“CSO, 기업체 모든 위기로부터 회사 자산 지키는 임원급 보안관”

[보안뉴스= 백봉원 ASIS International Korea Seoul 사무총장] Wikipedia 백과사전에 의하면 “CSO(최고보안책임자, Chief Security Officer)는 Security에 대한 기업의 최고책임자를 말한다. CSO는 개발, 구현, 조직의 회사 보안 비전에 대한 관리, 전략과 프로그램에 대해 책임지는 비즈니스 리더로서의 역할을 수행한다. Risk를 예방하여 위험을 경감시키고 사고에 대응하며, 재무적, 물리적, 인적 위험에 대한 모든 분야에서 유출될 수 있는 경향을 감소하기 위해 조직에 걸쳐 보안 프로세스를 식별·개발하고, 구현하고 유지하는 일에 대한 직접 명령권자이다. 그들은 지적인 자산에 관련된 적합한 표준과 위험 통제들을 수립한다. 그리고 자료 보안과 관련된 정책과 절차의 수립과 구현을 명령한다”라고 정의하고 있다.

CSO를 한마디로 표현하면 기업체의 모든 위기로부터 회사의 자산을 지키는 임원급 경찰관, 보안관이다. 기업체 임원들의 신변 경호나 건물·시설에 대한 보안 확보는 물론이고 위기관리, 컴퓨터 및 정보의 디지털 보안 업무와 조사, 수사업무까지 책임질 수 있는 자리이며, 그 모든 업무를 수행하기 위해 다양한 분야에서의 경험을 요구되고 있으며 분석력과 통찰력에 리더십을 갖추어야 한다.  

조사기관인 ‘크리스찬 & 팀버스’가 몇해 전 390개 기업체를 대상으로 설문 조사한 결과 95%가 CSO를 필요로 한다고 응답했다고 뉴욕타임스(NYT)가 보도한 바 있다. 이렇듯 기업체마다 헤드헌터를 통한 인력 스카우트를 추진하고 있으나, 문제는 헤드헌터 회사들조차 기업체가 바라는 이상형의 CSO를 구하기가 쉽지 않다는 것이다. 기업체 수요에 비해 사람이 턱없이 부족한 새로운 업종이다 보니 CSO 임원의 연봉이 연 40만 달러(한화 5억원 상당)를 호가한다고 NYT는 전했다.

사실 CSO는 9·11 테러 이후 전면에 부상했기 때문에 자원(資源) 인력이 많지 않은 것이다. 전 세계에 4만 5000명의 회원을 거느린 미국산업보안협회(ASIS)도 CSO 직위에 적합한 자격요건과 취급 업무를 지속적으로 연구하고 있는 중이다.

국내에 진출하고 있는 외국계 기업들도 이러한 CSO 또는 Security Manager들을 찾고 있으나 쉽지 않아 영어를 하는 인원을 뽑아 내부에서 자체 교육시키는 형태로 운영하고 있는 실정이다.

우리나라 국내 기업의 경우에는 대다수가 Security Concept(개념)의 이해 부족으로 CSO를 한 임원/부장급이 겸직하는 실정이며 그나마도 정보보안과 인력경비, 기계경비 정도의 협의의 개념의 Security 관리 업무 정도를 수행하는 곳이 대부분이다.

CSO를 여러 업무의 하나 정도로 치부하고 있으며 외국기업의 CSO 업무에 10%에 불과할 정도의 제한된 업무 권한을 가지고 있어 명목상 CSO 제도를 운영한다고 봐도 무방한 상황이다.

정부에서 추진되고 있는 보안책임자 관련 정책도 마찬가지다. 금융감독원은 기업에 앞서 자산유출 방지를 위한 보안대책을 내놓은 핵심기술 보유기관의 보안 강화를 위해 CISO를 지정하기로 하고 방통위도 통신 분야 대기업을 중심으로 CISO(Chief Information Security Officer)를 의무적으로 선임토록 추진하는 계획을 추진하고 있는 것은 일단 환영할 만한 일이다.

