[넋두리] 1. 굴러온 돌은 힘들다
그들은 소모품을 찾고 있다
기업(및 기관, 이하 기업)이 보유하고 있는 정보를 책임지는 자리에 있는 사람을 CISO(Chief Information Security Officer, 정보보호 최고책임자, 이하 CISO)라고 부른다. 외부 해커에 의한 공격으로 개인정보를 포함한 주요 정보들이 유출되지 않도록, 내부자에 의해 주요 기밀정보가 외부로 유출되지 않도록 각 영역별로 최적의 설루션을 도입하여 보안을 구축하고 동시에 다양한 위험상황을 항시 감시해야 하는 막중한 자리로 상당한 전문성과 그에 비례한 책임을 요구받는 자리이다.
그러나 아직도 많은 기업들이 CISO 자리에 IT보안 분야에서 오랫동안 일해 온 전문가가 아닌 비전문가를 임명하고 있는 것이 현실이다. 보안이 중요하다고 각종 언론매체에서 하루가 멀다 하고 얘기하고 있고, 정보유출 사고도 수시로 발생하고 있는 우리네 현실을 보면 보안 분야의 전문가를 임명하는 것이 당연함은 누구도 부정할 수 없을 것이다. 그러나 현실은 기대와는 전혀 다르게 정보보안을 전공하지도 않았고, 정보보안 분야에서 근무하지도 않은 비전문가들이 CISO 자리에 임명되어 기업의 정보보안을 책임지는 경우가 허다하다.
이 경우 대체로 기업들이 내세우는 이유는 자신들이 필요로 하는 조건을 만족하는 보안전문가를 영입하려고 하였으나 적합한 인물이 없어, 부득이하게 비전문가여도 내부업무에 정통한 내부인력으로 임명할 수밖에 없었다고 토로한다. 정말 그런 것일까? 혹시 다른 이유는 없는 것일까? 이와 관련하여 짚어보아야 할 몇 가지 주요 쟁점들이 있다.
첫째, 많은 경우 금융회사를 포함한 상당수의 기업들은 오랜 IT 및 보안업계에서의 경험과 함께 해당 기업의 사업 분야에 대한 깊은 지식의 보유를 CISO 채용의 기준으로 요구하고 있다.
얼핏 타당한 요구사항으로 보인다. 하지만 조금만 더 신중히 생각해 보면 굉장히 만족하기 어려운 조건임을 알 수 있다. 보안을 책임지는 CISO는 기업의 임원 혹은 임원급에 해당하는 자리이다. CISO가 갖춰야 할 IT 및 보안에 대한 다양한 지식 및 전문성과 더불어 임원(급) 자리에 요구되는 리더십과 의사소통 능력 등을 갖추기 위해서는 최소 10년 이상, 적어도 20년 가까운 기간의 지식과 경험 축적이 필요하다.
여기에 기업의 주요 사업에 대한 지식을 추가로 갖추려면 얼마의 시간이 더 필요하게 될지 가늠할 수 없다. 한 분야에서 전문가로서의 역량을 갖추는데 필요한 최소 기간을 10년으로 치면, 보안 분야에서의 최소 10년과 특정 사업 분야에서의 최소 10년을 합해 적어도 20여 년에 가까운 경력이 쌓여야 한다.
수많은 사업 분야가 있는데 기업마다 자신의 사업 분야에 대한 깊은 수준의 지식과 자격을 요구한다면 과연 그런 자격을 갖춘 보안전문가가 있기는 한 것인지 의문점이 드는 이유다. 혹여 그런 전문가가 있다고 해도 아주 소수일 것이며, 그런 사람을 구하기는 하늘의 별따기일 것이다. 그렇다면, 사업 분야에 대한 깊은 지식까지는 아니어도 관련 산업에 대한 경험과 이해를 갖고 있는 뛰어난 보안전문가를 찾는 것이 현명한 선택이라고 보는 것이 오히려 합당할 것이다.
둘째, CISO는 기업의 보안을 책임지는 막중한 자리이다. 그러나 많은 기업이 외부에서 CISO를 채용 시 임원(급)이라는 직책에도 불구하고 자리와 책임에 비해 적은 연봉의 제시와 함께 보안 사고에 대한 전적인 책임을 요구하고 있다. 바꾸어 말하면, 사고 발생 시 희생양이 되어달라고 대놓고 요구하고 있는 것이다. 손 안 대고 코 풀겠다는 뻔히 속이 보이는 이런 조건에 과연 어느 누가 선뜻 CISO 자리를 맡고자 하겠는가? 현실이 이러하니 많은 보안전문가들이 허울만 좋고 실속은 없는 기업의 CISO로 가기를 주저할 수밖에 없다.
