[보안뉴스 김지언] 지난 1일 국회는 일정 규모 이상의 대형 금융회사나 전자금융업자인 경우 정보보호 최고 책임자(CISO)의 겸직을 제한하고, 징벌적 과징금 제도를 도입하는 내용의 전자금융거래법 개정안을 처리했다.

이와 관련 정보보호최고책임자의 소속부서를 CEO 직속의 별도 보안담당부서로 해야 한다는 주장이 제기됐다.

이는 IT 및 보안담당자 1809명에게 설문조사한 결과로 ‘최근 의무화 지정 논의 중인 CISO(정보보호최고책임자)의 소속부서는 어디가 되어야 한다고 보시나요?’라는 질문에 1187명이 ‘CEO 직속의 별도 보안담당부서’라고 답했다.

이와 관련 KTB솔루션 김태봉 대표는 “보안의 목적과 수단은 단지 전산이나 개별 업무영역에 국한되는 것이 아닌 종합적이고 통합적인 범위에서 다뤄져야 하기 때문에 이 같은 답변을 택하게 됐다”고 밝혔다.

또 다른 보안담당자는 “CEO 직속의 별도 보안담당부서에 소속되어야  C-레벨의 다른 임원들과 수평적인 관계에서 보안을 이야기할 수 있고 조직 내 문화로 내재화시킬 수 있다”고 밝혔다.

이어 그는 “서비스 제공의 효율성을 최고 목표로 하는 IT 관련 부서는 리스크를 관리하는 보안담당부서와 항상 충돌할 수 밖에 없다며 만약 IT 관련 부서에 보안담당부서가 속해 있다면 CISO는 힘을 잃을 수 밖에 없고 CIO의 뒤치닥꺼리를 하는 사고 전담대리인이 될 수 밖에 없다”고 강조했다.

이어 두번째로 많은 답변은 ‘IT 및 전산부서(17.53%)’가 차지했다. 최근 들어 기술적 보안외 관리적 보안에 대한 중요성이 대두되고 있지만 대부분의 보안인력이 기술적 보안에만 치중하고 있다. 이번 조사결과는 국내에서 활동하는 많은 IT 관련 인력의 경우 보안에 대한 개념이 아직 기술적 보안에 머물러 있다는 증거이기도 하다.

다음으로 ‘감사부서’라고 답한 응답자는 전체의 8.42%로 집계됐다. 홍성권 컨설턴트는 “독립성을 확보하기 위해서는 CEO 직속 조직의 별도 보안담당부서로 분류하는 것이 이상적이긴 하지만 현실적으로 예산 확보, 보안통제 강화 등 사내 정치역학적 관계를 고려할 경우 감사부서가 적절할 것으로 예상된다”고 밝혔다.

더불어 그는 “보안이 예전에는 IT 관점이 강했지만 현재는 IT를 포함해 인사, 법적요건, 내부통제 등 회사의 다양한 영역에 대해 전반적인 내부통제와 가이드 제시 등이 필요하기에 감사부서가 가장 적절할 것 같다”고 말했다.

이어 ‘경영지원부서’라는 응답이 5.98%를 차지했다. 이와 관련 큐브피아 이종문 대리는 “보안은 경영의 한 요소로 독립적인 영역이라기보다는 경영 전방위에 걸친 서비스 개념이 있어야 한다고 생각하기에 경영지원부서 소속이 되어야 한다‘고 응답했다.

‘법무관련 부서’라고 답한 응답자도 2.45%로 나타냈다. 이는 CISO가 기술적인 업무 외에도 컨플라이언스 업무를 많이 하기 때문인 것으로 분석된다. 각종 보안이슈에 대해 법에 적합한지, 또 내부 직원들이 회사규정을 잘 따르고 있는지 등을 알기 위해서는 법무관련 부서와 협력할 수밖에 없다는 측면에서다. 그러나 일각에서는 법무관련 부서에 소속된다면 업무 중 충돌이 있을 수밖에 없다고 지적하기도 했다.

종합해 보면 반 이상의 IT 및 보안담당 인력들이 CISO가 독립된 위치에 있어야 한다고 답변한 것을 확인할 수 있다. CISO는 내외부적인 침해사고에 1차적 책임이 있다는 것은 부정할 수 없다. 그러나 CISO가 보안을 바탕으로 회사에서 진행하는 프로젝트를 판단하고 문제 시 이를 변경토록 요청하기 위해서는 이에 걸맞는 권한과 예산이 뒷받침되어야 한다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>