본지 설문조사 결과, CPO만 지정 34%, CPO·CISO 모두 지정 22%

CISO 의무화 확대로 지정비율 늘듯...역할 및 책임성 강화는 숙제  

[보안뉴스 김태형] 개인정보보호법 시행 3년째를 맞아 법은 더욱 강화되는 방향으로 개정되고 있다. 특히, 각 기업 및 기관에 보안 또는 개인정보보호 업무를 총괄하는 임원들인 CPO(개인정보최고책임자)와 CISO(정보보호최고책임자)를 두도록 규정하거나 권고하고 있다.

이러한 가운데 CPO 또는 CISO를 보유하고 있는 공공기관 및 기업이 60% 가량 차지하는 것으로 나타났다. 본지가 ‘귀사에는 CPO(Chief Privacy Officer)/CISO(Chief Information Security Officer)가 있나요?’라는 질문으로 설문조사를 진행한 결과 ‘CPO만 지정되어 있음’이라고 응답한 사람이 전체 응답자 911명 중 310명으로 34%를 차지했다.

또 ‘CPO와 CISO 모두 별도의 임원이 있다’는 응답자가 201명으로 22.1%를 차지했으며 ‘CISO만 지정되어 있다’고 응답한 사람이 42명, 4.6%로 나타났다.

이와 같은 결과는 최근 개인정보 유출사고의 여파로 정부의 강력한 개인정보보호법 시행에 따라 각 공공기관 및 기업의 CPO와 CISO 임명률이 크게 증가한 데 따른 것으로 보인다.

또 ‘전담 임원이 아닌 다른 부서 임원이 겸직하고 있다’는 응답자도 186명으로 20.4%를 차지했다. 이는 보안전문 인력의 부족으로 인해 IT부서 책임자가 CPO나 CISO를 겸직하고 있기 때문으로  판단된다.

그리고 ‘둘 다 지정되어 있지 않다’는 응답이 146명으로 16.1%를 차지해 CPO나 CISO가 아예 없는 곳도 상당수 있는 것으로 조사됐다.

 

▲ 각 기업 및 공공기관의 CPO·CISO 지정 현황

하지만 CPO 지정은 개인정보보호법으로 정해져 있으며, 금융권 CISO 지정도 의무화된 상태다. 또한 정보통신망법 개정으로 관련 기업의 CISO 지정 의무화도 조만간 추진될 전망이어서 각 기업과 공공기관의 CPO 및 CISO 지정은 더욱 확대될 것으로 보인다. 

반면 CPO 및 CISO 역할을 감당할만한 보안전문가들이 턱없이 부족하다는 점과 이들의 역할과 책임성이 강화되어야 하는 부분은 여전한 숙제로 남아 있다.   
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>