| [보안직업군 프로젝트⑩] 정보보호최고책임자(CISO) | 2014.02.11 |
보안종사자의 최종목표이자 꿈...부담감 막중하지만 즐겨라!
[인터뷰] 신 성 환 코스콤 CISO·인프라본부장, CISO협의회 부회장
Q. CIO및 CISO의 역할과 책임에 대해 자세히 설명 부탁드립니다. CIO(Chief Information Officer) 와 CISO(Chief Information Security Officer)라는 단어로만 보면 두 임원의 역할이 비슷해 보일 수 있지만, ‘S(Security)’라는 단어가 있고 없고는 큰 차이가 있습니다. 두 임원의 역할에 대해서 자세히 알아보면, 우선 CIO(Chief Information Officer)는 기업의 경영목표에 부응할 수 있도록 IT 전략을 수립하고 비즈니스 시스템을 최적으로 구축·운영함으로써 IT 부문의 인력, 하드웨어 및 소프트웨어 등의 IT 자원을 효과적으로 관리해야 하는 위치의 임원입니다. 따라서 정보기술의 특성과 잠재능력을 충분히 이해하여 이를 기업의 성장 동력으로 활용하고 조직의 목표를 달성할 수 있도록 정보시스템에 투자하고 관리해야 하는 책임이 있습니다. 이에 반해, CISO는 정보기술 부문의 안전성을 확보하고, 이용자 보호를 위한 전략과 계획을 수립하여 보안사고를 예방 및 조치하는 등의 정보보안 업무를 총괄하는 위치의 임원입니다. 따라서 비즈니스 시스템과 새로운 분야의 기술들이 기업에 어떠한 보안 위협으로 미치게 될 것인가에 대해 늘 고민하고 그에 대한 대책을 마련해야 합니다. 내·외부적으로 어떠한 중요 정보가 유출될 수 있는지 위험성을 파악하고 감독기관의 보안컴플라이언스를 준수하고 있는지 검토하여 기업정보가 유출되거나 외부로부터 침해받지 않도록 해야 할 책임이 있습니다. Q. CISO가 갖추어야 될 자질에는 어떠한 것들이 있나요? ‘전자금융거래법’에서CSO(정보보호최고책임자)의 자격요건을 별도로 정하는 것만 봐도 CSO나 CISO가 얼마나 많은 경험과 전문 기술, 그리고 책임을 요하는 위치인지 알 수 있습니다. 보안은 99%를 막아도 1%의 가능성에 의해 뚫리면 모든 게 허사가 된다는 말이 있습니다. 이에 CISO는 언제나 침해사고 가능성을 염두에 두고, 책임지고 있는 기업의 보안을 객관적으로 바라볼 수 있는 눈이 필요합니다. 하지만 이런 시각의 차이로 보안담당 부서와 IT 운영 부서 간에는 많은 갈등을 빚습니다. IT 운영 부서는 보안 관점보다는 운영의 효율성과 수익성에 중점으로 두는 부서로서 보안담당 부서를 제일 멀리하고 싶어합니다. 보안에 초점을 맞출수록 운영의 효율성은 떨어지기 때문이죠. 따라서 기업의 사업 목표를 위해 CISO는 이런 갈등이 최소화되도록 조율하는 능력도 매우 중요합니다. 무조건 안 된다고 단언할 것이 아니라 IT 운영 부서의 고충을 최대한 수렴하여 상호 인정할 수 있는 목표점을 찾아 CIO, IT 운영 부서와 같이 안전한 운영 환경을 만들 수 있어야 합니다.
금융 분야에서는 대표적으로 금융위원회에서 주최하는 CISO정책협의회가 있습니다. 정부와 금융회사 간의 활발한 교류와 정보 교환을 통해 해킹 등 전자적 침해에 대하여 공동으로 대비하고, 모범적인 보안시스템 사례를 벤치마킹해 정보보안 역량을 강화하는 활동을 하고 있습니다. 또한, 미래창조과학부 산하로 한국인터넷진흥원, 정보보호관련 학계 교수, 정보보호관련 전문업체 임원, 유관 정부부처 정책담당관 등이 참여하는 사단법인 정보보호최고책임자(CISO)협의회가 있습니다. 매월 조찬회를 통해서 정보보호관련 정부정책과 보안관련 지식 및 정보를 공유하고, 업계·학계의 동향과 새로운 기술을 공유하는 활동을 하고 있습니다. Q. CISO는 보안사고가 터질 경우 막중한 책임을 지게 되므로 이에 대한 부담감이 클 텐데요. 보안사고 예방을 위해 평소 어떤 노력을 하시나요? 보안사고가 터지면 기업은 경영이 중단될 수 있을 정도로 막대한 금전적 손해와 이미지 훼손을 입게 되고, CISO는 이에 대해 책임을 져야 하는 부담이 큰 자리입니다. 보안은 예방이 최선입니다. 소 잃고 외양간을 고치기보다는 애초에 소를 잃지 않도록 미리 준비해야 합니다.
