로 현재의 차세대 보안 기술 시장을 전면 재편할 수도 있다. 의외로 빠르게 외산 솔루션과의 기술 격차를 줄여나갈 수도 있다. 모든 가능성은 열려있다.
홍기융 시큐브 대표이사는 “정보보호 산업이 어려운 상황에 처해 있는 것은 사실이다. 그러나 너무 부정적으로만 현실을 바라보는 것은 바람직하지 않다. 단편적인 규제개선과 정비 문제에 천착하기보다 급속한 속도로 성장하는 클라우드, IoT, 5G 환경의 보안 이슈를 살펴보고, 여기에 필요한 보안 기술을 개발해 혁신 성장의 키로 활용할 수 있어야 한다”며 “파괴는 창조의 에너지라는 말이 있다. 국내 정보보호 산업 전체를 깎아내리지 말고, 먼 미래까지 시장의 흐름을 내다보고 필요한 혁신 기술 시장을 주도할 아이디어를 내야 한다”고 조언했다.
