• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안전문가들이 말하는 CSO 필수요건 4가지 2013.12.20

aSSIST포럼, ‘CSO 교육의 모든 것’ 주제로  CSO 필수요건 제시

경영자의 자질·현업의 이해·의사소통능력·자기개발 등 필요  


[보안뉴스 김경애] “기업에서 CSO가 되려면 어떻게 해야 합니까?” 보안업무에 관심 있는 사람이라면 CSO라는 목표를 두고, CSO가 되기 위한 자질과 요건을 갖추기 위해 어떤 공부와 노력해야 하는지 관심이 많을 것이다. 
 

 ▲ 지난 18일 서울과학종합대학원(aSSIST)에서 ‘CSO 교육의 모든 것’이란 주제로 aSSIST 산업보안대학원 정진홍 원장을 비롯해 aSSIST 조병철 교수, 한국CISSP협회 강용남 회장 등 각 분야 보안전문가들이 멘토로 한 자리에 모여 CSO가 되기 위한 자질과 요건에 대해 설명하고 있다. 

그렇다면 과연 CSO가 되기 위해서는 어떤 능력과 자질을 갖추고 있어야 할까? 이와 관련 aSSIST 포럼에서는 지난 18일 ‘CSO 교육의 모든 것’이란 주제로 aSSIST 산업보안대학원 정진홍 원장을 비롯해 aSSIST 조병철 교수, 한국CISSP협회 강용남 회장 등 각 분야 보안전문가들을 멘토로 초빙해 특별한 시간을 마련해 눈길을 모았다.


그 중 CSO가 되기 위한 조건과 자질에 대한 질문이 가장 많이 쏟아졌다. 이에 각 분야 보안전문가들은 CSO 필수 요건으로 △경영자의 자질 △현업에 대한 충분한 이해 △의사소통 능력 △자기개발 등을 꼽았다.


△경영자의 자질

그러나 기업 대부분의 CSO를 살펴보면 IT부서의 부장급이나 IT와 보안을 총괄하는 임원이 겸직하는 것이 현실이다. 그만큼 CSO가 되기 위해서는 무엇보다 경영자의 자질이 중요하다고 전문가들은 입을 모았다. 이는 경영자 관점에서 회사 경영 전반을 이해하는 것과 동시에 비즈니스 차원의 시각이 필요하다는 것을 의미한다.


이와 관련 강용남 회장은 “CSO는 보안에 대한 실무지식을 갖춘 사람이 경영층으로 들어가야 하기 때문에 무엇보다 경영자의 자질이 요구된다”며 “경영자의 자질 요건으로는 폭넓은 금융지식, 사람을 다루는 기술, 경영의 전반적 이해 등이 필요하다”고 제시했다. 이를테면 비즈니스 측면에서는 재무제표 등 회계 분야에 대한 이해도가 높아야 하고, 의사소통 측면에서는 비즈니스 마인드로 접근해야 CSO로서 업무가 수월하다는 것이다.


aSSIST 조병철 교수는 “CSO는 CEO가 고민하는 매출, 성과 등을 고려해야 한다”며 “보안의 생산성과 비즈니스를 고려해 IT 조직과 인력 및 예산을 탄력적으로 운영해야 한다”고 지목했다.


이너버스 김학범 연구소장은 “CSO는  법적·경영적 측면을 함께 볼 수 있는 능력과 함께 정확한 판단을  통한 의사결정 능력을 갖춰야 한다”며 “도리어 기술적인 측면은 CSO 자질에서 반을 넘진 않을 것”이라고 말했다.


△현업에 대한 충분한 이해

CSO가 되기 위한 두 번째 필수 요건으로 보안전문가들은 현업에 대한 이해도를 높여야 한다고 입을 모았다. 현업에 대한 이해가 부족하면 회사 시스템 자체가 어떻게 흘러가는지 프로세스를 잘 몰라 CSO의 역할을 제대로 수행할 수 없기 때문이다.


이와 관련 강용남 회장은 “이를테면 사이버포렌식의 경우 IT 전공자보다 변호사가 배우는 것이 더욱 빠르다”며 “그만큼 타 부서 업무를 포함한 현업에 대한 이해가 중요하다”고 강조했다.


이에 덧붙여 영국표준협회(BSI) 최영석 이사는 “대기업과 금융권은 컴플라이언스 축의 하나가 보안이기 때문에 무엇보다 CSO가 되려면 컴플라이언스 준수 위해 충분한 보안투자를 이끌어낼 수 있어야 한다”고 말했다.

그러나 안타깝게도 CSO는 일반적으로 보안담당자 출신보다 실질적인 비즈니스 담당 부서 또는 IT 부서 출신자들이 많은 것이 현실이다. 이는 국내 CSO의 역사가 짧기 때문에 순수한 보안담당자는 드문 것이라고 최영석 이사는 지적했다.


그러다 보니 비즈니스관련 부서 출신자들은 기술적인 측면이 약하고 IT 부서 출신자들은 비즈니스 측면이 약할 수 있다는 것. 따라서 최영석 이사는 CSO가 되기 위해 기술과 비즈니스 간 밸런스를 맞추는 것이 중요하다고 조언했다.  

△자기개발

CSO가 되기 위해서는 세번째로 무엇보다 자기개발이 중요하다고 보안전문가들은 뜻을 모았다. aSSIST 정진홍 원장은 “자기개발을 위해 본인이 원하는 프로그램을 끊임없이 공부하고, 준비해야 한다”며 “특히, 자신의 업무 프로세스를 제대로 이해하고 있어야 하고, 최소 비용으로 최대 효과를 낼 수 있는 플랜을 세울 수 있어야 한다”고 설명했다.


△의사소통 능력

잉그리디언(Ingredion Korea Incorporated)의 이대영 동북아시아 IT 매니저는 “보안 활동은 경영활동의 한 영역으로 경영진이 이해하는 단어와 용어를 사용해야 한다”며, “그러기 위해서는 경영활동과 관련된 지식을 습득하고, 비재무적인 성과 및 리스크매니지먼트 성과에 대한 측정능력을 갖고 있어야 한다. 따라서 경영수업과 매니지먼트 수업이 병행되어야 한다”고 말했다.


이외에도 aSSIST 채정우 박사는 “각 부문의 최고책임자를 뜻하는 C레벨이 되면 업무범위가 넓어지기 때문에 반드시 여러 개의 일간지 신문을 읽어야 한다”며 “컨텐츠, 테이블, 기술만 봤던 시각이 정책으로 바뀌기 때문에 보는 시각이 넓어지고 달라질 수 있다”고 조언했다.  

또한, aSSIST포럼 남궁록 사무총장은 “왜 CSO가 되고 싶은지 심도 있게 생각해 봐야 한다”며, “관리적인 측면에서 전체적으로 운영하는 제너럴리스트가 될 것인지, 한 분야를 심도 있게 파고드는 스페셜리스트가 될 것인지 충분한 검토와 고민이 이뤄져야 한다”고 설명했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>