해킹으로 시작해 'CISO'로 마무리

[이부연기자] 올해 보안 업계를 요약하면 해킹으로 시작해 '최고정보보호책임자(CISO)' 도입으로 마무리됐다고 말할 수 있다. 개인 금융정보가 해킹으로 유출되면서 새로운 보안시스템을 마련하는 데도 분주한 한해를 보냈다. 결국 각 기업에 보안 담당 전문가를 의무적으로 두는 '글로벌 스탠다드'를 따르게 됐다.

◆ 사상 초유의 개인정보 유출사태

올해를 되돌아보면 지난 1월 금융권을 뒤흔든 사태가 일어났다. 주요 카드사가 보유한 개인정보가 사상 유례없는 규모로 유출된 것. 금융권 추산에 따르면 씨티은행, SC은행 등 16개 금융사 고객정보 127억건, KB국민카드·NH농협카드·롯데카드 3개사 고객정보 1억580만건이 줄줄이 새나갔다. 금융거래자들은 충격에 휩싸였고 개인정보보호와 관련된 우려가 사회적 혼란을 가중시켰다.

급기야 금융사 대표들이 공개 석상에서 단체로 고개를 숙이는 일이 벌어졌다. 국민과 농협, 롯데카드 최고경영자(CEO)는 모두 물러났다. 소관 정부부처인 금융위원회·안전행정부·방송통신위원회 등은 개인정보보호 정상화 TF를 가동하고 연이어 재발방지 대책을 내놓는 부산을 떨었다.

특히 금융권 사고가 협력 업체 직원이 금전적 목적을 노리고 행한 내부자 소행이었다는 것이 알려지면서, 보안 시스템 강화소동이 일었다.

◆결국 주민번호 수집 금지, 대안 마련 '고심'

막대한 금융사고가 불러온 것은 결국 주민등록번호 수집 금지라는 강수였다. 지난 8월부터 학교와 병원, 약국을 제외한 모든 공공기관과 민간 사업자가 주민등록번호 수집을 못하도록 하는 내용의 개인정보보호법 개정안이 시행됐다.

그동안 정부는 인터넷이 아닌 일상생활에서 사용하는 본인확인 수단으로 개인식별 정보가 포함되지 않는 13자리 무작위 번호 '마이핀' 사용을 적극 권장해왔다.

하지만 여전히 주요 기업뿐만 아니라 공공기관에서도 주민등록번호를 사용하는 곳이 적지 않다. 마이핀 사용률이 생각보다 저조하면서 '효율성'이 떨어진다는 인식 때문이다.

◆기업 CISO 지정 의무화, 보안력 높일지 '관심'

무엇보다 가장 큰 변화는 기업 내부에 보안 전문가, 최고정보보호책임자(CISO)를 의무적으로 두게 됐다는 것. 기존에 최고정보책임자(CIO)와 겸직도 금지되면서 그 역할을 명확히 했다. CISO 지정 신고제 시행으로 CISO를 의무적으로 지정해야 하는 기업은 2천500~3천곳에 이를 것을 추산된다.

지난 7월 한국스탠다드차타드(SC)은행이 CISO를 부행장급으로 승격시키면서 화제가 됐다. SC은행의 신임 CISO에 김홍선 전 안랩 대표가 선임된 것이다.

보안이 기업경영에 있어 부가적인 요소로 여겨지면서 대부분 금융회사들의 CISO 직급은 상무, 전무 정도 직급으로 두는 것이 관행이었다. 하지만 김 부행장의 선임으로 금융권의 보안에 대한 위기의식과 위상이 높아지는 시발점이 된 것으로 평가된다.