CISO와 DPO의 역할, 어떻게 나누고 정해야 하나

GDPR에 따라 DPO 고용했더니, CISO와 충돌하는 사태 벌어져
교통 정리 필요한 때, 고려할 것은 프라이버시와 보안 함께 가는 미래

[보안뉴스 문가용 기자] 머신러닝과 빅데이터 분석 기술이 발전함에 따라 데이터의 중요성은 그 어느 때보다 커지고 있다. 그래서 기업들은 데이터 수집과 활용에 혈안이 되어 있다. 그렇기 때문에 GDPR과 같은 강력한 규제가 등장해 데이터의 남용을 막고 있기도 하다.

[이미지 = iclickart]

GDPR의 규정 중에는 데이터 보호 책임자(DPO)라는 자리를 만들고 적임자를 세우도록 하는 항목이 있다. 최근 보안 업계에서는 이 DPO 고용이 화두가 되고 있고, 가뜩이나 인재 찾기가 어려운 산업인지라 대단한 어려움으로 자리를 잡아가고 있다(물론 모든 기업들이 DPO를 고용해야 하는 건 아니다).

그런데 이 DPO들이 일반적인 보안 조직에서 어느 위치에 있어야 하는지가 애매한 문제로서 다시 떠오르고 있다. CISO보다 위에 있어야 할까, 아니면 아래에 있어야 할까? 아니면 보안과는 별개의 독립적인 조직의 수장이 되어야 할까?

현재까지 기업들은 대부분 최고 경영진을 직속 상사로 모시는 위치에 DPO를 두고 있다. GDPR을 비롯한 각종 프라이버시 보호 규정 및 법안과 관련된 사안들을 조사하고 파악해 CISO를 거치지 않고 곧바로 경영진들에 보고하는 책임을 갖고 있는 것이다. 이것이 DPO의 이상적인 역할인 것은 아니다. 다만 현재 DPO라는 직무가 이런 식으로 활용되고 있다는 것이다.

그렇기 때문에 기업들은 GDPR과 각종 프라이버시 이슈 및 규정들을 잘 아는 사람들을 DPO로 채용하고 있다. 그리고 이 방향이 아직까지는 틀리지 않는 것으로 보인다. 그러나 모든 일들이 순조롭게 만은 흘러가지 않는 듯하다. 특히 다음과 같은 부분에서 어려움들이 속출하고 있다.

1) 조직의 보안은 CISO가 책임을 진다. CISO는 조직 전체를 보호하기 위해 규정과 정책에 대한 감독권도 가지고 있다. 프라이버시 문제는 DPO가 전담한다. 그런데 프라이버시 문제는 여태까지 법 전문가들이 담당했던 것이었다. 즉, 새로 들어온 DPO도 법 전문가들과 함께 일을 해야 한다는 것인데, 법 전문가들 대부분 신기술에는 문외한이다. DPO가 기업 내에서 사용되는 여러 가지 기술적인 내용을 파악하기가 힘이 들고, 그래서 규정을 적용하고 검토하는 부분에 있어서 ‘뜬구름’을 잡게 된다.

2) 법 분야는 예전부터 ‘변화’가 강점인 곳은 아니었다. 오히려 매우 보수적인 편에 속한다. 프라이버시 문제는 항상 이러한 법 전문가들이 전문으로 하는 분야였다. 사업을 진행함에 있어서 그리 크게 고려되는 요소도 아니었다. 그러나 프라이버시의 보호를 중요시 하는 GDPR과 같은 새 규정들이 등장함에 따라 기업의 관심이 프라이버시에 쏠리게 되었다. 따라서 DPO의 역할과 책임도 커지게 되었다. 그래서 DPO가 구매 권한을 갖게 되는 경우도 생겼는데, 이 때 CISO와 충돌이 일어나기도 한다.

이런 충돌은 뭘 뜻하는 것일까? 프라이버시 문제가 ‘특정 분야에서만 다루는 고립된 영역’이 아니라는 것이다. 이제 전 세계적으로 프라이버시를 관리해야 하는 때다. 법 전문가들만의 것도 아니고, 보안에서만 관리해야 하는 것도 아니다. 그렇다는 건 프라이버시 문제를 다른 영역으로도 연결시켜줘야 한다는 것이다. 누군가 다리가 돼주어야 한다. 법률적이고 기술적인 측면 모두에서 프라이버시를 논할 수 있는 사람이 필요하다.

그래서 등장하기 시작한 게 프라이버시 옵스(Privacy Ops)다. 개발의 모든 과정에 보안을 접목시키는 데브섹옵스(DevSecOps)와 마찬가지로, 프라이버시 전문가들이 서비스 및 소프트웨어 개발 과정에 참여하는 것을 말한다. 그러려면 데이터의 생애주기를 이해하고, 그러한 데이터가 단계별로 어떤 보호 조치를 받아야 하는지도 알고 있어야 한다. 데이터가 유통되고 처리되는 파이프라인도 꿰고 있어야 한다.

또한, 프라이버시 옵스라는 개념 안에서 보안 팀과 프라이버시 팀이 합쳐지는 건 불가피한 일이 될 것이다. DPO들은 보안 전문가 팀의 경험과 지식을 활용해 프라이버시 보호를 위한 장치를 마련해야 한다. 그런 장치의 유지보수 및 관리 역시 프라이버시 팀과 보안 팀이 함께해야 하는 일이다. 반대로 보안 팀은 프라이버시 팀이 규정 문제를 담당해주는 것을 활용해 보안 관련 정책을 강화하고 도입시킬 수 있다. 그러면서 기업의 리스크 문제에 더 집중할 수 있게 되는 것이다.

그렇다면 문제는 다시 처음으로 돌아간다. DPO와 CISO는 어떤 관계에 있어야 할까? 지금 당장은 기업마다 상이하게 운영하고 있을 텐데, 프라이버시 문제와 보안 문제가 함께 다뤄져야 할 미래를 생각하고 결정해야 할 것이다. 아무튼 둘 다 놓칠 수 없는 토끼임은 분명하다.

글 : 아밋 아슈벨(Amit Ashbel), Cognigo
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)