이런 환경을 빗대어 CISO의 다른 이름을 OTP(One Time Prison)라고 농담 반 진담 반으로 표현하기도 한다. 본인의 잘못 여부와 상관없이 대형사고 한 번으로 자리에서 쫓겨나거나 교도소에 갈 수도 있는 등 큰 책임을 져야 하는 위태로운 자리이지만, 권한은 없고 연봉은 적은 자리라는 조소가 담긴 단어다. 실제로도 사고 발생의 책임을 지고 구속되거나 자리에서 물러난 아픈 사례들이 다수 존재하고 있어 마냥 웃어넘길 표현은 아니다.
큰 사고가 발생한 뒤 곧바로 새로운 CISO나 CPO(Chief Privacy Officer, 개인정보 보호책임자)를 구한다는 공고가 올라오는 경우가 왕왕 있는데, 대부분 기존의 CISO나 CPO가 사고의 책임을 지고 계약 해지되고 새로운 사람을 구하는 경우이다.
셋째, 이러니 저러니 해도 임원(급) 자리이다. 임원이라는 위치는 직장인들이 서로 올라가려고 다투는 승진의 마지막 종착지와도 같다. 같이 입사한 동기 중에서도 소수만이 임원을 달 수 있는 것이 우리네 직장인 생활이다. 따라서 CISO라는 자리가 어떤 책임과 상황에 놓인 자리인지 보다 그 자리가 임원에 해당하는 자리란 것이 중요하게 취급된다.
그런 자리를 아무리 전문역량이 요구된다고 해도 외부에서 온 사람에게 준다는 것은 전문가 영입에 대한 경영진의 강력한 의지 없이는 성사되기 어렵다. 외부인 영입 결정과 동시에 임원 진급을 꿈꾸는 내부 직원들의 강력한 불만에 직면하게 되며, 경영진 역시 직원들의 이런 의견을 무시하지 못하고 영입을 취소하는 경우가 자주 발생하는 이유다.
물론 예외는 있다. 정보 유출 사고 그중에서도 고객정보 유출이라는 대형사고가 발생한 경우는 예외가 된다. 직원들의 반대나 불만에 대한 걱정 없이 외부 전문가의 무탈한 영입이 가능하다. 이유는 단순하다. 새로 영입된 CISO나 CPO가 유출사고에 대한 책임과 뒤처리를 담당해야 하는 것이 명확하기 때문이다. 사고의 규모에 따라 길게는 몇 년에 걸쳐 뒤처리를 해야 할 수도 있다. 다시 말해 찬바람 불고 비 오는 때에는 누구도 원치 않는 자리가 곧 CISO라는 자리인 것이다.
많은 기업들은 지금도 한 목소리로 얘기하고 있다. 자신들이 원하는 조건에 적합한 사람이 없어서 부득이 내부에서 임명할 수밖에 없다고, 그래서 외부에서 보안전문가를 영입하지 못한 것이라고 말이다.
그러나 실제 현장에서는 정보보안 분야에서 15년 20년 이상을 근무한 많은 보안전문가들이 활동하고 있다. 물론 그들 모두가 CISO에 적합한 역량을 보유하고 있다고 할 수는 없을 것이다. 기술적 지식 기반이 다소 부족하거나, 리더십 등 임원으로서 필요한 관리적 역량이 부족한 사람들이 있을 것이기 때문이다.
그렇다고 해도 그들 중 많은 수는 오랜 기간 동안 금융, 기업, 공공, 제조 등 다양한 산업분야를 넘나들며 고객들의 보안현황을 진단하고 취약한 부분을 찾아 보완책을 제시하는 역할을 묵묵히 수행해 왔다. 그들이 CISO가 되기에 적합하지 않은 부족한 인재들이라면 누가 적합한 인재라는 것일까?
이런저런 이유를 들어가며 비전문가를 CISO로 임명하고 있는 기업들에게 다시 한번 묻고 싶다. 정말 뽑을 사람이 없는 것인지, 아니면 뽑고자 하는 의지가 없는 것인지를 말이다.