“CISO와 CPO, 기술과 정책 조화로운 협력 중요”

기업에서 정보보보 업무를 총괄하는 임원은 정보보호책임자(CISO)와 개인정보보호책임자(CPO)가 있다.

정보통신망법과 개인정보보호법에는 해당 법의 규율을 받는 정보통신서비스제공자, 개인정보처리자들에 CPO 지정을 의무화했다.

CISO의 경우에는 정보통신망법 외에도 전자금융거래법, 정보통신기반보호법에는 CISO를 의무적으로 선임해야 할 사업자 범위를 명시했다. 이에 따라 CISO와 CPO를 선임한 민간 사업자와 공공기관이 크게 늘었다.

CISO와 CPO는 정보보호 관점에서는 공통된 지향점과 목표를 갖고 있지만 각자 전문화된 역할을 수행하고 있기도 하다. 서로 긴밀히 협력해야 하지만 갈등의 요소도 존재한다. IT조직, 마케팅 등 현업부서, 직원들과도 부딪힘이 있다.

한국인터넷진흥원과 한국CPO포럼은 18일 서울 여의도 전경련회관에서 개최한 ‘프라이버시 글로벌 에지 2016’ 국제 개인정보보호 심포지움에서 ‘CISO와 CPO의 갈등과 협업’을 주제로 CISO와 CPO의 원활한 협업 방안을 논의하기 위한 자리를 마련했다.

강은성 CISO랩 대표가 사회를 맡고 최중섭 네오위즈게임즈 CISO(실장)과 김성훈 열심히커뮤니케이션즈 CPO(이사, CISO 겸임)가 참여해 패널토의를 진행했다. 현직 CISO와 CPO를 맡고 있는 최 실장과 김 이사는 업무를 수행하면서 겪은 경험과 사례를 소개했다.

이날 진행된 내용을 정리해본다.

토론 시작에 앞서 먼저 각 조직에서 CISO와 CPO의 역할은 어떻게 나누고 있는지 들어봤다.

최 실장 “CISO 조직은 사내 보안체계를 구축하는 보안팀과 서비스 보안체계를 구축·운영하는 서비스보안팀으로 구성돼 있다. CPO는 법무대외협력실 실장이 맡고 있다. 개인정보보호 법·규제가 맡아 이를 어떻게 사내에 적용할지 정책을 정하는 업무를 하고 있다.”

김 이사 “CISO 조직은 정보보호 정책과 체계, 기술·관리적 영역을 모두 다룬다. 새로운 하드웨어(IT 장비)가 조직에 들어오면 보안성을 검증한다. 신규 서비스를 출시할 때에도 기획 단계에서부터 여러 보안 요건을 담당자가 제시하고 확인하는 과정을 거친다. 내부 조직 보안인식 제고 활동도 수행한다. 보안사고가 발생하지 않도록 예방하는 활동과 더불어 전사 보안규정을 만든다.”

“기술영역은 정보보호 조직에서 맡다보니 개인정보보호 조직은 주요업무가 컴플라이언스(규정) 관련업무가 된다. 개인정보 영향평가나 새로운 서비스 만들 때 개인정보보호 관련 규정과 법적 요건을 잘 지키고 있는지 모니터링한다. 관련 민원이 들어오면 대응하는 업무도 수행한다”

이들은 CISO와 CPO 조직에서 협력이 필요한 요소가 많다는 점을 강조했다. CISO 조직은 주로 기술, CPO 조직은 정책과 규제를 주로 담당하기 때문에 조화로운 협력은 필수다.

최 실장 “네오위즈게임즈는 거의 모든 소프트웨어를 자체 개발한다. 개인정보보호시스템도 DB를 제외하고는 직접 개발해 사용하고 있다. 개인정보보호시스템도 보안성을 갖춰야하기 때문에 처음 설계, 기획 단계부터 CPO와 CISO 조직이 함께 관여한다. 개발된 후 이 시스템이 제대로 구현됐는지 CISO 조직에서 확인한다.”

김 이사 “지난 2013년 정보보호관리체계(ISMS) 인증과 PIMS(개인정보보호관리체계) 인증을 동시에 취득했다. PIMS 산출물 대부분은 정보보호를 수반하기 때문에 만일 PIMS는 개인정보보호, ISMS는 정보보호조직에서 담당하라고 했으면 상당히 불만이 많았을 것이다. 서로 협력할 수밖에 없는 구조다.”

“개인정보처리담당자는 매일 개인정보처리시스템 접속로그를 모니터링하고 있다. 컴플라이언스를 주로 담당하기 때문에 현업과 부딪힘이 많은데, 기술적인 부분은 해결하기 어렵기 때문에 정보보호 담당자에게 요청하는 일이 발생한다.”

최 실장 “지난 2012년 합류한 후 가장 먼저 흩어져 있는 사내 규정과 정책, 지침을 하나로 모으는 작업을 했다. 이사회 승인을 받아 정보보호 규정으로 만들었다. 이 규정에는 CPO, CISO, 최고기술책임자(CTO), 홍보, 법무 담당 임원까지 다 참여하는 정보보호위원회를 구성해 협업하도록 명시돼 있다. 한 달에 한 번 회의가 정기적으로 이뤄지고 있다. 이 자리는 자기부서 입장만 주장하는 회의가 아니다. 안전성이라는 목표를 이루기 위해 서로 협업하고 있다.”

IT조직 등과의 협력에서 나타나는 이슈나 애로사항에 대한 얘기도 나눴다.

김 이사는 “망분리 솔루션, 접속로그 통합 등 필요한 여러 시스템을 직접 개발해 사용하고 있다. 그러려면 개발팀에 많은 요청을 해야 한다. 개발팀에서 안 해주면 쓸 수 없다. 가장 힘든 부분은 현업에서 요구한 서비스에 정보보호나 개인정보보호 요구사항을 넣어달라는 요청이 우선순위에서 밀린다는 점이다. 개발 일정이 촉박하다보니 시큐어코딩을 아무리 강조해도 구멍이 생긴다. 그래서 개발팀 내에 한 명을 관리직원으로 두고 소스코드 정적분석을 하도록 했다. 모든 개발이 끝나고 나면 점검은 정보보호조직 담당자들이 한다. 운영 부분에 있어서도 PC에서 장애가 생기면 무조건 보안쪽으로 연결되는 점이 힘들다. 직원들은 뭐가 잘 안되면 무조건 보안 솔루션 문제라고 생각하는 경향이 있다.”

최 실장은 이에 동감을 나타냈다. “일이 생기면 뭐든 보안실로 오는 것이 사실이다. 정보보호위원회 구성원 사이에서 큰 갈등은 없다. 다만 개인정보를 활용하는 부분에서 이견이 생기고 있다. IT조직은 원래 같은 조직으로 있다 떨어져 나와서 그런지 불협화음은 없다. 사업쪽에서는 숫자가 가장 큰 핵심성과지표(KPI)이다보니 개인정보를 어떻게든 활용하고자 한다. CISO, CPO에게는 리스크다. 이를 적법하게 사용하도록 하고 수준을 맞춰나가는 게 더 힘들었다.”

사회자인 강은성 대표는 “네오위즈게임즈의 정보보호위원회 운영은 CISO와 CPO, 다른 조직과의 원활한 협업에서 좋은 사례가 될 수 있다”고 말하고, 이날 토론을 마무리하면서 “CPO 조직에서는 기술을 아는 사람이 많지 않다. CISO 조직과 CPO 조직이 분리돼 있는 경우 다른 조직과 협력할 때 기술과 정책을 조화롭게 해야 한다는 것을 염두에 두고 서로 협업해야 할 것”이라고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network