매년 보안위협을 제거하기 위해 정보보호계획을 수립하고 새로운 정보시스템이 구축되거나 변경될 경우 보안성 검토를 통해 사전에 취약점을 제거하기도 합니다. 그리고 전사적으로 취약점 분석·위험 평가를 수행하여 보안위험은 없는지 정기적으로 점검하고 있습니다. 임직원들의 보안의식을 제고하기 위해서도 분야별 특성에 맞게 보안 교육을 정기적으로, 필요에 의해 주기적으로 실시하고 있습니다. 또한, 코스콤은 증권 분야 공동보안관제 체계인 금융 ISAC를 책임지고 있으며, DDoS 및 사이버트레이딩 구간에 대해 24시간 365일 통합보안관제를 수행하며 각 증권사, 금융위원회, 국가사이버안전센터와 연결되어 있습니다. 침해사고가 발생되면 감독당국 및 유관기관과 함께 공동대응 체계를 갖추고 있습니다. 기술적인 침해 위협요소 뿐만 아니라 사회적인 이슈로도 공격의 대상이 될 수 있기 때문에 수시로 주요 이슈에 귀를 기울이고, 사고 발생 가능성과 영향을 검토하여 대응책을 마련하고 있습니다. Q. CIO와 CSO 겸직에 대해서는 어떻게 생각하시는지요? 직무 분리가 필요하다고 보신다면 그 이유도 설명해 주십시오. CIO와 CSO(CISO)의 직무는 분리되는 것이 바람직하다고 생각합니다. CIO는 보안 관점보다는 운영의 효율에 중점을 두고 있어 보안 업무와 겸직할 경우, 성과가 뚜렷하지 않고 돈을 소비하는 보안보다는 수익을 창출하는 운영에 힘을 실어줄 수 밖에 없게 됩니다. 운영을 위해 일각을 다투는 IT운영자가 보안까지 책임을 지기에는 너무 버거운 일입니다. 따라서 CIO와 동등한 레벨이면서 보안의 관점으로 객관적으로 봐줄 수 있는 CISO가 필요하며, 이러한 분리된 역할과 책임을 통해서 CEO가 올바른 판단을 할 수 있도록 이끌어야 합니다. 그러나 모든 기업이 직무 분리를 해야 하는 것은 아닙니다. 금융위원회의 지침과 같이 총자산 10조원 이상, 종업원 수 1500명 이상인 대기업에서는 가능하겠지만 이보다 작은 기업에서는 임원을 1명 더 두는 것은 현실적으로 어려운 일입니다. 이에 기업의 규모와 환경에 맞게 현실적으로 적용하고, 겸직이 불가피 할 경우 CIO와 CISO 겸직에 대해 견제할 수 있는 관리 프로세스와 감사 기능을 강화하는 것이 필요합니다. Q. CISO로서의 업무상 장점과 단점, 그리고 어려운 점은 무엇인가요? CISO는 업무 특성상 최신 IT 기술 및 트렌드 그리고 법·제도를 알아야 기업에 최적화된 정보보호의 방향과 대책을 수립할 수 있기 때문에 업무를 위해서라도 자연스럽게 식견이 넓어진다는 장점이 있습니다. 이외에도 실상 보안과 IT 관련 법·제도, IT 기술은 국민들의 생활과 매우 밀접한 관계가 있어서 다른 사람들보다 항상 먼저 인지하고 다각적으로 검토하는 능력이 향상됩니다. 반면에 3.20 전산망 마비 사태처럼 보안사고가 내·외부적으로 언제, 어디서, 어떻게 발생될지 예측하기 힘들기 때문에 심리적 부담감을 항상 갖게 된다는 단점이 있습니다. Q. 보안과 수익성의 관계는 정비례 관계인 경우보다는 반비례인 경우가 많은데 이에 대해서는 어떻게 생각하시는지요? 보안은 단기적으로 본다면 수익성과 반비례한다고 생각할 수 있지만, 장기적으로 바라본다면 정비례 관계입니다. 