초 연결시대, 늘어나는 사이버위협에 대응하기 위해 최고정보보호책임자(CISO) 역할과 위상 등 변화가 필요하다는 제언이 나왔다. 올해 6월 CISO 의무지정 등을 담은 정보통신망법 개정을 앞두고 CISO 권한 명시, 최고정보관리책임자(CIO) 겸직금지 등 실직적인 대안이 제시됐다.

15일 한국사이버감시단(대표 공병철)과 정보보호인정협회는 서울 강남구 한국기술회관에서 'CISO 현장전문가 포럼' 발대식을 갖고 CISO 역할과 향후 발전 방향에 대해 논의했다.

사이버 위협 증가와 함께 이를 관장하는 CISO 중요성이 높아진다. 분산서비스거부공격(DDoS)공격은 날이 갈수록 규모가 확대되고 있으며 개인정보 유출사고는 하루가 멀다 하고 발생한다. 랜섬웨어 공격도 개인, 기업 등 대상을 가리지 않고 사회공학적 방법을 동원하는 등 사이버 공격 위험 수위가 높다.

공병철 한국사이버감시단 대표는 “일상 모든 제품이 네트워크에 연결되는 초연결 사회를 맞이하고 있으며 4차 산업 혁명 확대와 함께 사이버 위험도 지능화·고도화된다”면서 “개인정보, 민감정보 유출 등 사이버 공격에 대응하기 위해 CISO 역할이 중요하다”고 말했다.

CISO는 기업에서 정보 보안을 위한 기술 대책과 법률 대응까지 총괄책임지는 최고 임원이다. 국내서는 전자금융거래법, 정보통신망법 등에 의거해 CISO 의무 지정제도를 실시한다. 과학기술정보통신부는 올해 2월 CISO 지정·신고 의무 대상 기업 확대, CISO 겸직 제한, CISO 자격요건 설정 등을 담은 정보통신망법 개정안을 입법 예고했다.

이번 CISO 현장 전문가 포럼에서는 향후 CISO 규정에 대한 구체적 변화가 필요하다고 설명했다. △산업현장에 맞는 CISO 자격요건 경력 조정 △CISO 권한 구체적 명시 필요 △CISO를 '임원급'이 아닌 '임원'으로 명시 △CISO지정 어려울 시 최고경영자(CEO) 겸직 △CIO는 CISO 겸직 금지 등이다.

공 대표는 “CISO는 정보보호 전략수립, 조직구성, 거버넌스 업무 대부분 최종 수행 책임이 있어 최고경영자(CEO)의 전폭적인지지 등 적절한 권한 보장이 필요하다”면서 “기업 효율성을 추구하는 CIO와 겸직을 금지하고, 실제 임원이 해당 업무를 수행하도록 해야 한다”고 말했다.

이날 행사에는 이상민 더불어민주당 의원, 경우호 병원정보보안협의회장, 김재수 한국기업보안협의회장, 윤두식 지란지교시큐리티 대표 등이 참석해 축사와 CISO 자격요건과 권한 및 책임을 주제로 패널토의를 했다.

정영일기자 jung01@etnews.com