[데스크라인] 한국 기업엔 CSO 철학이 없다

[데스크라인] 한국 기업엔 CSO 철학이 없다

 지난 2001년 미국 9·11일 테러 이후 우리나라 기업은 최고보안책임자(CSO) 직제를 앞다퉈 도입했다. 이전까지만 해도 CSO는 우리 기업 사회에 그다지 눈에 띄지 않던 자리였다. 최고경영책임자(CEO)·최고재무책임자(CFO) 등에 겨우 익숙해졌을 뿐이다.

 하지만 9·11 테러로 미국을 중심으로 전 세계에서 CSO 중요성이 부각되자 선진 기업인 양 스폰지처럼 흡수했다. CSO제도를 도입하지 않으면 선진 그룹 범주에서 탈락할지도 모른다는 강박감이 더 컸을지도 모른다. 사정이 이렇다 보니 CSO 운영도 형식적이다. ‘한국 기업에는 CSO 철학이 없다’고 단언해도 과언이 아니다.

 CSO란 기술·인력 등 기업의 핵심 자산이 유출되는 등 외부 위협에 적극 대처, 기업의 생명을 책임지는 핵심 자리다. 그런데 대다수 국내 기업은 CSO를 한 임원이 겸직하거나 부장급이 맡는 실정이다. CSO 제도를 글로벌 기업처럼 운영하지만 속내는 여러 업무의 ‘원 오브 뎀(one of them)으로 치부할 뿐이다.

 최선태 한국기업보안연구소 박사는 “국내 CSO는 업무 비중이 외국 CSO 업무에 5%에 불과할 정도로 업무 권한이 제한적이며 내로라하는 대기업도 부장급이 CSO를 맡는 등 상당수 대기업은 명목상으로 CSO 제도를 운용한다”고 말했다.

 해커든 내부 직원이든 국내 기업의 핵심 기술과 같은 자산 유출이 증가하고 있다. 국회 지식경제위원회 배은희 의원이 지식경제부로부터 받은 자료에 의하면 최근 5년간 우리나라의 산업 기술 유출 건수는 해마다 늘어나 지난해 42건에 달했다. 지난해 기술 유출 피해액만 79조원에 달했다. 새해 국가 전체 예산 220조원의 3분의 1에 달하는 규모다.

 기업뿐만 아니라 정부 시각도 별반 다르지 않다. 청와대 사이트가 마비되는 등 ‘7·7 분산서비스거부(DDoS) 공격’이라는 최악의 인터넷 대란을 불러왔다. 현대경제연구원은 당시 DDoS 사태에 따른 경제적 피해액이 최고 544억원에 이른다는 분석을 내놨다. 세계에서 가장 사이버 피해가 큰 나라로 기록된 셈이다.

 정부가 뒤늦게 기업에 앞서 자산 유출 방지를 위한 보안 대책을 내놓았다. 핵심기술 보유 기관의 보안 강화를 위해 CSO를 지정하기로 했다. 방통위도 통신 등 대기업을 중심으로 CISO(Chief Information Security Officer)를 의무적으로 선임토록 할 계획이다. 반가운 일이다.

 하지만 기업를 대상으로 정부의 CSO제도 의무화 시행은 녹록지 않을 전망이다. 금융감독원이 금융기관의 ‘DDoS 대응 조치 가이드 라인’에서 CSO 선임을 의무 사항이 아닌 권고 사항으로 바꾼 데에는 이유가 있다. 감독기관인 금감원조차도 금융기관의 경영권을 침해할 수 없기 때문이다.

 보안은 ‘디펜스(defense)’가 아니라 ‘오펜스(offense)’다. CSO는 기업에 잠재한 대내외 위험요소를 사전에 파악하고 CEO에게 적극적인 투자를 제안해야 하는 자리다. 이에 걸맞게 새해에는 국내 기업들이 타의에 의해서가 아니라 스스로 CSO 철학을 다시 한번 정립했으면 하는 바람이다.

  안수민기자 smahn@etnews.co.kr