내부 육성 vs. 외부 전문가…고민 깊어지는 ‘금융 CISO’
[디지털데일리 박기록기자] 언뜻보면 사소한 문제 같지만 따지고 들어갈수록 복잡해지고 고민스러워지는 문제가 있다. 그동안 유명무실하게 운영돼왔던 금융 CISO(정보보호최고책임자) 제도가 그렇다.
앞서 금융 당국은 지난 10일 ‘금융전산 보안 강화 종합대책’을 통해 그동안 CIO가 대부분 겸직해오던 CISO제도를 개선해, 앞으로는 겸직을 금지하도록 했다. 자산규모 10조원 이상 또는 임직원 1500명 이상의 대형 금융회사가 그 대상이다.
하지만 대책이 발표된 이후, 금융권에서는 CISO와 보안조직을 앞으로 어떻게 꾸려나갈 것인지를 놓고 선뜻 명쾌한 그림을 그리지는 못하고 있는 듯 보인다.
일단 이번 종합대책의 발표로, 대형 금융회사들은 기존 IT조직에서 보안조직을 분리하는 과정이 불가피하게 됐다. 그러나 보안 IT조직의 규모와 업무의 분장및 역할을 디테일하게 구성하는 것은 말처럼 쉽지않다는 게 금융권의 목소리다.
한편 금융 당국은 CISO의 업무 독립성을 보장하기위해 명시적으로 최소한의 가이드라인을 제시했지만 금융회사내 CIO와 CISO의 위상 문제, 또 새로운 보안조직의 업무 영역 설정 문제는 결국 개별 금융회사가 스스로 짊어져야할 몫이다.
◆강화된 CISO제도, 기존 IT조직 어떻게 손대나 = 금융 CISO제도는 지난 2012년 5월부터 시행된 전자금융거래법 시행령의 개정으로 시행에 들어갔다. 제도시행 초기부터 CIO가 CISO를 겸직하는 사례가 빈발해 정책의 취지는 크게 퇴색했다.
하지만 CIO와 CISO의 겸직이란 방법을 통해 금융권은 여러가지 번잡한 문제들을 당장은 봉합할 수 있었다.
대부분의 금융회사들은 임원급의 CISO를 별도로 두지 않아도 됐고, 자연스럽게 별도의 보안조직을 따로 구성하지 않았다. 물론 그렇기 때문에 제도가 유명무실해질 수 밖에 없었겠지만 어차피 새로운 틀이 마련된만큼 이제부터는 새 제도에 맞는 적극적인 대응이 필요한 시점이다.
무엇보다 CISO의 자격에 대한 갑론을박이 치열하다. 가깝게는 CISO의 역할론에서부터 멀리는 기존 금융회사의 IT인사 적체의 문제까지도 복선이 깔려 있다.
"CISO는 외부 보안전문가의 영입을 통해 해결해야한다"는 주장이 있는 반면 "보안 전문가도 결국은 금융회사가 내부 육성해야 한다"는 반론이 만만치 않다.
한편 금융 당국은 이번 보안 종합대책을 발표하면서 '외부영입 또는 내부 육성'과 관련해 별도의 기준을 제시하지 않았다. 물론 앞으로도 제시할 계획이 없다.
"우리가 외부 보안전문가를 영입해라 마라 할 수는 없다. 그것은 어디까지나 개별 금융회사의 몫"이란 게 금융위원회의 입장이다. 이러한 금융위의 입장은 적절한 것이다.
◆외부 보안전문가론 “크게 부족한 보안전문가, CISO 외부영입 불가피” = CISO로 외부 보안전문가의 영입이 필요하다는 주장은 앞서 지난 2011년 10월, 전자금융시행령 당시부터 제기된 바 있다. 이유는 여러가지다.
먼저 자질론이다. 현재의 고도화된 금융 보안위협 수준을 고려했을때, 한시적으로라도 수준높은 외부 보안전문가의 투입이 불가피한 상황이라는 것이다.
금융회사 IT부서 내부에도 물론 보안업무 담당자가 있지만 당장은 CISO를 맡길 만큼의 폭넓은 시각과 최신 보안지식에서 한계가 있다는 게 논리의 배경이다.
또한 ‘선량한 감시자’로서의 역할이다. 금융회사가 IT 보안투자를 제대로 하고 있는지 객관적으로 검증하려면 결국은 외부에서 온 전문가외에는 대안이 없다는 것이다.
