행안부-방통위, CSO 확산 추진···"형식적인 제도될까" 우려
하지만 보안 업계는 "정보 보안에 대한 사회적 인식이 높아지고 있는 만큼 공공기관이나 일반 기업들이 정보보호 기능 및 조직을 갖추는 것에는 찬성한다. 그러나 대부분 기업들의 경우, CIO(정보화 책임관)가 CPO(개인정보관리책임관), CSO(정보보호책임관)를 겸직하고 있거나 CPO가 이미 CSO역할까지 하고 있기 때문에, 과연 CSO 지정 의무화가 형식적인 제도를 넘어 얼마나 실효성이 있을지 의문"이라며 회의적인 반응을 보이고 있다.
형식적인 CSO제도의 도입보다 CEO나 임원진들의 정보보호에 대한 인식제고를 높일 수 있는 문화 운동 등이 더 필요하다는 게 업계 지적이다.
이에 대해 행안부와 방통위는 "기존의 개인정보관리책임관(CPO: Chief Privacy Officer)이 기업 내부의 정보 보안을 위한 기술적 대책 및 법률적 대응까지 책임졌다면, CSO(Chief Security Officer)는 실질적인 정보보호에 대한 내용을 잘 알면서 투자까지 유도할수 있는 임원급 레벨이라는 점에서 명백히 차이가 있다"며 "정보보호 추진 체계 강화 및 침해사고 예방, 대응능력 제고의 일환으로 CSO제도 도입을 추진하고 있다"고 설명했다.
CPO를 CSO 승격할지 등 CSO자격 요건 놓고 '갈팡질팡'
현재 행안부와 방통위는 각각 전 중앙행정기관 및 지방자치단체와 일정규모 이상의 기업들을 대상으로 CSO제도를 도입하기 위해 정보보호 조직, 인력 부터 적용 대상 기준, 자격 요건 등을 다각도에서 검토 중이다.
행안부의 경우 정보보호 중기 종합대책의 73개 세부 추진과제 가운데 39, 42번째 과제로 '정보보호 추진체계 강화'와 '정보보호 조직 확충'으로 정했다. 정보보안 전담조직/인력 및 전문성이 매우 부족(중앙 행정기관 24%, 지방자치단체 19% 수준)하므로 정부기관의 CSO제도를 도입해야 하고, 전담조직과 전문가도 확충해야 하는 상황이라는 게 행안부의 설명이다.
행안부 관계자는 "CPO제도는 공공기관의 개인정보보호에 관한 법률에 의해 제도화 되어있어 현재 전 중앙행정기관 및 지자체가 CPO를 지정/운영하고 있다. 하지만 기존 CPO제도와는 별도로 정보보호에 대한 역량을 갖춘 정보보안 책임자(CSO)를 지정하고 전담조직을 설치하는 방안에 대해 검토 중"이라고 밝혔다. 또한 중앙부처와 광역시도는 팀단위(2~5명 수준)로 정보보호 전담 조직을 설치하고 시군구에는 1~2명의 전담직원을 배치하도록 하며, 기존 정보화 인력에 대한 교육 및 외부 전문가 채용 등을 통해 정보보호에 대한 역량을 강화할 계획이라고 덧붙였다.
방통위는 '기업 CSO 제도' 도입을 위해 '2008년 연구반 운영- 2009년 CPO 개편- 2010년 CSO 도입'으로 세부 계획까지 세웠다. ISP와 주요 기업들을 중심으로 하여 일반 기업들까지 CSO제도 적용 범위를 점차 확대해 갈 예정이다.
지난해 KISA가 2500여 기업들을 대상으로 실시한 <2007 정보보호 실태조사>에 의하면 조직 내 최고 정보보호 책임자(CSO)를 지정한 기업은 대기업 포함해 25.1%정도이다. 방통위 관계자는 "현실화된 CSO 제도 도입을 위해 어느 정도 규모의 기업 부터 제도를 적용할지, CSO 자격 요건 등을 정하는 준비단계"이며 "CPO를 CSO로 승격시킬지, 정보보호 심사원 제도를 도입해 정보보호에 대한 능력을 업그레이드 한 후 CSO 자격을 부여할지 등 다양한 방안을 검토 중"이라고 전했다.
이와 관련 IT 업계는 CSO든 CPO든 현재 공공기관 및 민간기업들의 상황을 고려한 실효성 있는 제도가 도입되기를 바라고 있다.
김정은 기자
jekim@itdaily.kr