CISO·CPO 분절된 권한 잇다... 카카오엔터테인먼트가 제시한 ‘통합 거버넌스’
이정민 CISO “조직 통합 아닌 관점의 연결이 진정한 시너지 창출의 핵심” [보안뉴스 조재호 기자] 기업 내 정보보호최고책임자(CISO)와 개인정보책임자(CPO)로 양분된 보안 조직 의사결정 구조를 하나로 묶어 경영 리스크를 선제적으로 통제하는 새로운 거버넌스 모델이 제시됐다. 정보통신망법과 개인정보보호법이라는 각자 규제 영역에 갇혀 있던 권한을 연결해 클라우드와 AI 시대의 복합적 보안 위협에 대응하려는 전략적 쇄신이다. 이정민 카카오엔터테인먼트 CISO는 “앞으로는 CISO와 CPO를 각각 책임자로만 지정하는 수준을 넘어 두 역할이 함께 연결되고 작동할 수 있는 통합 거버넌스 구조가 필요하다”며 “조직이나 직책을 합쳐야 한다는 게 아니라 의사결정 구조를 연결하자는 것”이라고 통합 거버넌스 도입 배경을 설명했다. 분리된 권한이 낳은 사각지대, 사고 기반 의사결정 한계 현재 대다수 기업에서 CISO는 기술적 보안과 정보자산 관리에 집중하고 CPO는 컴플라이언스 준수와 정보주체 권리 보장에 주력하고 있다. 문제는 실제 침해 사고가 발생할 때 위협은 두 영역 경계에서 나타난다는 점이다. 외부 침입 여부 탐지와 개인정보 유출 여부 판단이 동시에 이뤄져야 하지만 분리된 체계에서는 책임 소재가 불분명해진다. 이 CISO는 “최근 정보보안과 개인정보 리스크는 더 이상 각각의 영역에서 독립적으로 발생하지 않는다”며 “사고가 나야 움직이는 분절된 조직 체계는 반복적인 책임 전가와 졸속 대응을 피하기 어렵다”고 진단했다. 8대 공통 접점 식별... R&R 재설계 3원칙 이러한 사각지대를 해소하기 위해 역할과 책임(R&R) 재설계가 필수적이다. 카카오엔터테인먼트는 △단독 책임 영역 명확화 △현업 및 경영진 구조 편입 △의사결정 기록 보존이라는 3대 원칙을 수립했다. 사고 발생 시 CISO와 CPO를 무조건적인 공동 책임으로 묶는 것을 배제하고 각자 고유 영역을 존중하되 반드시 협력해야 할 교집합을 찾아내는 데 집중했다. 이를 바탕으로 개인정보 유출 대응과 접근 권한 관리, 신규 서비스 기획, 인공지능 및 데이터 활용 등 두 역할이 반드시 함께 판단해야 하는 ‘8대 공통 접점’을 식별해 냈다. 이 CISO는 “두 책임자를 단순히 공동 책임으로 묶으면 오히려 책임감이 흐려질 수 있다”며 “각자 고유 영역을 명확히 하되 클라우드 도입이나 데이터 활용 등 교차점에서는 공동 리스크 심의를 거치도록 업무 파이프라인을 연결하는 것이 핵심”이라고 짚었다. 통합 거버넌스를 경영 리스크관리로 격상하는 4단계 성숙도 모델 통합 거버넌스가 안착하면 보안 조직은 사고 수습 부서에서 사전 의사결정 참여자로 지위가 격상된다. 신규 서비스 출시 전 공동 리스크를 판단하고 이를 경영진에 상정해 잔여 리스크 수용 여부를 결정하게 만든다. 누가 어떤 관점에서 리스크를 인지했고 최종적으로 누가 승인했는지 기록으로 남겨 경영진의 투명한 판단을 강제하는 구조다. 조직 보안 성숙도 역시 단순한 법적 의무 준수(Lv1) 단계에서 출발해 공동 검토(Lv2)와 통합 의사결정(Lv3)을 거쳐 최종적으로 경영 리스크 파트너(Lv4) 단계로 진화하게 된다. 보안 통제가 기업 비즈니스 생태계의 가드레일로 작동하는 셈이다. 이 CISO는 “시너지는 직책의 물리적 통합이 아니라 관점의 논리적 연결에서 시작된다”며 “보안과 개인정보 리스크를 하나의 의사결정 구조 안에서 판단하고 기록할 때 진정한 통합 거버넌스가 실현될 수 있다”고 말했다. [조재호 기자(zephyr@boannews.com)]