Interview

지난 해 8월의 법률 제정을 통해 애리조나에 주(州) 개인정보보안국이 신설되면서 데이빗 밴더날트(David VanderNaalt, 사진)는 주(州) 정보보안국 국장으로서 고향 피닉스로 돌아오게 되었다. 아메리칸 익스프레스 및 뉴욕시의 전임 CISO였던 밴터날트는 국장으로서 제일 먼저 주지사 재닛 나폴리타노(Janet Napolitano)와 함께 행정명령 2008-10을 시행했다. 이 명령은 주(州) 정부 부서들이 그들의 사이버 보안 작업을 공식적으로 처리하게 함으로써 시민들의 개인 정보에 대한 위협을 완화시킨다.

행정명령 2008-10이 만들어진 계기는?

이 행정명령은 모든 부서들이 보안 사건을 우리 부서로 보고하도록 지시하고 있다. 이 법이 제정되기 전까지는 선택 사항이었다. 부임 첫 달에 나는 세 건을 보고 받았다. 나는 내가 이곳에서 보낸 처음 30일 동안 보아온 것에 대한 개각에 착수하고 그들이 해야 할 일에 대해 힌트를 줄 필요가 있다고 생각해 내 상사인 주지사에게 의견을 전달했다. 그에 대한 답신으로 주지사는 내가 그들과 함께 작업하여 주지사가 서명하고 시행할 수 있는 행정 명령을 만드는 것이 좋겠다고 전해왔다.

주 정부의 사이버 보안을 수준 높게 끌어올린 외적 요인은?

요인 중의 하나는 애리조나 주(州)가 신원 도용 1위라는 점이다. 그것은 분명 정치인들의 주목을 끌었다. 주지사와 입법자들은 이와 관련된 일들을 그들의 유권자들에 대해 서비스로 생각한다. 우리는 정보를 분실해 신원 도용을 유발할 수 있는 정부 단체를 원치 않는다.

모든 다른 주들은 그들도 이런 일을 하고 있다고 말하겠지만 그러나 나는 이러한 부서를 만들고 그 부서에 권한을 주고 CISO와 CPO를 적재적소에 배치하는 법률을 가진 주가 있다는 소리는 거의 들어보지 못 했다. 애리조나는 내가 수년 동안 이야기해왔던 일을 하고 있으며 그것이 바로 비즈니스 레벨에서의 위험 완화 기능의 핵심이다.

기업의 보안부서들이 보안 육성을 위해 다양한 비즈니스 라인의 통로를 찾고 있는 것에 대한 생각은?

사생활 보호에 관한 전략적인 명령에 대한 책임이 나에게 있기 때문에 나는 모든 기관들과 좋은 관계를 유지해야만 하고 그들도 내가 하고 있는 일과 그것이 그들이 하는 일에 어떻게 적용되는지를 비즈니스로 이해해야만 한다.

행정 명령으로 각각의 부서들은 정보보호 담당자와 사생활 담당 기관 담당자를 두고 있다. 나는 보안 담당자들을 IT 중역, 사생활 담당자를 비즈니스 중역으로 여긴다. 따라서 어떤 기관이 이들 두 직책을 임명할 때 우리는 사생활 보호를 위한 과정과 연계된 환경으로의 훌륭한 통로를 갖게 될 것이며 비즈니스 환경이 올바른 수준으로 돌아갈 수 있게 할 것이다.

주지사의 지원을 받는다는 것은 분명 든든하게 느껴질 것이다. 기업에서는 흔히 있는 일은 아닐 텐데?

분명히 전혀 다른 방식이며 장담컨대 이 방식이 최고다. 우리는 수년 동안 우리가 훌륭하게 보안을 처리하는데 방해가 되는 두 가지 요소에 대해 들어왔다. 하나는 자원과 예산이고 다른 하나는 이사회의 관점이다. CEO와 이사회의 관점이 우리의 관점이 된다. 그 점에서 나는 주지사의 지원에 대해 매우 감사하게 생각한다. 그것이 내가 하고자 하는 일, 즉 기관들이 그들의 환경을 안전하게 함으로써 개개인의 정보를 보호할 수 있도록 돕는 일에 대해 많은 신뢰를 더해주기 때문이다.

<글: 마이클 마이모소(Michael S. Mimos)>

[김태형 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>