실제로 금융회사가 내부적으로 임원급의 CISO를 임명한다하더라고 결국은 기존 CIO의 위상에서 밀릴 수 밖에 없는게 현실이다. 전산경력자중에서 CISO를 선발해야하기때문에 결국은 IT부서 내부인력이 CISO가 될 경우, 기존 CIO와의 겸직시절 보다는 덜하겠지만 객관적 감시자의 역할을 기대하기는 힘들것이란 논리다.
◆내부 육성론 “보안도 금융 프로세스의 일부, 내부 육성이 답”= 한편 CISO의 내부 육성론을 주장하는 전문가들은 "외부 보안전문가라는 것 자체가 따지고 보면 막연한 기준"이라고 반박한다.
이들은 오히려 '외부 보안전문가'의 자질을 지적하고 있다. 무엇보다 "보안 기술을 아는 것과 금융 프로세스를 아는 것은 분명히 다르다"는 점을 든다. 금융권에 필요한 것은 '금융 보안전문가'이지 보안기술자가 아니라는 것.
실제로 외부 전문가를 영입하려해도 IT업체의 경우 특정 보안기술 분야의 전문가일 뿐이고, 학계에선 전문가 풀이 너무 적다는 것이다.
외부 보안전문가 영입을 반대하는측에서 가장 문제점으로 꼽는것은 현실적인 업무 적응력이다. 특히 지나치게 보안 제일주의적인 시각에서 금융 IT를 바라볼 경우, IT와 연계된 업무 프로세스 개선 작업에 오히려 비효율성이 초래될 수 있다는 것이다.
모든 금융 업무 프로세스에서 보안수준을 최고로 높일 수 있다면 좋겠지만 IT예산의 제약때문에 그것이 불가능하다면 투자의 효율성을 우선 고려해야하는데, 이같은 폭넓은 시각은 금융 업무 프로세스에 정통한 내부 전문가의 육성을 통해서만 가능하다는 것.
한편 조직구성원들과의 융화 등 보이지않는 장벽도 현실적인 문제라는 것이다. 기존 금융회사 IT조직 구성원들과의 팀웍 등도 매우 중요한데 외부 영입된 CISO가 보안조직 구성원들과의 의사소통이 원할할 것인지 의문이라는 지적이다. 특히 국내 금융 IT부서 특유의 보수적인 조직문화를 고려하면 더욱 그렇다는 것이다.
이와함께 금융 IT조직의 고질적인 인사적체 문제를 해소하기위한 차원에서 이번에 겸직을 분리한 CISO제도의 긍정적인면을 활용하는 것도 고려해야한다는 의견도 없지 않다.
◆“결국의 시스템화의 문제” = 외부 보안전문가 영입에 대해 긍정론과 부정론을 언급한 금융 IT전문가들의 주장을 요약해보면, 결국 견해가 일치하는 부분이 있다.
다름아닌 '금융 보안전문가의 육성'이다. 금융권이 향후 최소 2~3년간 금융 보안전문가 육성에 힘을 쏟아야한다는 것이다.
현재로선 기존 금융회사 내부 인력만으로는 고품질의 보안 전략을 기대하기 힘들고, 또 외부 전문가의 영입도 업무의 효율성측면에서 높은 점수를 주기는 어렵다는 데 큰 이견은 없어 보인다.
전문가들은 금융 CISO제도의 정책적 취지가 궁극적으로는 국내 금융권 수준을 기존보다 크게 강화시키는데 있는 만큼 금융회사들이 앞으로 보안조직을 강화하고 이를 시스템화하는 과정에 많은 노력이 필요하다고 조언하고 있다. CISO를 외부 영입하느냐 내부 육성시키느냐는 본질적인 문제는 아니라는 것이다.
한편으론 조급하게 움직일 것이 아니라 강화된 보안조직과 CISO 제도를 효과적으로 활용하기위한 컨설팅을 진행하는 것도 필요하다는 지적이다.
<박기록 기자>rock@ddaily.co.kr
[DD 주간브리핑] 모바일 신분증 시대 도래…오징어게임 시즌2 공개
2024-12-22 10:00:00[IT백과] 생성형AI의 진화 ‘AI 에이전트’, 기존 AI 비서와 뭐가 다를까?
2024-12-21 13:27:59[종합] AI 초격차 확보 공고히 한 오픈AI…12일간 여정 끝엔 ‘쩐의전쟁’ 남았다
2024-12-21 11:15:25오픈AI, o1보다 더 강력한 o3 예고…개발자·연구자 대상 사전 테스트 실시
2024-12-21 08:02:48