[뉴스토마토 류석기자] 금융권은 물론 국내 대기업들에서 전직 보안기업 CEO 등 보안전문가들을 최고정보보호책임자(CISO)로 영입하는 사례가 늘고 있다. 

 

CISO는 한 기업의 정보기술 부문의 안전성을 확보하고, 고객들의 정보보호를 위해 보안사고를 예방하는 것은 물론 사고가 발생했을 때도 후속조치를 하는 등의 정보보안에 관한 업무를 총괄하는 임원을 말한다.

 

지난 7월 국내 보안업계 1위 기업인 안랩(053800)의 김홍선 전 대표가 한국스탠다드차타드은행 CISO로 이동한 데 이어 매출 2위를 기록하고 있는 인포섹의 신수정 전 대표도 지난 4일 전격적으로 KT(030200)의 CISO로 영입됐다. 국내에서 손꼽히는 보안전문가들이 보안업계를 떠나 대기업의 IT보안을 책임지는 곳으로 자리를 옮긴 것이다.

 

이런 움직임은 정부에서 보안사고를 낸 기업에게 책임을 강력하게 묻겠다는 방침을 세우고 있는 가운데, 기업들이 정보보호의 중요성을 새롭게 인식하게 된 점이 작용한 것으로 분석된다.

 

 

현재 금융권의 경우 전자금융거래법 시행령에 따라 총자산 2조원, 종업원 수 300명 이상인 회사는 CISO를 의무적으로 회사 임원으로 두게 하고 있지만, 한 사람이 최고정보관리책임자(CIO)와 CISO를 겸직하고 있는 경우가 많았다.

 

두 직책의 겸직으로 인해 CISO의 전문성 발휘가 힘든 점 등의 부작용들이 있다는 지적에 따라, 이를 해결하기 위해 국회에서는 CIO와 CISO의 겸직을 금지하는 전자금융거래법 개정안이 발의돼 있다. 이에 따라 향후 금융권에서 보안업계에 보내는 러브콜은 더욱 늘어날 전망이다.

 

또 통신사, 포털업체 등 직원 1000명 이상의 정보통신 서비스 제공업체는 반드시 CISO를 두 한다는 내용이 담긴 정보통신망법 개정안이 11월 시행을 앞두고 있다. 현재 국내 주요 포털업체인 NAVER(035420)와 다음(035720)에는 CISO가 선임돼 있다.

 

반면 KT를 제외한 SK텔레콤(017670)과 LG유플러스(032640)는 공식적으로 CISO 직책을 맡고 있는 임원이 아직 없는 상황이다. 두 회사는 11월 개정안 시행 전에는 CISO를 지정할 계획이라고 밝혔다. CISO의 외부인사 영입 여부에 관해서는 두 회사 모두 정해진 바는 없다고 선을 그었다. 

 

 

보안업계 전문가들은 대형 기업들이 CISO 직책을 새로 신설하고, 외부 보안전문가들도 영입하는 등의 움직임에 대해 보안성 강화 측면에서 큰 도움이 될 것이라는 입장이다. 다만 향후 이들에게 주어질 권한의 범위가 보안성 강화의 핵심이 될 것이라고 조언한다.

 

한 보안기업 최고기술책임자는 "보안을 정말 잘 아는 분들이 기업의 CISO로 간 것이기 때문에, 한 기업의 보안시스템 중 취약한 요소를 효율적으로 관리·보완 할 수 있을 것으로 기대된다"라면서 "기업들도 보안의 중요성을 다시금 자각하고, 올바른 선택을 한 것으로 본다"라고 말했다.

 

이어 그는 "다만 우리나라 기업들이 CISO에게 얼마 만큼의 권한을 줄 수 있을지가 관건"이라며 "이런 현상이 좋은 출발점이긴 하지만 앞으로 CISO가 행사할 수 있는 권한이 어느 정도인지에 따라 향후 (보안성 강화)효과는 지켜봐야 할 것"이라고 덧붙였다.

 

이상진 고려대 정보보호대학원 교수도 "CISO라는 직책이 기업에서 그 동안 없었던 상황에서, 새롭게 전문가들을 채용하는 것인데, 기업의 보안을 강화하는데 실질적인 권한을 줄 수 있는 기업의 임원으로 보안전문가가 들어가는 것이기 때문에 기업의 보안 강화에 큰 도움이 될 것"이라고 말했다.