그러나 이 역시 정보보안 측면의 접근이라는 점에서 CSO라는 큰 틀의 차원이 아닌 ‘한계를 가진 Security 접근’이라는 생각이다.

또한, 안전행정부 유정복 장관은 지난해 재난과 안전사고 발생 가능성이 높은 산업단지 등에 안전책임관(CSO: Chief Security Officer) 제도를 시행할 것이라고 밝혔다. 재난과 사고를 통합관리할 수 있도록 각 시·도에 CSO를 임명해 책임성을 분명히 하고 재난 업무를 전체적으로 살펴볼 수 있도록 하며, 지자체, 환경부 등 유관기관과 연계해 상황 발생 땐 신속히 초동대응에 나설 수 있도록 한다는 것이다.

또한 유 장관은 “안행부에도 CSO관리관을 두겠다”고 언급하기도 했다. 이는 ‘재난 및 안전관리 기본법’ 일부를 ‘중앙행정기관 및 지자체에 안전책임관(CSO)을 두어 책임성을 강화하고 재난업무를 담당하는 공무원, 정부투자기관 등 종사자 전문교육이수를 의무화함으로써 전문성을 강화하는 방안이라고 할 수 있다. 이에 재난안전 총괄·조정 기능을 강화하도록 법 개정이 진행돼 지난해 6월 27일 국회를 통과한  이후 6개월간의 유예기간을 거쳐 올 1월부터 본격 시행되고 있다.

이는 향후 Security의 발전이라는 측면에 매우 긍정적인 방향임에 틀림없다. 그러나 다른 한편으로는 CSO 개념을 완전히 이해한 상황에서 제도화하는 것인지에 대한 의문은 가지고 있다.

위 진행사항을 보듯이 세계 변화에 발맞춰 ‘Security’ 분야의 발전을 위한 여러 노력들이 추진되고 있으나, ‘Security’라는 것에 대한 개념이 확실히 정립되어 있지 않다 보니 서로 다른 부처에서 해당 분야 역할을 위한 업무의 ‘원 오브 뎀(one of them)’ 처리 방식으로 각각 별도로 움직이고 있는 상황이다.

우리나라도 Security의 개념을 각 조직, 기업들이 각종 도난, 화재 등의 사건뿐 아니라, 지진, 방사능유출, 수해 등 각종 리스크와 관련해 사전, 사후에 어떤 조치가 필요한 것인지에 대해 대처할 수 있는 종합적인 관리가 필요하다. 각 조직과 단체, 기업들은 이러한 업무를 수행할 수 있는 보안조직을 두어 사내부정행위, 비리 등의 조사활동, 위조품 유통, 산업기밀 유출사고와 관련해서도 하나의 부처, 조직에서 활동할 수 있도록 해야 한다.

아울러 이런 포괄적인 Total Security 개념을 도입함으로써 Security 의식을 높여 사회 전반적인 리스크를 감소시킬 수 있다. 또한, 인력경비, 기계경비 분야를 비롯해 위기관리, Risk 예방, Investigation 등 다양한 분야에서 비즈니스 측면에서의 연구개발을 통해 Security 업계에 한 단계 질적 업그레이드도 꾀할 수 있다. 이렇듯 다양한 사업구조의 틀을 갖추어 매출 증대를 추구할 수 있게 하고 나아가 Security 분야를 공부하고 있는 관련학과 학생들에게도 다양하고 부가가치 있는 취업의 길을 제시할 수 있게 되는 것이다.  

이것이 창조가치, 창조경영, 4대악으로부터의 안전 추구, 일자리 창출이라는 정부 정책에도 부응할 수 있는 길이라는 점을 강조하고 싶다.
[글_ 백 봉 원 ASIS International Korea Seoul 사무총장
(메일 : jhpaik100@daum.net/ 카페 : http://cafe.naver.com/securitycso)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>