보안 목표와 가치 설정, 업무 프로세스 혁신에 중점 둬야

보안예산 확보, 보안을 문화로 정착시키는 일도 매우 중요

[보안뉴스 김태형] 최근 각 기업의 주요 정보를 탈취하려는 해커들의 공격 강도와 빈도가 점점 높아지고 있다. 이러한 상황에서 기업의 정보보호 강화가 결국은 국가경쟁력 향상의 핵심 열쇠가 되고 있다.

이렇다 보니 정부 차원에서의 규제와 컴플라이언스는 점점 강력해지고 세분화되고 있어 기업의 정보보호 업무 전반을 책임지는 CISO(정보보호최고책임자)의 역할이 그 어느 때보다 중요하다.

하지만 기업의 보안 현실은 이러한 규제를 지키는 것 자체를 최대 과제이자 목표로 삼고 있어 형식적인 보안 강화에 머무르고 있다는 게 전문가들의 지적이다. 그러면 기업의 정보보호 수준을 높이기 위해서 CISO의 최우선 업무와 역할은 무엇일까?

삼정KPMG 김민수 이사는 “기업보안 강화를 위해 CISO가 우선적으로 해야 할 업무는 기존 보안관리 업무 외에 CISO가 전달할 수 있는 가치가 무엇인가 생각해보는 것”이라면서 “일반적인 정보보호를 위한 기업보안 가이드를 만드는 것만이 정답은 아니다. 이는 각 회사마다 다른 점이 있기 때문에 지켜야 할 법규도 각각 다르다. 기업 보안가이드 및 실천수칙 등은 그 회사의 IT·업무환경과 규모 등에 따라 적절하게 만들어야 하기 때문”이라고 말했다.

즉, CISO는 CEO가 어떤 의지를 가지고 회사의 보안수준을 가져갈 것이냐를 파악하고 이를 어떻게 받아들여서 회사의 보안 목표와 수준을 정확히 정할 것인지, 그 밑에 보안팀장이나 담당자들이 어떻게 실천할 것인지를 정해야 한다는 것이다.

안랩 김형준 컨설팅사업본부장은 “CISO는 그 회사의 보안을 누구보다 잘 알아야 한다. 일반적으로 기업들은 보안의식 향상을 위해 전략을 세우고, 목표를 정하며 KPI(Key Performance Indicators: 핵심성과지표)를 확립해 보안수칙 7가지를 책상에 붙인다”고 말했다.

이 외에도 기업들은 보안교육·홍보·이벤트를 수행하는 등 변화관리 프로세스를 적용하기도 하지만 보안이 점차 강화되면 불편을 초래하는 만큼 이런 방법으로는 큰 성과를 거두기 쉽지 않다는 게 그의 주장이다.

그는 “행동경제학을 이용해 업무 속에서 보안을 실현하는 방법을 찾아 적용하면 조직원들의 거부감도 줄이면서 보안을 구현하는 방안이 될 수 있다”고 설명했다.

또 이글루시큐리티 박명훈 수석컨설턴트는 “CISO는 업무 프로세스 혁신, 즉 본연의 업무에 정보보호와 개인정보보호를 자연스럽게 이식시켜야 한다. CISO의 정보보안, 개인정보보호 관리기술은 업무능력”이라면서 “정보보호 컨설팅을 잘 활용해서 제3자에 의한 조직변화의 당위성을 만들고 프로세스 혁신의 토대로 삼아야 한다”고 강조했다.

그리고 보안지표를 신뢰하지 말아야 한다고 강조했다. 보안수준 65%, 개인정보보호법 이행률 70% 등의 숫자는 허상에 불과해 이를 성과와 연결할 경우 보안담당자, 담당 임원의 지속적인 거짓말을 유도할 수밖에 없다고 덧붙였다.

또한 그는 CISO는 지속가능 경영을 위한 전략의 일환으로써 정보보안, 개인정보보호를 대하고 IT 예산(축성)과 Security(수성) 예산은 별개로 수립하되, 중복투자를 방지하고 정보보안 효과성이 높은 부분에 집중투자를 고민해야 한다고 강조했다.

