해킹 여파에 기업 보안책임자 입김 세질 듯… CISO·CPO 분리는 쉽지 않아

작성일 09-04

<div id="layerTranslateNotice" style="display:none;"></div> CISO·CPO 역할에 힘 싣는 정부 기업 규모 따라 한 사람이 두 역할 겸직… 현행법상 불법 아냐 “전문성 위해 나눠야 하지만 비용·업무 분담 문제” 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="pkYUJjFOcb">
 <figure class="figure_frm origin_fig" contents-hash="51393e09b5232e49a790ee2af440a99b023bca131ad8b82bd3df7aeb42340fa1" dmcf-pid="UEGuiA3IAB" dmcf-ptype="figure">
 <img alt="일러스트=손민균" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202509/04/chosunbiz/20250904163549199yoao.jpg" data-org-width="1800" dmcf-mid="3py0ea1mc9" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202509/04/chosunbiz/20250904163549199yoao.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 일러스트=손민균
 </figcaption>
 </figure>
 SK텔레콤 해킹 사고 이후 사이버보안에 대한 국민적 경각심이 커지면서 정부가 기업·기관 보안 책임자에게 힘을 실어주는 방안을 검토 중이다. 특히 정부는 정보보호최고책임자(CISO)와 개인정보보호최고책임자(CPO)가 이사회에서 목소리를 낼 수 있도록 권한을 강화할 것으로 알려졌다. 기업 입장에선 CISO와 CPO를 따로 둬야 한다는 압박이 커질 것으로 보인다. 현재 대다수 업체는 비용 등을 이유로 임원급 1명이 CISO와 CPO를 겸직하고 있다.
 4일 업계에 따르면 대통령실은 과학기술정보통신부, 개인정보보호위원회 등 관계 부처와 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법) 및 ‘개인정보보호법’ 개정을 검토하고 있다. 특히 정보보안 책임자가 예상 편성안에 관여할 수 있는 방안을 들여다보는 것으로 알려졌다. 과기정통부는 이에 대해 “CISO와 CPO의 권한 강화를 검토하고 있다”라고 밝혔다.
 ◇ CISO는 기술, CPO는 법률… 겸직이 불법은 아냐
 CISO와 CPO는 모두 기업에서 보안을 담당하지만, 세부 업무는 다르다. CISO는 전반적인 정보보안 전략과 실행을 총괄하는 한편, CPO는 고객이나 직원 등의 개인정보를 법과 규정에 따라 관리한다. 통상 CISO는 기술 전문가가, CPO는 법률 전문가가 맡는다. 다만 많은 업체가 비용 등의 문제로 임원 한 사람에게 CISO와 CPO를 동시에 맡기고 있다. 현행법상 CISO와 CPO 겸직은 불법이 아니며, 정부 역시 겸직을 금하는 안은 고려하지 않고 있다.
 정부가 기업 보안 컨트롤타워의 재편을 압박하는 이유는 SK텔레콤 해킹 사고와 같은 대규모 개인정보 침해 사고를 방지하기 위해서다. 개인정보보호위원회는 지난달 27일 SK텔레콤에 부과하는 과징금을 발표하면서 회사의 CPO 역할이 제한적이었다고 꼬집은 바 있다. 고학수 개보위원장은 당시 “조사 과정에서 파악된 CPO 관련 문제는 IT 전반을 다루는 부서와 인프라 부서 사이의 역할 구분이 실질적으로 있었다는 것”이라며 “CPO가 네트워크 인프라도 확인할 수 있지만, 제한적으로만 보는 업무 관행이 있었던 것 같다”라고 언급했다.
 SK텔레콤은 최근 CISO가 맡던 업무에서 개인정보 관련 기능을 분리해 CPO를 신규 선임한 바 있다. SK텔레콤이 CISO와 CPO를 분리한 것은 6년 만이다. 회사는 변호사 출신 차호범 AI거버넌스팀장을 CPO로 임명하면서 임원으로 승진시켰다.
 ◇ “비용·업무 특성상 보안 담당 C레벨 2명 두기 쉽지 않아”
 정부가 산업계의 전방위적인 보안 투자를 강조하면서 기업들이 보안 담당 C레벨(임원 직급)급 인력을 보충할 것이라는 전망도 나온다. 기업 예산에 관여할 수 있는 팀장 이상의 리더를 배치할 가능성이 크다는 것이다. KT의 경우 최근 CISO를 상무로 승진시켰지만 아직 황태선 CISO가 CPO를 겸직하고 있다다. LG유플러스는 홍관희 정보보호센터장(전무)가 보안을 총괄한다. 네이버의 경우 경찰 출신인 이진규 개인정보보호 리더가 기업 보안을 총괄하고 있다.
 업계에서는 비용적 한계뿐 아니라 실제 업무 특성상 두 역할을 나누기가 쉽지 않다고 한다. 중소기업의 경우 인력·예산이 여유롭지 않아 분리가 사실상 불가능하고, 대기업도 제도상 분리한다고 해도 실질적으로는 CISO 아래 CPO를 두는 구조가 될 가능성이 크다는 것이다. LG유플러스의 경우 2023년 보안 사고 이후 보안 조직을 확장하며 CISO와 CPO를 분리해 임명하겠다고 밝혔지만, 이후 적임자를 찾지 못해 겸직 체제를 유지하는 것으로 알려졌다.
 업계 관계자는 ”CPO를 별도 ‘C레벨’로 둘 만큼 인원과 조직이 넉넉하지 않은 회사들이 많아, 실질적으로는 ‘호칭만 CPO’인 경우가 많다“라며 ”전문성을 고려할 때 두 역할을 따로 선임하는 것이 맞지만, 정부가 법을 개정하기 전 현장의 목소리부터 듣고 판단하는 것이 바람직하다”라고 했다.
 - Copyright ⓒ 조선비즈 &amp; Chosun.com -
 </section> 
 </div> 
 Copyright © 조선비즈. 무단전재 및 재배포 금지.

이전

최민희 의원 "공공 데이터, AI학습용으로 개방"

09-04
다음

급증하는 해킹, 방파제 쌓는 K-게임사

09-04

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

해킹 여파에 기업 보안책임자 입김 세질 듯… CISO·CPO 분리는 쉽지 않아

멤버랭킹

관련자료

멤버랭킹