이름뿐인 보안책임자…보안, 이제는 경영의 문제다

[이데일리 최연두 기자]

염흥열 순천향대 정보보호학과 명예교수(사진=본인제공)

염흥열 순천향대 정보보호학과 명예교수는 “보안은 이제 기술 담당 부서만의 문제가 아니라, 경영진이 직접 해결해야 할 최우선 과제가 됐다”고 강조했다.

그는 최근 이데일리와의 통화에서 갈수록 지능화되고 일상화되는 사이버 공격에 대응하려면 기업 차원의 정보보호 체계 전반을 재정립해야 한다고 진단했다.

염 교수는 특히 “보안은 단순한 기술 이슈가 아니라 이사회와 CEO가 책임져야 할 조직 전략의 일부”라고 짚었다. 현재 대부분의 국내 기업은 고도화된 해킹 공격에 효과적으로 대응할 수 있는 체계를 제대로 갖추지 못하고 있으며, 이는 구조적인 문제라고 지적했다.

그는 실질적인 보안 역량 강화를 위해 △리스크 기반의 기술·관리·조직 차원의 보안 대책 수립, △보안 제품과 서비스에 대한 실질적 투자 확대, △CISO(최고정보보호책임자)와 CPO(개인정보보호책임자)에게 실질적인 권한을 부여하는 것이 핵심 과제라고 제시했다.

무엇보다도 기업이 CISO와 CPO를 형식적으로 지정하는 데 그쳐서는 안 되며, 이들을 실질적인 의사결정 권한을 가진 임원으로 승격시켜 이사회에 직접 참여시켜야 한다고 강조했다. 현행 법에 따라 정보통신서비스 제공자는 CISO를, 일정 규모 이상의 기업은 CPO를 각각 지정해야 하지만, 현실에서는 이들이 사고 발생 시 빠른 판단과 대응을 할 수 없는 위치에 머물러 있는 경우가 많다는 것이다.

염 교수는 “CISO와 CPO의 권한이 약하면 조직 전체의 보안에 대한 경각심도 떨어지게 된다”며, “이들이 독립적 권한을 가진 임원으로서 전략적 판단을 내릴 수 있어야 기업 보안 체계가 실질적으로 작동할 수 있다”고 강조했다. 이름만 있는 보안 책임자는 사실상 아무런 의미가 없다는 것이다.

정보보호관리체계(ISMS) 인증에 대해서는 “기업이 스스로 위험을 인식하고, 이를 지속적으로 관리·운영하는지를 점검하는 제도”라고 설명했다. 다만, 인증 제도 자체가 모든 IT 자산과 위협을 포괄하지는 못하는 만큼, 기업 내부에서 자율적으로 보안 역량을 강화하는 것이 궁극적인 해결책이라고 덧붙였다.

끝으로 염 교수는 사이버 위협에 대한 대응은 개별 기업을 넘어 국가 차원의 전략과 거버넌스 재정비가 필요하다고 강조했다. 특히 주요 산업 분야의 사이버보안을 강화하기 위한 체계적인 정책 마련과, 글로벌 협력 체계 구축이 병행돼야 한다고 조언했다.