통신 3사의 정보보안 거버넌스 체계와 최고정보보호책임자(CISO) 조직 운영 현황을 분석합니다.

KT가 정보보안을 담당하는 정보보안단을 실급으로 격상하며 보안 거버넌스 체계를 한층 강화했다. 2021년부터 정보보안실을 담당해온 황태선 최고정보보호책임자(CISO)도 상무로 승진하며 조직에 무게감을 더했다. 황 실장은 최고개인정보보호책임자(CPO)를 겸직하며 최고경영자(CEO) 직속으로 재편된 정보보안실을 통해 보안 리더십을 발휘하고 있다. 조직 격상과 함께 사내 최고 의사결정 과정에 보안 관점을 직접 개입시킬 수 있는 권한을 확보한 게 핵심이다.

포항공대 출신 보안 전문가

황 실장은 포항공과대학교 정보통신학과 석사 출신의 보안 기술 전문가다. 2004년 KT에 입사한 황 실장은 정보보안단에서 보안진단담당과 보안기술담당을 거쳐 지난해 5월 정보보안실장으로 임명됐다.

황 실장은 CISO와 CPO를 겸직하며 KT의 정보보호 업무를 총괄한다. 정보보호 조직 운영과 계획 수립은 물론 위험 관리·감사·교육 등 정보보안 전 영역을 아우르는 역할을 담당한다. 특히 CEO 직속 체제로 격상되면서 김영섭 대표이사에게 정보보호의 중요성에 대해 더욱 강조할 수 있게 됐다.

KT의 정보보안 거버넌스 강화는 2014년 뼈아픈 경험에서 출발했다. 당시 해커 공격으로 약 1000만건 규모의 개인정보가 유출되는 대형 사고를 겪으면서 보안 체계 전반을 재점검하게 됐다. KT는 같은 해 정보보안단을 신설하고 기존 최고정보관리책임자(CIO)와 CISO를 분리해 전무급 임원이 담당하도록 했다.

첫 정보보안단장은 SK인포섹 대표이사를 지낸 보안 전문가 신수정 전 부사장이 맡았다. KT는 경쟁사들보다 빠르게 CISO 전담 체계를 구축한 셈이다. 이후 문영일 전 상무를 거쳐 최근까지는 미등기임원이 담당해왔다.

정보보안실, '의사결정 중심축' 자리매김

KT 정보보호 조직도 /자료 제공=KT

KT의 정보보안실은 기존에는 최고기술책임자(CTO) 조직인 기술혁신부문 소속이었지만 이제는 CEO가 직접 관할하는 조직으로 위상이 바뀌었다.

조직 개편과 함께 사내 정보보호 안건의 의사결정을 담당하는 정보보안전략위원회(ISSC)도 신설됐다. CISO가 참여해 조직 전반의 보안 거버넌스를 강화하는 구조다. 정보보안실 아래에는 정보보호담당과 보안기술혁신담당으로 체계화해 보안 정책 수립·이행 점검과 새로운 위협 식별·대응 체계 마련을 분담한다.

조직 강화와 함께 대규모 투자도 뒷받침된다. KT는 이달 15일 향후 5년간 1조원을 정보보호 분야에 투자하겠다고 발표했다. 모니터링 체계 강화에 약 3400억원, 전담 인력 확충에 500억원, 해외 보안업체와의 협력에 200억원 등을 투입할 계획이다.

이는 KT가 통상 정보보호에 투자해온 금액의 약 2배 수준이다. 2016년 910억원에서 시작해 지난해 1250억원까지 늘어난 연간 투자액을 연평균 2000억원 수준으로 대폭 확대하는 셈이다. KT는 이를 통해 업계 최고 수준의 보안 역량을 확보할 계획이다.

업계 관계자는 "통상 CISO의 위상이 낮을 때는 정보기술(IT) 전략에 종속될 수밖에 없었지만 CEO 직속으로 독립하면서 보안 관점에서 전사 전략을 좌우할 수 있는 위치에 올라섰다"며 "1조원 투자 계획의 실행력도 이런 거버넌스 변화가 뒷받침돼야 가능한 일"이라고 분석했다.

이진솔 기자