by
Jun 08. 2019
'CISO' 공무원 낙하산 통로 될까
액티브X, 공인인증서 이은 '보안 관치' 그늘
2015년 하반기, 관세청을 드나드는 대기업 임직원들이 부쩍 늘었습니다. 당시 서울 시내 면세점 특허 조정이 있었는데, 이 사업권을 따내기 위해 대기업들은 대거 대관 라인을 돌렸습니다. 과당 경쟁이 벌어지면서 정부는 결국 신규 사업자의 진입을 허락해줬습니다.
면세점은 특혜 사업이기 때문에 그간 일부 대기업에게만 사업권을 줬는데, 이 관행을 깨버린 것이죠. 이때 두산·한화가 면세점 신규 사업자로 선정됐습니다.
결과적으로 적자 누적을 견디지 못한 한화 63빌딩 면세점이 문을 닫는 등 정부가 면세점 특허를 과도하게 열어준 폐해가 나타나고 말았고, 현재 면세점 사업 지형은 2015년 이전으로 돌아가는 모양새입니다. 승자 없는 싸움이 돼 버린 것입니다.
https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=366&aid=0000432959
기업들은 별다른 소득을 거두지 못했지만, 승자는 따로 있었습니다. 관료들이죠.
고시 출신이든 비고시 출신이든 공직 생활을 대하는 관료들의 태도는 똑같습니다. '승진'과 '퇴직 후 일자리'입니다.
관세청은 정부 조직 내에서 그다지 힘이 강한 조직이 아닙니다. 기획재정부처럼 민간에 예산을 집행하는 기관도 아니고, 국세청처럼 강력한 조사권을 가지지도 못했습니다. 대기업들로서는 평소 '관리'할 이유가 크지 않은 조직입니다.
그런데 면세점 사업이 황금알을 낳는 거위가 돼 버리자 많은 대기업들이 관세청에 줄을 대기 시작했습니다. 신규로 면세점 특허를 취득하려는 회사나 5~10년마다 특허 재연장을 바라는 기업 모두 관세청 출신 공무원들을 채용하려는 움직임도 나타났습니다. 관세청 공무원들로서는 신바람 나는 상황이 된 셈입니다.
최근 IT 업계에서도 이런 관치의 그늘이 짙게 드리우고 있습니다.
과학기술정보통신부가 기업들에게 정보보호최고책임자(CISO)를 두는 것을 의무화하는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령'을 13일 시행하는 것이죠.
CISO란 기업의 정보보안을 위한 기술 대책과 법률 대응을 책임지는 최고 임원을 뜻합니다. 보안최고책임자(CSO)나 개인정보보호책임자(CPO)와 비슷한 개념입니다. 정보통신망법상 CISO의 역할은 다음과 같습니다.
■CISO의 역할
정보보호관리체계의 수립 및 관리·운영
정보보호 취약점 분석·평가 및 개선
침해 사고의 예방 및 대응
사전 정보보호대책 마련 및 보안조치 설계·구현 등
정보보호 사전 보안성 검토
중요 정보의 암호화 및 보안서버 적합성 검토
기타 정보보호를 위하여 필요한 조치의 이행
정보통신망법 제45조의3 제 4항
정부는 왜 기업들에 CISO를 의무화했을까요. 정보보호 전문성과 경험 있는 전문가가 정보보호 업무를 담당함으로써 기업의 사이버 침해 사고 대응능력을 강화하겠다는 것이 정부가 내세운 명분입니다. 그런데 CISO의 자격 요건이 조금 이상합니다.
■CISO의 자격요건
정보보호 또는 정보기술 분야 석사 학위 이상의 학위를 취득한 사람
관련 분야 학사 학위를 취득하고 관련 분야 업무를 3년 이상 수행한 경력이 있는 사람
관련 분야의 전문학사학위를 취득하고 관련 분야 업무를 5년 이상 수행한 경력이 있는 사람
관련 분야 업무를 10년 이상 수행한 경력이 있는 사람
법 제47조 제6항에 따른 정보보호관리체계 인증기관의 정보보호관리체계 인증 심사원
해당 정보통신서비스 제공자의 정보보호 업무 관련 부서의 장으로 1년 이상 근무한 경력이 있는 사람
이 조건은 꽤 느슨하고 해석의 여지가 많아 주관이 개입될 가능성이 높습니다.
인터넷보안관리사 등의 전문 자격증이 없거나, 정보보안 경력을 2년만 쌓았다면 정보기술(IT) 전문가도 CISO가 될 수 있습니다. 과학기술정보통신부나 한국인터넷진흥원(KISA) 등 정부기관에서 근무한 사람에게도 문호가 열렸습니다. 정보보안 소송을 10년 이상 꾸준히 한 변호사나 정보보안에서 10년 이상 활동한 전문기자도 CISO가 될 수도 있습니다.
법 추진 과정에서 정부는 IT 기업 관계자들과 논의했는데, 업계에서는 CISO의 자격요건이 느슨하며, 전문성을 담보할 수도 없다는 의견을 냈습니다. 그러나 정부는 이 의견을 중요하게 반영하지는 않았습니다. 앞서 기술했듯 CISO를 의무화 한 정부의 목적은 책임 있는 전문가를 통해 기업의 사이버 침해 사고 대응능력을 강화하겠다는 것입니다. 정부가 내세운 CISO의 자격요건이 정책 목적 달성에 부합할까요. 대형 IT 기업들의 경우 CISO는 정보보안 전문가에게 맡기는 것이 일반적입니다.
■넷마블 CISO 이준영
https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=030&aid=0002793178
■네이버 CISO 이진규
https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=031&aid=0000495816
정부는 CISO 지정신고를 의무화하고, 의무 대상 기업을 정보통신서비스를 제공하는 자본금 1억원 이상 기업으로 산정했습니다. 그 수는 총 3만9000개입니다.
재미있는 점은 정보통신서비스를 제공하는 기업이 대상이라는 것입니다. '전기통신기본법'에 따르면 정보통신서비스란 전기통신역무와 이를 이용하여 정보를 제공하거나 정보제공을 매개하는 기업을 뜻합니다.
즉 인터넷 홈페이지가 있다면 CISO 지정신고 의무를 진다는 것이죠. 건설사나 조선·해운·정유·화학 등 일반 사용자의 접근이 많지 않은 업종도 해당됩니다. 이들 업종은 B2B이기 때문에 홈페이지보다는 내부망 보안이 훨씬 중요합니다. 그런데 정작 CISO 지정신고 의무 대상자를 선정할 때는 KT나 SK텔레콤과 같은 회사와 같은 기준에 세운 것입니다.
정부는 CISO 미신고 사업장에는 1차 위반 시 1000만원, 2차 위반 시 2000만원 3차 위반 시 3000만원의 과태료를 부과할 예정입니다.
과기부는 또 CISO 이외에 스마트팩토리 등 사물인터넷(IoT) 기업에 'IoT 취약점 점검 시스템'이라는 것을 도입해 앞으로 관리하겠다고 합니다. 한국형 '쇼단'(shodan)이라고 합니다. 쇼단이란 IoT 검색엔진으로 보안 위험을 탐색할 때 사용합니다.
https://terms.naver.com/entry.nhn?docId=3599215&cid=59088&categoryId=59096
