| CISO가 숙지해야 할 업무스킬 몇 가지 | 2014.07.02 | |
국가 보안경쟁력 높이려면, 기업 보안수준 높이는게 핵심
[보안뉴스 김지언] 각 기업의 주요 정보를 해킹하려는 해커들의 공격 강도는 높아지고, 정부 차원에서의 보안 강화 주문은 점점 세분화되고 있다. 이 가운데 정보보호의 전반적인 업무를 총괄하는 CISO(정보보호최고책임자)의 업무는 어디까지이며, 어떤 업무에 우선순위를 두어야 하는지 가이드라인이 필요하다는 주장이 제기됐다.
이와 관련 정보보호최고책임자협의회(회장 이홍섭, 이하 CISO협의회)는 서울 삼성동 코엑스 인터컨티넨탈 호텔에서 CISO 50여 명이 모인 가운데 ‘CISO포럼’을 개최했다. 이날 포럼에서는 CISO랩의 강은성 대표가 CISO 실무, Best Practice라는 주제로 강연을 진행했다. 강은성 대표는 국가 전체 정보보호 수준을 높이기 위해서는 기업의 정보보호 수준을 높이는게 핵심이라고 서두를 꺼냈다. 정부나 국회에서 보안수준 향상을 위해 세분화된 보안규제를 마련하고 있지만, 기업에서는 이러한 규제를 지키는 것 자체를 보안의 최대과제로 삼고 있어 안타깝다고 전했다. 그렇다면 정보보호 수준을 높이기 위해서는 어떠한 방식을 도입해야 할까. 먼저 강 대표는 보안을 축구에 비유했다. 각 포지션의 선수들과 감독이 서로 조화를 이루어야지만 최고의 팀을 만들 수 있듯 보안도 마찬가지라는 얘기다. 보안 역시 경영진, 정보보호 부서, IT 개발부서가 서로 유기적으로 정보를 공유하고 서로의 고충을 이해해야 좀 더 나은 방향으로 개선될 수 있다는 것. 그는 이 세 그룹이 각각 다른 입장에서 고충을 겪고 있다고 밝혔다. 경영진은 ‘다 들어주는데 무엇이 문제냐’, 정보보호 부서는 ‘주요 권한도 없고 IT 부서와 업무협조가 힘들다’, IT개발 부서는 ‘정보보호 부서는 실무도 모르면서 왜 이렇게 간섭하냐’는 등 서로를 이해하지 못하고 있다는 것이다. 이렇듯 서로 간의 조화가 제대로 이뤄지지 않는다면 자살골을 넣는 것이나 마찬가지이기 때문에 무엇보다 협업의 중요성을 강조했다. 먼저 규제대응의 측면에서는 새로 개정되는 정보통신망법에 대한 이해가 필요하다고 설명했다. 개인정보 파기 의무가 강화된 측면과 관련해 “개인정보를 파기할 때 복구·재생할 수 없도록 하라는 조항은 개인정보보호법을 가지고 왔다. 하지만 개인정보보호법과는 달리 미이행시 2년 이하의 징역 또는 2천만원 이하의 벌금이라는 벌칙이 포함됐다. 기존 개인정보 유출관련 벌칙조항 외에 정보보호 인력이 형사처벌 될 수 있는 조항이 하나 더 늘어난 것”이라며 주의를 당부했다. 또 위탁자의 관리감독 소홀에 대해서는 과징금의 상한선이 위반관련 매출액의 1/100에서 3/100으로 올랐다는 점을 언급했다. 또 사고가 발생하지 않더라도 정보통신망법 4장에서 규정한 위반사항이 발견되고 위탁자의 관리·감독 소홀이 원인인 경우에 위탁자에게도 과징금을 부과할 수 있으므로 원인의 인과관계간 위험부담을 줄이기 위해서라도 업무기록의 중요성을 강조했다.
마지막으로 위기관리 측면에서 그는 CISO가 언론보도, 서비스장애, 협박성 제보, 클레임 접수와 같은 일상적 위기에서 어떻게 관리조직을 운영할 것인지, 악성코드 발견, 서버침투 흔적 발견 등과 같은 사건이 발생하면 어떤 정보보호 대책을 수립할 것인지, 개인정보 대량유출 및 대규모 전산망 마비와 같은 중대 위기에서 어떻게 법규를 준수해 나갈 것인지 등에 대한 철저한 대응전략이 있어야 한다고 밝혔다. 끝으로 그는 “정보보호를 하는 사람들에게 정보보호는 사업의 지속성 확보와 고객의 가치를 증대시키기 위해서도 중요하지만 보안업무를 담당하는 자신과 동료의 성과 창출, 그리고 위험부담을 줄이기 위해서도 매우 중요한 것”이라고 말했다. [김지언 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
