고객정보·기밀 지켜라 … CISO 도입 열풍

해킹·유출 사고 늘어나자
최고책임자 지정 잇따라
의무대상 대기업뿐 아니라
중견·중기·스타트업도 도입
시행 10년 만에 3만곳 눈앞

서울 강남구 테헤란로에 위치한 교육 스타트업 A사는 2022년 해킹으로 고객 이름과 휴대전화 번호 같은 개인정보 유출 사고를 겪은 뒤 최고정보보호책임자(CISO·Chief Information Security officer)를 지정했다. A사 대표는 "직원이 10여 명에 불과한 스타트업이다 보니 보안까지는 신경을 못 썼는데 해킹 사고를 겪으며 고객 정보보호를 위해 책임자를 두기로 결정했다"고 말했다.

지난해 충북에 위치한 방산 중소기업 B사는 중국으로 추정되는 곳에서 해킹 공격을 당해 1TB가 넘는 데이터가 암호화되고, 고객 개인정보가 삭제되는 피해를 봤다. B사 관계자는 "보안이 생명인 방산업체로서 보안체계 고도화와 대응을 담당할 직책의 필요성을 뼈저리게 느꼈다"고 털어놨다.

온라인상에서 개인정보와 영업기밀 침해가 해마다 심각해지는 가운데 CISO를 지정해 본격 대응에 나서는 기업이 크게 늘고 있다.

14일 과학기술정보통신부와 업계에 따르면 국내 기업 중 CISO를 도입했다고 신고한 업체는 올해 7월까지 2만9525개에 달한다. CISO 지정 의무가 있는 삼성전자, 현대차, 한화 같은 대기업뿐만 아니라 중견·중소기업과 스타트업도 적극 도입하는 추세다. CISO는 기존 최고보안책임자(CSO)나 최고개인정보보호책임자(CPO)와 비슷해 보이지만, 보안 예산 편성과 보안 거버넌스 구축 등 더 포괄적이고 강력한 권한을 갖고 있다. 2020년 1월부터 일정 규모 이상 기업과 기관은 CISO를 의무 지정하고, 과기정통부에 신고해야 한다. 미지정 시 과태료가 적용되며 지정신고 의무를 3회 위반하면 과태료 3000만원이 부과된다.

2015년 창업한 핀테크 스타트업 핀다는 지난 4월 CISO를 지정하고 과기정통부에 신고했다. 박홍민 핀다 공동대표는 "고객 개인정보를 다루는 마이데이터 사업을 준비하면서 필요하다고 판단했다"고 말했다.

LG전자에서 플랫폼 개발자로 15년간 일했던 서희 핀다 CISO는 회사의 보안 전반을 총괄한다. 서 CISO는 "기술 인프라 보안, 데이터 보호, 금융사 수탁 데이터 관리, 규제 준수 등을 통해 전사적 보안체계를 구축하고 유지한다"며 "신용평가 모델인 '핀다스코어'와 인공지능(AI) 기반 이상거래 탐지 시스템 'AI-FDS' 운영 과정에서 데이터 접근 통제와 데이터 사용 기록 관리 같은 역할도 수행한다"고 설명했다. 그는 "생성형 AI 확산으로 데이터 활용 범위가 상상을 뛰어넘는 속도로 빠르게 확장되고 있기 때문에 새로운 기술에 맞춰 정보보안 정책을 빠르고 유연하게 적용할 수 있는 높은 역량의 CISO가 더 많이 필요해질 것"이라고 덧붙였다.

생활가전 중견기업 쿠첸은 2020년 CISO 도입을 신고했다. 쿠첸 관계자는 "임원급으로 CISO를 지정해 정보보호 관리체계 수립과 운영, 정보보호 취약점 분석과 개선, 정보 침해 사고 예방과 대응을 비롯한 업무를 수행하고 있다"고 설명했다.

서울반도체 역시 CISO를 도입했다. 전산장비 보안 취약점을 식별해 백신 소프트웨어, 방화벽, 관제 서비스를 비롯한 솔루션 도입을 검토·승인하는 일을 한다. 서울반도체 관계자는 "CISO가 실질적 권한을 갖고 회사 전체 조직이 유기적으로 대응해야 회사의 정보자산을 지킬 수 있다"고 강조했다.

[이호준 기자]