‘한국CSO협회’의 주요 업무는 무엇인가. “최근 급증하고 있는 사이버 공격과 정보 유출로 인한 경제·사회적 위협에 공동 대응하기 위해 민관 합동으로 지난해 6월 공식 출범했다.

회원은 행정 및 공공기관과 민간기업의 최고정보보안책임자(CSO)로 구성되어 있다. 민관의 분야별 보안책임자 간의 핫라인을 구축, 보안 관련 사고 발생 경험이나 대응 사례 등의 정보를 교류하거나 CSO들의 실질적 의견 수렴을 통해 현장의 애로와 필요사항을 파악하고 CSO의 역할 모델 및 위상 제고를 위해 노력하고 있다.”

CSO 도입이 필요한 이유는. “최근 7·7 DDoS 대란, 1·25 인터넷 대란, 개인정보 집단 유출 등 국가 사회의 존립과 기반을 흔드는 대형사고 등으로 사이버 위협에 신속한 대응이 요구되고 있다. 특히 스마트폰의 급속한 증가와 함께 각종 위협에 대한 대책도 시급한 상황이다.

이에 각종 사이버 위협으로부터 기업의 정보 자산을 보호해야 하는 최고보안책임자로서 CSO의 역할이 날로 중요하게 부각되고 있다. 새로운 위협이나 공격들은 기술적으로 진화를 거듭하고 있다.

CEO 혼자서는 이에 효과적으로 대처할 수 없다. 그렇기에 모든 기업들은 필수적으로 전문적인 CSO를 두고 지속적인 투자 및 관리를 통해 전사적으로 위험 관리 활동을 해야 한다."

국내 CSO 도입 현황은. “정보통신망이용촉진 및 정보보호등에 관한 법률 시행령에 따르면 기업에서는 임원 또는 담당 부서의 장을 개인정보관리책임자로 지정하도록 되어 있다. 이에 따라 CSO(Chief Security Officer·정보보호책임자), CPO(Chief Privacy Officer·개인정보보호책임자) 등의 도입은 보편화되고 있는 추세다.

그러나 보안책임자인 CSO 도입은 아직 걸음마 수준이다. 보안 투자엔 돈이 많이 드는데다, 보안 기술과 관리는 어렵고 복잡한 일이라는 인식이 커서다. 또한 당장 눈앞에 위험이 감지되지 않아 CEO의 관심이 덜 할 수밖에 없다. 때문에 국내 대부분의 기업에서는 CIO가 CSO를 겸직하고 있으며, 업무에도 소극적이다.

지난해 국내 정보 관련 총괄책임자 임명 현황만 봐도 쉽게 알 수 있다. 최근 정보 보안에 대한 위협이 심화되고 있는 가운데, 종사자 수 5명 이상, 네트워크로 연결된 컴퓨터가 1대 이상 있는 사업체 중 CIO와 CSO를 두고 있는 기업은 각각 전체의 18.6%, 14.6%에 불과했다."

바람직한 CSO의 역할은. “CSO는 멀티플레이어를 자처할 필요가 있다. 엔지니어 수준의 전문성을 가져야 하고 슈퍼바이저(운영책임자)로서의 역할도 요구된다. 또한 사전에 정보 관련 사고를 예방하고, 제대로 운영되는지 감시할 필요도 있다.

개인정보 보호 포함 시 무려 100개가 넘는 정보 관련 법에 위배가 되지 않은지 면밀히 따져보는 일도 간과할 수 없는 CSO의 역할이다.”

전민정 기자 puri21@

<ⓒ아시아경제신문이 만든 고품격 경제 주간지 '이코노믹 리뷰' (www.ermedia.net) 무단전재 배포금지>