지난해 대형 보안사고들 이후, 주요 기업들은 보안강화를 위해 최고정보보호책임자(CSO)를 임명했다. CSO를 최고경영자(CEO) 직속에 두고 보안에 대한 신경을 쓰겠다는 상징적인 조치였다.
그러나 국내 CSO들의 현실은 이상과는 조금 달라 보인다. 보안에 대한 사회적 인식은 물론 기업 내부 보안인식이 좋아졌다고 하지만, 여전히 보안은 최우선고려 대상이 아니란 것이다. 이는 주요 기업 CSO들의 처우만 봐도 알 수 있다.
■결정 권한 없는 CSO, “방패막 제대로 못세운다”
대부분의 CSO들은 기업 내부에서 실질적인 결정권을 가지고 있지 않다. 즉 보안 관련 의사결정에 있어 제대로 영향력을 행사하지 못하고 있다. CSO라는 이름으로 명명돼 임원급의 권한을 행사하는 것처럼 보이지만 실제로는 부장급 직급으로 관련 업무를 수행하고 있다.
보안업계에서 평가하는 CSO들의 현실은 더욱 냉혹하다. 보안업계 주요 인력들이 일반 기업으로 이동하기 시작하면서 인력 출혈도 만만치 않았다. 그러나 업계 관계자들은 이들이 ‘총알받이’라고 언급할 정도로 그 책임이 무겁다고 설명한다. 즉 책임만 있고 권한은 없다는 것이다.
보안업계 한 관계자는 “보안업계의 임원급 전문가들을 대상으로 많은 기업들이 러브콜을 보내고 있는 것이 사실”이라면서 “그러나 CSO자리에 앉게되면 보안뿐 아니라 관련된 그 외 업무량도 만만치 않아 정작 보안에만 신경쓰기는 어려운 것이 현실이라고 들었다”고 설명했다.
기업으로의 보안인력 유출로 인해 업계의 인력 생태계도 악순환에 시달리고 있다. 보안업무 처리에 능숙한 전문가 집단이 부족해지기 시작한 것이다.
■기업 CSO의 한계, 어디까지?
주요 기업들이 이미 최고정보관리책임자(CIO)를 두고 있다는 점도 이들의 한계로 작용한다. CIO와 CSO의 책임 경계가 모호한 경우가 있기 때문이다.
유명 대기업의 한 CSO는 “기업 내부 전체 IT를 책임지고 있는 CIO들은 자신들의 통제 아래 CSO를 두고 싶어 하기 때문에 실제 목소리를 내기는 어려운 상황인 것이 현실”이라면서 “또한 실질적으로 보안사고가 발생하지 않은 이상 성과자체도 눈에 두드러지지 않기 때문에 조직 내에서 목소리를 내는 것 조차도 어렵다”고 말했다.
이 뿐만 아니라 기업 CSO들은 보안을 적용할 경우 다소 떨어질 수 있는 업무 효율성도 문제점이라고 지적한다. 보안강화를 위한 정책을 적용하다보면, 불가피하게 복잡한 절차나 기술을 적용할 수 밖에 없기 때문이다.
사실상 보안 적용으로 인한 효율성 문제는 금융권을 중심으로 꾸준히 지적돼온 것이 현실이지만 이 모든 책임이 CSO에게 떠 맡겨지는 경우도 비일비재하다. 또한 국내 기업들의 턱없이 부족한 보안인력 등도 한계점으로 지적된다.
관련기사
- CSO 임명, 거북이 걸음인 이유는?2012.01.30
- 기업 보안, 더이상 구멍은 없다2012.01.30
- 최악의 보안사고 농협, 보안강화위해 CSO임명2012.01.30
- 현대캐피탈, 안랩출신 CSO영입…전격 보안강화2012.01.30
또 다른 기업의 CSO는 “기업 경영진들의 보안인식 수준이 향상됐다고 하지만 아직도 갈길이 너무나 멀다”면서 “투자만 많다고 보안 수준이 향상되는 것이 아닌데 여전히 기술만 도입하면 된다고 생각하는 경영진들이 많다”고 하소연했다.
또한 그는 “실제 보안 수준을 격상시키려면 CSO가 조직 내에서 목소리를 낼 수 있도록 장려해주고, CIO를 비롯한 내부 조직과의 원활한 커뮤니케이션이 이뤄질 수 있도록 해야한다”고 덧붙였다.