당장 보안을 위해 예산과 인력이 증가되고 업무 프로세스가 복잡하여 업무 효율이 저하된다고 볼 수 있지만, 보안 투자의 감소로 얻는 기업 이익보다는 정보 유출 및 침해사고로 인한 손실이 금전적으로나 대외 이미지적으로나 경영 리스크에 훨씬 크게 작용할 것입니다. 결국 보안은 기업 경영의 손실을 줄여주는 리스크 관리 시스템인 것입니다. Q. 예전과 비교해서 정보보안 인식제고 및 기업의 보안투자 실태는 많이 개선됐는지 궁금합니다. 잦은 보안 사고로 인해 보안관련 법규가 강화되면서 정보보안 인식은 임직원뿐만 아니라 경영진까지 많이 확산되고 개선됐지만, 투자 측면에서는 아직까지 그만큼 미치지 못하는 것이 현실인 것 같습니다. 장기적으로 경기가 침체되면서 기업 경영 여건이 좋지 않아 예산 편성 시 보안예산이 삭감되고 IT 조직도 축소하려는 경향이 있어 매우 안타깝게 생각하고 있습니다. Q. 향후 정보보안 분야의 주요 이슈에 대해 예상한다면? 인터넷 및 소셜미디어의 급격한 발전에 따라 빅데이터 시대가 도래하면서 기업에서는 대량의 데이터 집합물을 수집하고 이를 효율적인 정보를 얻을 수 있는 정보원으로 활용하고 있습니다. 대표적인 예로 미국의 한 대형할인마트에서는 고객의 구매성향을 파악하여 맞춤형 쿠폰을 제공하는데 활용하고 있습니다. 기업의 입장에서는 유용하게 활용할 수 있는 정보이지만 개인 입장에서는 프라이버시 침해 위협을 느낄 수도 있습니다. 자신이 무엇을 좋아하고 싫어하는지 관심사가 무엇인지 등 민감한 개인 사생활이 노출될 수 있기 때문입니다. 따라서 빅데이터 활용 시 개인정보보호 대책 수립도 반드시 병행되어야 할 것입니다. Q. 향후 정보보안 분야에 있어 국가적인 지원이 필요한 부분이 있다면? 정보보안 업무는 보안사고 발생 시 그에 대한 책임과 처벌이 뒤따르기 때문에 꺼려하는 직무입니다. 처벌을 강조할 경우 기업은 법안의 테두리에 갇혀서 최소한의 기준만 준수하려 하고 실질적인 보안대책보다는 법망을 피할 수 있는 방법만을 추구하게 될 수 있습니다. 따라서 정부는 처벌보다는 적극적인 보상과 지원체계, 그리고 보안담당자들의 사기 진작을 통해 기업이 정보보안에 적극 투자하고 발전할 수 있도록 해야 합니다. Q. 기업의 보안 총책임자로서 정보보안 분야 취업준비생들에게 바라는 점이 있으시다면? 10여년 전부터 지금까지도 언론에서는 전망 좋은 직업군으로 항상 정보보안 전문가를 뽑았던 것 같습니다. 그만큼 정보보안이 개인과 기업 및 정부에 있어서도 아주 중요한 역할을 하기 때문입니다. 실제로 기업의 인력 채용 시 정보보안 전문가를 경력직으로 채용하려는 일반기업이나 공공기관을 많이 볼 수 있을 것입니다. 정보보안은 끝이 없습니다. 정보보안 분야에 대한 관심과 의지만 있다면 과감히 도전하여 최고의 정보보안전문가로 우뚝 서는 꿈을 펼쳐봤으면 좋겠습니다. [임종민(ljm4078@gmail.com) / 민세아(msa0309@gmail.com) 객원기자] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
[보안뉴스 임종민·민세아] 지난 1월 발생한 카드 3사의 개인정보 유출사건 여파가 점차 확대되고 있습니다. 이로 인해 국민들의 불안감이 그 어느 때보다 높아지면서 카드사를 비롯한 금융권의 보안강화 대책이 잇따라 발표되고 있고, 금융권 및 기업의 정보보호최고책임자(CISO)들의 역할과 책임도 더욱 강화되고 있는 추세입니다. 
Q. 각 회사별 CIO 및 CSO 간의 교류가 잘 이루어지고 있나요?