보안사고의 시대, CISO는 왜 떠나는가

 

 

보안사고의 시대, CISO는 왜 떠나는가

올해 초부터 유난히 대형 사이버 보안사고가 잇따라 발생하면서, 국정감사에서도 주요 이슈로 다뤄지고 있다. 각 기업의 CEO와 CISO가 증인으로 참석하는 사례도 이어지고 있다. 이에 편승하듯 최근 CISO들이 타사로 이직해 소속을 변경하는 사례가 잦다는 이야기도 들린다. 어쩌면 자신이 몸담은 회사의 내부 상황과 위험 요인을 가장 잘 알고 있기 때문에, 사고 발생 시 책임과 사임 문제를 우려해 이러한 현상이 나타나는 것일지도 모른다.

그간 수많은 보안사고와 대응책을 살펴보면, 우리 사회는 원인을 파악하고 개선점을 도출하기보다 사고의 ‘결과’만으로 모든 것을 판단하는 구조로 가고 있는 듯하다. 본 기고에서는 업계 실무 경험을 바탕으로, 현재 화두가 되고 있는 두 가지 질문 — “준비만 철저히 하면 정말 보안사고는 나지 않을까?”, “왜 기업 및 기관은 보안 대응에 소극적일까?” — 에 대해 이야기해보고자 한다.

인식의 전환: 사고는 100% 예방 가능하다?

IT보안뿐 아니라 모든 사고는 아무리 철저히 대비해도 어딘가에서 문제는 발생할 수밖에 없다. 특히 IT보안은 IT의 빠른 발전 속도를 따라가야 하는 특성이 있다. 과거 클라우드가 도입되면서, 기존의 온프레미스 중심 보안체계가 인스턴스 단위의 인프라 보안으로 전환되는 등 패러다임의 변화가 있었다. 최근에는 생성형AI의 확산으로 일반인조차 AI를 활용해 해킹을 시도할 수 있는 새로운 위협이 등장하고 있다.

이처럼 IT보안은 아무리 준비를 잘해도 ‘사고 이후에 대응책이 나올 수밖에 없는’ 구조임을 인식해야 한다. 철옹성이라 불리는 미국 국방성이나 FBI조차 드물게 보안사고를 겪지 않는가. 문제는, 사고가 발생했다고 해서 “투자를 해도 의미가 없다”는 식의 인식이 아니라, 사고로 인한 피해를 최소화하기 위한 ‘지속적인 대응’이 필수적이라는 점이다.

대부분의 침해사고는 외부에서 시스템을 탐색하고 내부 구조를 파악한 뒤 본격적인 침투로 이어진다. 따라서 초기 단계에서 탐지와 대응이 이루어진다면 공격 확산을 막을 수 있다. 코로나19 시기부터 강조된 ‘사이버 복원력(Cyber Resilience)’의 개념이 바로 이러한 맥락이다. 유럽연합(EU)은 이를 제도화해 ‘사이버 복원력법(CRA, Cyber Resilience Act)’까지 제정했다.

물론 여전히 방화벽 정도만 갖춘 기업도 존재한다. 그러나 현장에서 최선을 다하고 있는 보안 담당자들에게 사고 발생 시 “넌 뭐 했냐”는 식으로 일방적으로 질타하기보다, 그 노력을 인정할 필요가 있다. 과거 한 통신사 사례에서도 당시 기술로는 대응이 불가능했던 사고에 대해 대법원이 면책 판결을 내린 적도 있다. IT보안은 그만큼 현실적으로 어려운 업무이다.

제도와 현실의 괴리

우리나라는 드물게도 CISO 제도(2006년 정보통신망법 개정)와 ISMS 인증제도를 법으로 규정한 나라다. 하지만 현실은 제도만큼 따라가지 못한다. CISO를 미지정한 기업의 경우 과태료 3,000만 원이 부과되지만, 이는 중견기업 신입사원 연봉보다 낮은 수준이다. 경영진 입장에서는 과태료보다 훨씬 큰 비용을 들여 CISO를 정식 채용할 유인이 부족한 것이다.

또한 침해사고 발생 후 24시간 이내 신고하지 않으면 최대 3,000만 원의 과태료가 부과된다. 그러나 신고를 하면 실제 피해 여부와 상관없이 언론에 기업명이 공개되어, 후속조치와 무관하게 영업적 피해가 발생한다. 이 때문에 기업은 신고를 꺼리게 되고, 결국 법을 준수하는 쪽이 오히려 불이익을 받는 구조가 형성된다.

정보보호 공시제도와 ISMS·ISMS-P 인증제도의 실효성 논란도 반복된다. 인증은 기업의 최소한의 보안체계를 확보하는 데 도움이 되지만, 여전히 형식적 심사와 인증 범위의 한계로 인해 실질적 보안 강화에는 미치지 못하고 있다. 제도보다 중요한 것은 ‘지속적 검토와 개선’이다.

CISO와 보안조직, 그들은 무엇을 하는가?

“CISO는 대표이사 직속 독립조직이어야 한다”는 법적 규정이 있지만 실제로는 CIO 산하에 배치된 경우가 많다. 예산은 CFO가, 인사는 HR이 관장하는 구조 속에서, CISO가 실질적 권한을 갖기 어렵다. 경영층의 지원이 없으면 사고 위험을 안고 갈 수밖에 없는 현실이다.

또한 과기정통부가 올해 추석 전 약 3만 개 기업에 ‘대표이사 결재 후 제출’을 요구한 보안 점검 공문을 보냈다는 소식도 있었다. 대표이사의 관심을 유도하려는 의도였지만, 정부조차 CISO와 CIO의 역할 구분을 명확히 하지 못한 점은 문제로 지적된다. 특히 지방 중소기업은 인력과 예산 부족으로 보안 담당자가 한 명도 없는 경우도 많다.

이제 무엇을, 어떻게 해결해야 할까?

이제 문제를 인식했다면, 해결책은 명확하다. 무엇보다 경영진이 보안을 ‘비용’이 아닌 ‘투자’로 인식하도록 사회적 분위기와 정책이 바뀌어야 한다. 단순히 과태료로는 변화를 만들 수 없다. 실질적 인센티브와 지원책이 병행되어야 한다.

보안에서는 “Security by Design(설계단계부터 보안을 고려한다)”는 개념이 있다. CISO가 회사의 모든 IT서비스를 이해하지 못하면 그림자 IT(Shadow IT) 문제를 해결할 수 없다. 절차적 관리와 IT감사를 통해 누락된 부분을 보완해야 한다. 또한 인력 확보가 어려운 중소기업을 위해 외부 전문서비스 형태의 vCISO(가상 CISO) 제도 도입을 검토할 필요가 있다.

현장의 제약 속에서도 묵묵히 보안을 지키는 이들에게 사회적 공감과 지원이 필요하다. 이 글이 보안 종사자들이 보다 나은 환경에서 일할 수 있는 계기가 되길 바란다.

[글. 보안전문가 이혁중]

반응형