실시간 뉴스



[강은성의 CISO 스토리]CPO를 누가 맡는 게 좋을까?


2개월 뒤인 8월 7일부터 지난 해 8월 공포된 개인정보보호법이 시행된다. 또 지난 칼럼에서 소개한 개정 정보통신망법은 올해 11월 정도에는 시행될 것으로 보인다. 시간이 좀 있는 것 같았는데, 시간이 화살 같이 흘렀다. 두 법 다 개인정보 보호에 관한 기업의 책임을 강조하고, 법을 위반했을 때 제재를 크게 강화했다. 기업의 책임이 커졌다는 것은 곧 기업의 개인정보 보호(관리)책임자(CPO)와 정보보호최고책임자(CISO)의 책임이 막중해졌다는 말과 다르지 않다.

하지만 전담 개인정보 보호책임자(CPO)를 두는 회사는 거의 없다. 겸임을 하더라도 개인정보 보호업무를 주업으로 하는 CPO조차도 거의 없는 게 현실이다. 2013년 매출액 기준 30대 기업의 개인정보보호(관리)책임자의 소속을 조사해 봤더니 홍보부서 7, 경영스탭 5, 준법감시인 4, 마케팅부서 3, CIO(IT부서) 3, HR 2, 보안 2, 기타 1명씩으로 이뤄져 있었다.

겸임 조직의 성격을 살펴 보니 대외활동부서(홍보·대외협력), 개인정보 이용부서(마케팅·사업), 경영스탭(경영지원·총무·경영혁신·HR·고객지원), IT 부서(CIO), 정보보호부서, 준법감시인 등으로 분류할 수 있다. 준법감시인이 CPO를 맡고 있는 회사는 모두 금융회사였다. 금융회사 5곳 중 올해 임원CISO를 선임한 국민은행만 정보보호부에서 CPO를 맡았다.

기업에서 주요 직책자를 임명할 때에는 해당 직책의 업무와 그 사람의 역량, 경험을 종합적으로 고려한다. 개인정보보호법 제31조와 시행령 32조에는 CPO의 업무를 다음과 같이 규정하고 있다.

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리ㆍ감독

7. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행

8. 개인정보 보호 관련 자료의 관리

9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

10. 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 한다

이것들은 ▲규제 대응(7, 10) ▲정책의 수립과 시행, 점검 (1, 2, 3, 5, 8) ▲개인정보 보호조치(4, 6, 9)로 분류할 수 있다. 결국 개인정보호보법에 따르면 CPO는 “법과 규제를 반영한 개인정보 보호 정책을 수립하고 관련 부서와 협업하여 정책을 시행, 점검하며, 프로세스와 시스템의 구축 등 기술적ㆍ관리적ㆍ물리적 보호조치를 통해 개인정보를 보호하는 업무”를 수행한다.

조직에서는 담당 업무도 중요하지만 그것들을 수행할 수 있는 권한 역시 못지 않게 중요하다. ‘수행 권한’을 포함하여 겸임 직책과 CPO의 업무를 연결하면 다음 같은 표를 만들 수 있다.

회사에서 어떤 직책을 겸임시킬 때에는 직책 사이의 시너지를 고려한다. CPO도 마찬가지다. 그럴 경우에 개인정보를 이용하는 사업부서장들이 CPO를 맡는 것은 바람직하지 않다. 사업부서장은 매출이나 트래픽 등 기업의 목표 숫자를 갖고 있어서 자나깨나 목표 달성을 고민하는데다 업무의 속성 자체가 개인정보의 이용이라서, 개인정보 보호책임까지 맡기면 아무리 머리 속에 개인정보 보호업무를 생각한다 해도 실제 투여되는 시간은 업무 시간의 10퍼센트도 되기 힘들 것이기 때문이다.

최근 몇 은행들이 전담 CISO제를 실시하면서 정보보호업무와 개인정보 보호업무를 모아서 CISO에게 맡긴 사례가 있다. CPO의 업무 중 ‘개인정보 보호조치’를 수행해야 할 조직이 바로 CISO 조직이라는 측면에서 보면 적절한 방향으로 생각된다. CISO의 주요 과제 중 하나가 ‘중요한 자산의 보호’인데 지켜야 할 가장 중요한 자산이 개인정보인 회사에서는 심도있게 검토할 만한 대안이 될 것이다. CISO의 전문성이 강조되어야 할 대목이다.

혹시 ‘보안 기술’에 치우쳐 있어서 ‘정보보호 정책’에 약한 CISO들이 계시다면 업무 범위를 넓히시기 바란다. 중요한 자산을 보호하는 데 기술적 보안이 결정적이지만, 기술적 보안이 제대로 작동하기 위해서는 기술과 사람, 조직을 정책적으로 잘 관리해야 하기 때문이다. 또한 날로 강화되어 가는 정보보호 관련 법규에 대해서도 관심을 가지셔야 날로 위험해지는 CISO 자리를 덜 위험하게 유지하실 수 있다.

30대 기업의 CPO를 조사하다 보니 CPO를 맡은 분들 중 팀장 이하의 직원이 1/3 가량 되었다. “개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.” (개인정보보호법 제31조 3항) 회사 생활을 해 본 사람이라면 팀장이 할 수 있는 일이 아니라는 걸 금방 알 수 있다. 전문성을 떠나서 CPO는 반드시 임원으로 임명되어야 한다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.







alert

댓글 쓰기 제목 [강은성의 CISO 스토리]CPO를 누가 맡는 게 좋을까?

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스