[보안뉴스 김태형] 지속되는 금융사고로 금융권 CISO들의 역할이 매우 중요해지고 있다. 특히 내년 4월경부터는 일정 규모 이상의 금융사들은 CISO 겸직이 금지된다. 금융권 CISO의 역할은 무엇이며 앞으로 해야 할 업무는 무엇일까?

이에 대해 한국스탠다드차타드은행(SC은행) 김홍선 부행장은 해킹방지워크샵 강연에서 “앞으로 CISO는 기업 내 각종 서비스를 통제하는 사람이 아니라 보안을 기반으로 새로운 비즈니스를 창출하는 부분에서 어느 정도의 역할을 해줘야 한다”고 말했다.

이를 위해서 CISO는 IT와 보안에 대한 전문성, 비즈니스, 기술, 법의 균형적 감각, 경영자로서 커뮤니케이션 역량이 중요하다는 것. 특히 IT 트렌드와 보안위협 동향, 정확한 기술 컨셉트를 가지고 있어야 수시로 변하는 비즈니스 환경에 대처할 수 있다. 그리고 비즈니스, 기술, 법의 균형적 감각 측면에서는 각종 위협과 리스크를 조직이 감당할 수 있도록 정량화할 수 있어야 한다고 김 부행장은 말했다.

또한 그는 “국내 보안전문가들의 가장 큰 문제는 정보공유와 협업 등을 함께 할 네트워크가 없다는 점이다. 이렇다 보니 대응에 약할 수밖에 없다. 이러한 측면에서 CISO의 역할은 향후 더욱 확대될 것”이라면서 “또 현재 CISO는 어떤 일을 실행한다기보다는 통제하는 역할을 주로 하는데 이를 위해서는 현업부서와의 협력이 우선돼야 한다”고 말했다.

이처럼 CISO는 IT 리스크에서 정책 등을 모두 총괄해 관리하게 되며 경영진과 커뮤니케이션에 중요한 역할을 하는 것으로 확대된다는 얘기다. 특히 CISO가 경영진, 임직원, 협력사, 고객 등 다양한 계층의 사람을 상대하기 때문에 어려운 용어와 상황을 쉽게 현장에서 적극적으로 커뮤니케이션 할 수 있는 스킬이 필요하다고 강조했다.

김홍선 부행장은 “최근 기업들의 정보보호에 대한 인식이 높아졌다. 정보보안에 더 많은 투자를 하고 다른 글로벌 기업들과 같이 사내에 보안 생태계를 만들어나가는 것이 보편화 될 것”이라면서 “보안문제의 근원은 SW 취약점에서 비롯된다. 최근 사이버 범죄는 글로벌 범죄 조직의 조직적이고 다양한 사업모델로 진화하고 있으며 네트워크·PC·스마트폰·웜·보이스피싱 등의 입체적 공격, 그리고 정부지원 공격과 스카다(SCADA) 등 특정 산업 분야에 대한 공격 등으로 진행되고 있어 이에 대비가 필요하다”고 설명했다.

이와 같은 보안위협에 대응하기 위해서는 주기적이고 지속적인 보안관리와 점검, 위협관리, 컴플라이언스, 개인정보 라이프사이클 관리를 통한 고객의 신뢰를 얻는 것이 무엇보다 중요하다.

김 부행장은 “이를 위해서 정보보안 솔루션과 정보관리도 중요하지만, ‘People ·Process·Technology’등 3가지가 매커니즘을 갖고 유기적으로 돌아가야 하며 이를 기반으로 한 방어 설계가 중요하다”면서 “현재 보안 솔루션이나 정책들은 20~30년 전의 콘셉트로 만들어진 것들을 어떤 혁신 없이 이제까지 사용하고 있다. 하지만 지금은 기본 콘셉트는 변하지 않았으나 방식의 변화, 즉 혁신이 필요하다. 즉 정보보안체계의 업그레이드가 요구된다”고 강조했다.

즉 정보보안은 컴플라이언스, 지능화, 실효성, 혁신을 통한 업그레이드가 필요하며 이들의 중심에는 CISO가 있다는 것이 김홍선 SC은행 CISO의 설명이다. 

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>