2020년. 한 살 더 먹었음에 혹자는 기쁘고 혹자는 슬퍼하고 있다. 기업들은 지난 한해을 검토하고 새로운 일년의 목표를 위해 나아가는 시기다.

그러나 정보보안에 있어서는 그 어느 때보다 골치 아픈 화두로 시끄럽게 시작되고 있다. 바로 CISO 겸직금지로 인한 CPO 분리의 건 때문이다.

2018년 5월 28일 국회 본회를 통과해 1년동안의 유예기간과 추가 6개월의 유예기간을 거쳐 2020년 1월 1일 본격 적용된 정보통신망법 제45조의3 ③항에 의해 CISO는 다른 업무를 겸직하는 것이 법으로 금지됐다.

따라서 기존 정보보안업무에 해당하는 CISO와 CPO를 한 사람이 겸임하던 대부분의 기업들 가운데 겸직금지에 적용되는 대기업들의 경우 CPO를 분리 지정해야 하는 상황이다.

CISO는 정보보호최고책임자를 CPO는 개인정보보호책임자를 지칭하는 용어다. 각각 정보보안과 개인정보보안 영역에 대한 최고책임자를 의미한다.

용어로만 보면 각 분야별로 지정하는데 무슨 골치가 아플까 싶지만 속을 들여다보면 현실은 쉽지 않다. 기업에 있어 정보보안과 개인정보보안의 영역이 칼로 무 베듯이 명확히 나누어 분리되지 않기 때문이다.

더구나 임원급의 보안전문가를 두명이나 지정해야 하기에 부담도 존재한다. 실제로는 하나의 몸과 같은 CISO와 CPO가 분리된 것은 정보통신망법과 개인정보보호법이라는 서로 다른 두 법률에서 각기 다른 보안책임자 지정을 명문화한 것이 원인이다.

해외의 경우 CISO와 CPO를 따로 지정하도록 법에서 강제화한 경우를 찾아보기 힘들다. CISO가 지정된 경우 개인정보보호도 함께 관리하도록 책임을 부여하는 것을 당연하게 생각한다. CPO를 지정하는 경우도 있지만 굳이 정보보안과 개인정보보안의 영역을 분리하지는 않는다.

당장 법에 의해 울며 겨자 먹기 식으로 CPO를 분리 지정하는 기업들이 생겨나고 있어 그 후유증이 걱정된다. 보여 주기식 CPO 지정과 그에 따른 업무 분장의 문제가 그것이다.

개인정보보안을 책임져야 하지만 보안의 경험과 지식이 부족한 CPO가 지정된 기업은 전문 CISO에게 그 실행의 대부분을 떠넘기거나 위임할 수 밖에 없다. 그러면서도 CPO로서의 대외적인 책임은 가져가야만 하는 불합리한 상황이다. 현실을 반영하지 못한 법으로 인해 현장에서는 법을 지키기 위한 파행 운영이 벌어지는 것이다.

수백만명 이상의 고객정보를 다루고 다양한 고객대상 행사와 이벤트가 수시로 개최되는 기업이라면 CISO와 CPO의 분리를 통한 개인정보보안 강화가 필요할 수 있다. 그러나 그런 기업은 일부에 해당한다.

실제로 CISO 겸직금지 조항도 개인정보 유출사고로 인해 보안에 전념하라는 의미로 강화됐지만 정작 개인정보에 대한 보안은 CPO에게 넘기라고 하는 모순된 상황이 연출되고 있다.

더구나 대부분의 보안업무는 CISO가 수행해야만 하는 기업이라면 고개를 갸우뚱할 수 밖에 없다. 대체 왜 정보보안의 영역을 굳이 CISO와 CPO로 분리해야만 하는가.