이전 칼럼에서 기업들의 상당수가 전문 IT 출신이 아닌 임원분들이 CISO에 임명되어 있음을 지적했다. 이에 대해 기업들은 보안전문가를 CISO로 영입하려고 하여도 적합한 인물이 없어 별수 없다고 토로하고 있다. 정말 그런 것인가? 다른 이유는 없는 것일까? 이와 관련하여 짚어보아야 할 두 가지의 쟁점이 있다.

첫째, 대부분의 기업(기관, 금융회사를 포함)들은 오랜 IT 및 보안업계에서의 경험과 함께 기업이 수행하는 사업에 대한 깊은 지식을 보유한 인력을 CISO의 선발기준으로 요구하고 있다. 이는 타당한 생각이긴 하지만 한편으로는 굉장히 만족하기 어려운 조건이다. CISO가 갖춰야 할 IT 및 보안에 대한 지식과 리더십, 의사소통 능력 등을 갖추는 것만으로도 최소한 10년 이상, 보통은 20년 이상의 기간이 소요될 것이다. 거기에 기업의 주요 사업에 대한 지식을 추가로 갖추려면 얼마의 시간이 더 필요한 것일까? 수많은 사업분야가 있는데 기업별로 자신의 사업에 대한 깊은 수준의 지식과 자격을 요구한다면 그런 자격을 갖춘 보안전문가가 있기는 한 것일까! 아마 있다고 해도 아주 소수일 것이며, 그런 사람을 구하기는 하늘의 별따기 일 것이다. 그렇다면 사업분야에 대한 깊은 지식까지는 아니어도 관련 산업에 대한 경험과 이해를 갖고 있는 뛰어난 보안전문가를 찾는 것이 현명한 선택일 것이다.

둘째, CISO는 기업의 보안을 책임지는 막중한 자리이다. 그러나 많은 기업에서 CISO를 채용 시 책임에 비해 적은 연봉과 보안 사고에 대한 전적인 책임을 요구하고 있다. 즉, 사고 발생 시 희생양이 되기를 요구하는 것이다. 누가 이런 조건에 CISO를 하고자 하겠는가? 그러니 보안전문가들이 기업의 CISO로 가기를 주저할 수밖에 없다. 이런 환경을 빗대어 CISO의 다른 이름을 OTP(One Time Prison)라고 표현한다. 사고 한 번으로 감옥에 갈 수도 있는 위태로운 자리이면서, 권한은 없고 적은 연봉을 받는 자리라는 조소가 담긴 의미이다.

기업들은 지금도 한소리로 얘기하고 있다. 자신들이 원하는 조건에 적합한 사람이 없어서 내부에서 임명할 수밖에 없었다고. 그래서 보안전문가를 임명하지 못한 것이라고 말이다. 그러나 실제 현장에서는 IT 및 정보보호 전문분야에서 적게는 10년 이상, 많게는 20년 이상을 근무한 전문가들이 활동하고 있다. 그들은 오랜 기간 동안 다양한 산업분야에 대해 수행한 경험까지 보유하고 있는 인재들이다. 그들은 적합한 인재가 아닌 것일까? 기업들에게 다시 한번 묻고 싶다. 정말 뽑을 사람이 없는 것인가 아니면 뽑고자 하는 의지가 없는 것인가를 말이다.