[3줄 요약]
1. 범부처 정보보호 종합대책, CISO 정보보호 예산·인력 편성·집행 추진
2. ‘자율 보안’ 목표지만 현재로써는 정부 가이드 불가피
3. 자칫 ‘최소치’만 충족 우려… “기업별 세분화된 기준 필요”

[보안뉴스 강현주 기자] ‘범부처 정보보호 종합대책’이 약속한 ‘정보보호최고책임자(CISO) 권한 강화’ 방안 중 ‘정보보호 예산·인력 편성·집행’은 ‘자율’에 맡기는 게 궁극적으로는 맞지만, 현재로써는 정책적 지원이 필요하다는 게 중론이다. 또 인력과 예산에 대한 정부 가이드가 자칫 ‘최소치’만 충족하면 된다는 인식으로 이어지지 않도록 해야 한다는 목소리가 높다.

11일 <보안뉴스>는 10월 22일 정부가 발표한 정보보호 종합대책 중 ‘CISO 권한강화’에 대해서 다양한 산업 분야 CISO들의 의견을 들어봤다.

종합대책은 CISO 권한 강화를 위해 △모든 IT 자산에 대한 통제권 부여 △이사회 정기 보고 의무화 △정보보호 인력·예산 편성·집행 등의 방안을 제시했다.

이 중 ‘정보보호 인력·예산 편성·집행’은 정부의 세심한 가이드를 통해 ‘자율 보안’이 자리잡기까지 다리 역할을 수행하는 방향으로 가야한다는 게 CISO들의 여론이다.


‘단순 수치’ 전부 아니지만... “그래도 기준 필요해”
정부는 CISO의 ‘정보보호 인력·예산 편성·집행’ 권한을 어떤 식으로 강화할 것인지 세부 사항을 아직 발표하진 않았다. 현장 의견을 수렴해 12월 더 구체화된 대책을 내놓을 계획이다. 이에 따라 CISO들은 바람직한 정책 수립을 기대하며 활발하게 의견을 내고 있다.

인력과 예산은 기업 규모와 상황에 따라, 또 같은 규모 회사라도 정보 자산의 규모 등에 따라 적절한 기준이 천차만별이다. 퍼센테이지와 같은 단순 수치만으로 평가하기에는 함정이 많다.

가령, 정보보호 공시는 ‘정보기술 투자 대비 정보보호 투자 비율’을 명시하게 돼 있다. 하지만 IT 자산 중 보안 관련 투자를 높이면, 이는 ‘IT 투자’로 잡히기 때문에 겉보기엔 정보보호 투자 비율이 오히려 낮아보일 수 있다. 또 보안 솔루션을 구매하지 않고 자체 개발해 비용 투자로 잡히지 않는 경우도 있다.

이 때문에 정부에서 수치 기준을 정해주는 게 오히려 ‘자율 보안’ 구현에 노이즈를 줄 수 있다는 견해도 제기된다.

하지만, 이 같은 부작용을 감안하더라도 정부에서 일정 기준 이상의 수치 가이드를 정해주는 게 예산과 인력 확보에 힘을 받는다는 게 중론이다. 예산은 최고재무책임자(CFO)가, 인력은 인사 책임자가 권한이 있는 상황에서, 보안 인식이 비교적 낮은 기업에선 충분한 인력과 예산 확보가 자율로 이뤄지긴 현실적으로 어렵다.

예산확보 어려워...재무와 인사에 제시할 ‘근거’ 있어야
실제로 <보안뉴스>가 7월 국내 대기업, 중견기업, 중소기업, 스타트업, 공공기관 CISO 396명을 대상으로 실시한 설문조사 결과, ‘새 정부에 바라는 점’으로 ‘기업 보안 예산 비율 의무화’가 26.8%로 1위를 차지했다. 응답한 CISO들 중 86%가 ‘보안 예산 확보에 어려움을 겪은 적이 있다’고 답했다.

대기업 계열 A사 CISO는 “보안 인식이 낮은 기업이 아직도 다수인 만큼, 자율만 강조하면 보안 투자를 최소화하려는 경향이 강해질 것”이라며 “자율 보안 문화가 자리잡기까지 한시적이라도 정부의 강력한 가이드가 필요하다”고 말했다. 이어 “부족하지 않은 수치 기준을 최소한의 마지노선으로 잡아줘야 CISO가 인력 확보나 예산 편성에 있어 재무와 인사부서에 근거를 제시할 수 있다”고 밝혔다.

금융 기업 출신인 B사 CISO는 “2011년 정부가 금융권을 대상으로 전체 인력의 5%를 IT 전문 인력으로, IT 인력의 5%를 정보보호 전담으로 두고, 전체 예산 7%를 정보보호에 쓰는 ‘557 규정’을 도입했다가 금융권에 보안 인식이 어느 정도 확립된 후 폐지했다”며 “이 제도는 금융권이 자율적으로 보안에 역량을 쏟도록 유도하는 데 기여했다”고 말했다.

“아직도 금융권에 사고가 일어나고 더 개선해야겠지만, 당시 최소한의 보안 투자 필요성을 인식조차 못하는 미흡한 기업들이 상당수였음을 감안하면 정책적 강제성이 유효했다”는 설명이다.

‘최소치’만 채운다는 인식으로 연결되면 없느니만 못해
다만 CISO들은 정부가 제시한 수치 기준이 오히려 ‘최소치’만 채우면 된다는 인식을 강화할 수 있다는 우려를 표한다. 또한 기준이 너무 높으면 형편이 어려운 기업들에 필요 이상의 부담이 될 수 있다.

이에 따라 획일적 기준이 아닌 정교한 기준으로 세분화한 가이드가 필요하다는 의견이 나온다.

대기업 계열 C사 CISO는 “정보보호 역량이 매우 낮은 회사부터 비교적 높은 회사까지 아우르다 보니, 정부 기준이 최소치로 가게 되는 경향이 있다”며 “그렇게 되면 더 많은 예산과 인력이 필요한 기업들도 정부가 제시한 수치만 충족하면 된다고 곡해해 정책 취지를 제대로 실현할 수 없게 된다”고 말했다.

그는 “기업에 따라 비슷한 규모라 해도 상황이 다양해 획일적 수치 기준은 적절치 않을 수 있다는 면에서 사실 정부 개입을 최소화 하고 자율에 맡기는 게 바람직하다”며 “하지만 자율 보안이 정착되기까지는 기준을 제시하되, 단순한 획일적 기준 보다는 업종, 정보 자산의 규모, 데이터 중요도 등 기업 상황을 세심하게 고려한 세분화된 기준을 마련해야 실질적 도움이 될 것”이라고 강조했다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>