[넋두리 2] 2. 정보보안 네 글자에 개인을 붙이면

CISO와 CPO가 분리되는 마법

  국내법에서 기업이나 기관의 IT보안을 책임지는 책임자 지정을 요구하는 대표적인 두 개의 직급이 있다. 바로 정보보호책임자(CISO)와 개인정보보호책임자(CPO)다. 상황에 따라 직책을 부르는 호칭이 다소 차이가 있기도 하지만 일반적으로 통용되는 용어로 쓰이고 있다.

  CISO 직무는 정보통신망법에 따라 다른 업무를 겸직하는 것이 법으로 금지되었다가 몇몇 다른 법에서 정한 CISO(혹은 그에 준하는) 업무 또는 개인정보 보호법의 CPO의 업무는 겸직할 수 있도록 재개정되었다. 따라서, 기존 법에 의해 CISO와 CPO를 분리했던 기업들에서 다시 CISO와 CPO를 통합하여 운영하기도 하는 상황이다.

  CISO와 CPO는 각각 정보보안과 개인정보보안 영역에 대한 최고책임자를 의미한다. 이 두 개의 직책에 있어 주요한 차이는 앞에 '개인'이라는 두 글자가 들어가는 것, 그리고 개인정보보호책임자는 개인정보처리에 대한 법적 책임을 가진다는 것이다.

  그저 용어로만 보면 각 분야별로 지정한 것이니 무슨 문제가 있을까 싶지만, 실제 속을 들여다보면 현실은 쉽지 않다. 기업에게 있어 보안과 관련하여 정보보호와 개인정보보호의 영역이 칼로 무 베듯이 명확히 나누어 분리되지 않는 영역이 존재하기 때문이다. 기업들이 가장 난감해하는 부분은 임원급의 보안책임자를 두 명이나 지정해야 하는 상황에 대한 부담 때문이다. 

  정보보안의 앞에 '개인'이라는 단어를 붙이면 개인정보보안이 된다. '위치'라는 단어를 붙이면 위치정보보안이 된다. 개인정보보안과 위치정보보안 모두 각각 정보보안 관련 법령이 존재하는 영역이다. 위치정보 역시 핸드폰 등 사물에 대한 위치정보보안과 사람에 대한 개인위치정보보안으로 나눌 수 있다. 이때 위치정보보안은 정보보안 영역에, 개인위치정보보안은 개인정보보안 영역에 포함된다. 같은 위치정보지만 분리해서 관리해야 하는 모순이 생기는 것이다. 이렇듯 정보보안의 영역은 IT기술을 기반으로 한 상황에서는 보안이라는 명제를 가지고 가는 한 몸이지 명확하게 나누어 분리할 수 있는 대상이 아니다.

  사실 CISO와 CPO가 분리된 것은 정보통신망법과 개인정보 보호법이라는 서로 다른 두 법률에서 각기 다른 보안책임자 지정을 명문화한 것이 근본적인 원인이다. 

  해외의 경우 CISO와 CPO를 따로 지정하도록 법에서 강제화한 경우를 찾아보기 힘들다. CISO가 지정된 경우 개인정보보호도 함께 수행하도록 책임을 부여하는 것을 당연하게 생각한다. 기업의 규모와 취급하는 개인정보의 규모에 따라 다르지만 굳이 정보보안과 개인정보보안의 영역을 애써 분리하지는 않는다. 정보보안조직이 개인정보에 대한 보안을 수행하는 것을 당연하게 여기며, CPO는 개인정보의 처리 원칙과 고객의 권리를 보장하기 위한 Privacy에 집중하는 것이 일반적이다. CPO의 P가 Privacy 임을 생각하면 당연한 것이기도 하다.

  많은 기업에서 IT기술 및 보안기술의 경험과 지식이 부족한 CPO가 지정되고 운영되고 있다. 그 결과 개인정보보안과 관련된 IT 영역에 대해서는 전문 CISO에게 그 실행의 대부분을 떠넘기거나 위임하고 있는 부득이한 상황이 발생하고 있다. 그러면서도 개인정보와 관련되어 정보유출 등 기술적 사고가 발생하면 CPO로서의 대외적인 책임은 가져가야만 하는 상황이다. 법과 현장의 현실 사이에 상당한 괴리가 있는 것이다.

  기업들이 CISO와 CPO의 분리를 통해 개인정보처리에 더 많은 관심을 쏟어야 하는 것은 일견 당연한 것이다. 다만, 실제 기업의 상황에 맞게 CPO에게 요구되는 업무를 명확히 할 필요가 있다. IT와 보안에 대한 기술적 지식을 요구하는 업무는 CISO에게 일임하고, CPO는 개인정보처리 및 Privacy 분야에 더 집중하고 그 결과에 따른 책임을 지도록 하는 것이 좋다.

  이전 CISO 겸직금지 조항이 법에 반영된 이유도 외부 침해로 인해 발생한 개인정보 유출사고로 인해 CISO가 개인정보보안에 더 전념할 수 있도록 하겠다는 의미에서 비롯되었음을 되새겨볼 필요가 있다. 하지만 보안 관련 여러 법이 난무하고 있는 상황은 실제 현장의 현실과는 무관하게 개인정보에 대한 보안을 계속 CPO에게 책임지라고 하는 모순된 상황을 연출하고 있다.

  CPO가 있음에도 모든 보안업무를 CISO가 수행하고 있는 기업이라면 고개를 갸우뚱할 수밖에 없다. 대체 왜 정보보안의 업무를 굳이 CISO와 CPO에게 따로 일임해야만 하는지 말이다. 탁상행정이란 이런 것이다.