CISO가 정보보호, 개인정보보호의 책임을 IT 부서에 전가해서는 안 되며, 최근 선진경영체계에서 성과측정을 위해 KRI(Key Risk Indicator: 핵심위험지표)를 KPI와 동시에 고려하고 있음을 예의주시하고 이를 반영해야 한다고 말했다.

한국품질보증원 박억남 팀장은 기업의 CISO는 복잡한 정보보호 관련 법·규제 환경에서 기업의 최적화된 보안수준을 확립하기 위해 보다 적극적인 보안활동을 수행해야 한다고 주문했다. 보안성숙도를 높이기 위한 역량 강화와 함께 실질적인 보안관련 인증 취득을 위한 노력이 필요하다는 것.

영국표준협회(BSI) 서정호 선임심사원은 CISO는 실질적인 보안전문가, 보안분야의 업무 경험이 풍부한 사람을 뽑아야 한다는 점을 강조했다. 그는 “CISO는 우선 정보보호담당자들의 업무를 단기 실적 위주로 평가하지 않아야 하고, 정보보호는 솔루션을 도입했다고 완료되는 것이 아니라 조직의 정보보호체계를 지속적으로 발전시키는 것이 목표가 되어야 하기 때문에 여기에 얼마나 많은 기여를 했는지에 대해 평가해야 한다”고 덧붙였다.

또한 그는 CISO는 단순 보고 및 결재만을 수행하는 것이 아니라 기업 내의 모든 이슈 및 해결방안을 담당자와 함께 고민할 수 있어야 한다고 말했다. 무엇보다 정보보호를 단순히 통제가 아닌, 조직의 문화로 정착시키기 위해 최선의 노력을 다해야 한다는 것. 이를 위해 그는 “조직의 정보보호는 정보보안 조직에서만 수행해야 하는 업무라는 생각을 버리고, 현업 부서에서의 모든 조직원들이 정보보호 활동을 수행할 수 있도록 해야 한다”고 서정호 선임심사원은 강조했다.

기업보안 수준 강화를 위한 구체적인 방안으로 그는 △자발적으로 정보보호관리체계를 구축하고 관리할 수 있는 환경 조성 △인사 혹은 감사 조직과 같이 적절한 권한을 기반으로 업무를 수행할 수 있도록 정보보호 조직체계 개선 △ 보안 프로세스를 업무 프로세스에 적절히 반영할 것 △혁신을 위해서는 많은 고민이 동반되어야 하므로 고민할 수 있는 시간 보장 등을 제시했다.

인포섹 신현민 컨설팅본부 팀장은 “기업의 CISO는 정보보안 전담조직을 구성하고 정책 및 지침을 제정한 후, 정보보안 실행을 선언하는 게 우선되어야 한다. 이후에는 PDCA(Plan-Do-Check-Act) 전략을 수립해 기업 내 가장 중요한 자산을 파악하고, 자산에 따른 위험을 식별하며, 그 자산에 접근가능한 직원은 누구인지를 판별하여 지속적인 교육·점검·감사 활동을 수행해야 한다”고 말했다.

또한, 이원백 사이버보안전문단원은 “중소기업에서는 CISO보다는 실무 역할을 담당할 정보보호담당자가 더 중요하다. 솔루션 도입이나 유지보수 비용보다는 인적 투자에 집중하는 것이 정보보호 수준 향상을 위해 가장 효과적인 방법”이라고 언급했다.

이어서 시큐아이 전성훈 부장은 “CISO가 정보보호 예산을 자사의 핵심기술을 지키는데 사용하지 못하고 IT 보안 및 개인정보보호 분야에만 쓴다면 더 중요한 핵심기술 보호에 구멍이 생길 수 있으니 이 부분도 신경을 써야 한다”고 설명했다.

그리고 EY한영회계법인 홍성권 수석컨설턴트는 기업의 CISO가 가장 우선시해야 하는 업무는 GRC(Governance, Risk Management, Compliance)라고 말했다.

그는 “기존의 전통적 보안사고는 단순 홈페이지 변조, 서비스 지연, 악성코드 감염 등 기술적 리스크가 다수였으나 현재는 개인정보 유출 등 보안사고 발생시 법률 위반에 따른 법적 리스크와 함께 재무 및 운영 리스크도 뒤따르기 때문에 GRC 체계 구축을 가장 먼저 고려해야 한다”고 덧붙였다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>