• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

CISO 직속상관은 DRO? 가트너, 새로운 직책 예견 2014.11.25

기존 CISO가 하던 일에 사업 및 경영 관점까지 갖춘 전문가

가트너 예상 “2019년이 지나기 전에 DRO 도입될 것”


[보안뉴스 문가용] 기업이나 공공기관에서나 업무의 처리가 숨가쁜 속도로 디지털화 되어 왔다. 현장에서 혹은 종이로 만들어진 서류로 이루어졌던 일 처리 과정 대부분이 디지털 과정을 통해 온라인에서 처리가 가능해졌다. 산업 분류를 막론하고 말이다. 이런 디지털화로 우린 무엇을 얻었을까? 바로 생산성이다. 그러나 얻은 게 있으면 잃은 것 또한 있기 마련. 우리는 기존 IT환경에서는 알지 못했던 여러 가지 위험에 노출되었다.

 

 ▲ 이젠 강을 건너야 할 때.

 

가트너는 디지털 위험 관리(DRM)를 위험 및 보안 분야의 차세대 영역이라고 보고 있으며 이 영역을 이끌 수장으로 DRO(Digital Risk Officer)라는 새로운 직무가 만들어질 것이라고 예측했다. “2019년 전에는 디지털 위기라는 개념이 기술 위험 관리에 접근하는 새로운 표준이 될 것입니다.” 가트너의 부회장인 폴 프록터(Paul Proctor)의 의견이다. 그는 DRO의 역할에 대해 “사업 감각도 있으면서 기술적인 지식도 충분히 갖춰 디지털 업무 과정에서 어떤 위기가 있을 수 있다는 걸 빠르게 감지해서 올바르게 대처할 수 있는 것”이라고 추가 설명했다.

 

디지털 리스크 매니지먼트 인스티튜트(Digital Risk Management Institute)에서도 가트너의 이런 예측에 큰 이견이 없다. 거기에 더해 디지털 위험 관리의 궁극적인 목표는 조직의 시스템과 운영환경 내에 디지털 면역력을 기를뿐 아니라 본연의 목표인 위협 감지와 사건 대응을 올바로 해서 피해 규모를 최소화 하는 것이다.

 

2017년 전까지 대기업의 1/3이 DRO라는 직책을 마련하고 사람을 고용할 것으로 본다. 현재 이를 맡고 있는 IT 보안 팀으로는 부족하다는 것이 요즘 들어 계속 증명되고 있고, 이는 크게 바뀌지 않을 것이 분명해 보인다.

 

DRO와 CISO

예측대로 DRO라는 직책이 새롭게 생긴다면 아마 이 새로운 수장은 COO나 CRO 등을 직속상관으로 모시고 근무하는 체계가 가장 알맞을 것으로 보인다. 또한 CISO와는 전혀 다른 역할을 수행할 것이다. DRO는 사업을 하는 시각에서 위험을 관리할 것이고 또한 사업을 진행하는 담당자들과 함께 경영에도 참여하면서 동시에 보안 법규 준수, IT 보안 관리 등의 일도 동시에 맞춰나가야 한다. 어쩌면 CISO의 직속상관으로 제일 어울리는 게 DRO일지도 모르겠다.


물론 이렇게 말하면 CISO들이 발끈할지도 모르겠다. 혹은 CISO에서 DRO를 임명하는 게 합리적이라고 볼 수도 있다. 불가능은 아니다. 다만 DRO가 되려면 필수적으로 사업에 대한 이해도를 높여야 한다. 이는 단순히 사업 진행 상황과 돈의 흐름을 파악하라는 게 아니다. 기업 운영진들과 대화를 하려면 그들의 언어를 익혀야 한다. 경제와 시사, 정치 등이 바로 이런 사람들의 언어이며 이런 언어들을 듣고 이해하는 것만큼 이들의 언어로 위험 요소들을 설명해줄 수도 있어야 한다. 위험 관리의 차원이 달라져야 한다는 소리이기도 하다. 이제 보안 관련 책임자 정도면 경영진 혹은 임원진에 포함되어야 한다.


사업과 IT, 그 멀고먼 간극

경영을 주로 해오던 임원진과 IT쪽에서부터 성장한 임원진 사이에는 꽤나 큰 강이 흐르고 있다. 공대와 이대생의 차이랄까. 이 문화차이가 굉장히 큰 취약점으로 발전하는 경우도 많다. 경영진들은 정보보안 사고를 너무나 등한시 해왔다. 그저 기술자들의 일이고, 그들이 제대로 일을 처리하지 못해서 생기는 일이라고 여겼다. 반면 기술적인 배경을 가진 이들은 자신이 맡은 일만 미시적으로 바라볼 뿐 사업 전체의 측면에서 기술을 접목시킬 생각을 하지 않아왔다. 이러니 일만 터지면 서로 핑계 대기만 바쁘고 손가락질만 해왔던 것이다.


DRO의 등장이 이 문제를 단번에 해결하지는 못할 것이다. DRO의 예견과 별개로 이 문제에 대한 해결방안을 모색해야 한다. 그 중 하나는 DRO에게 조직의 운영 및 점검에 개입할 수 있는 권한을 주는 것이다. 보안에 대한 인식이 뚜렷하고 그것이 자기의 맡은 임무인 사람에게 이런 권한이 주어진다면 생산의 여러 단계에서 보안이 뿌리내릴 수 있을 것이다. 경영진들을 포함한 일반인들의 보안 의식이 높아질 때까지 보안인들은 자신의 지경을 넓혀야 할 것이다.


글 : 닉 산나(Nick Sanna)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>