CISO에 대한 사회적 인식 제고와 함께 역량 극대화 방안 고민해야  

[보안뉴스 민세아] 기업내 정보보호 슬로건으로 최근 떠오르고 있는 5.5.2.1 캠페인을 아는가? 전체 IT 인력의 5% 이상을 정보보호 전문인력으로 구성하고, IT 예산 가운데 독립된 정보보호 예산을 5% 이상 책정하며, 모든 임직원에게 연 2회 이상 정보보안 교육을 수행함과 동시에 연 1회 이상 정보보호 컨설팅 및 모의침투 훈련을 시행한다는 캠페인이다.

미래부 산하 사단법인 정보보호최고책임자협의회(이하 CISO협의회)의 이홍섭 회장은 CISO협의회 차원에서 이러한 슬로건을 마련해 공공기관 및 기업 CISO들이 자율적으로 시행할 수 있도록 권고하고 있다고 밝혔다. 한국인터넷진흥원 노병규 본부장으로부터 감사 릴레이 인터뷰를 이어받은 CISO협의회 이홍섭 회장에게 5.5.2.1 캠페인 제정을 비롯해서 지난해 감사하는 일에 대해 들어봤다.

안전한 사이버 세상 만드는 CISO들에게 감사_ 사고는 항상 우리 주변에 있다. 기업의 CISO들이 많은 노력을 하고 있어 감사하지만, 그렇다고 사고가 안 나는 것이 아니다. 보안 분야는 잘 하고 있어도 티가 안 나고, 뭐 하나 잘못되면 혼나기만 하는 분야라 안타깝기도 하다. 이러한 상황에서도 묵묵히 맡은 바 책임을 다하는 이땅의 모든 CISO들에게 감사의 말을 전하고 싶다.

무엇보다 CISO에 대한 사회적 인식이 제고되고, CISO들의 역량도 키울 수 있는 환경이 만들어졌으면 하는 바람이다. CEO가 책임의식을 갖고 CISO에게 일을 시켜야 되는데 보안에 대한 책임만 CISO에게 모두 넘겨버리는 문제도 있다. 지난해 카드3사, 한수원 사태로 알 수 있듯이 보안사고가 발생하면 CISO만 책임지는 게 아니다.

기업에는 재무를 담당하는 재무담당최고책임자(Chief Financial Officer, CFO)가 있다. CEO는 회사 자금을 관리하는 CFO가 제대로 일하고 있는지 엄청난 관심을 가지고 지켜본다. 그만큼의 관심을 CISO에게 쏟았으면 좋겠다.

게다가 사고가 발생하는 원인은 대체로 기본적인 것을 안 지켜서 당하는 경우가 많다. 카드3사 사태도 USB 반·출입에 대한 확인과정만 엄격하게 했다면 충분히 막을 수 있었다고 본다. 한수원 사건도 원인이 확실히 밝혀지지는 않았지만 퇴직자 계정을 이용해 메일을 보낸 것으로 보아 기본적인 보안사항들이 제대로 지켜지지 않은 것으로 보인다. 그런 의미에서 5.5.2.1 캠페인도 마련하게 된 것이다.

사람들은 안전한 조치를 취하면 불편해하면서 잘 따르지 않다가 사고가 발생하면 왜 사고났냐고 책임을 묻는 양면성을 보인다. 전자금융거래에 있어서도 정부가 일일이 규제할 것이 아니라 지율성을 부여하되 엄중한 처벌을 통해 기업들 스스로 보안에 대한 준비를 철저히 할 수 있게끔 해야 한다. 정보통신망법 등 관련 법률을 지켰으니 책임이 없다는 식으로 면책할 기회를 주는 것은 바람직하지 않다. 기업이 보안에 대해 전적으로 책임을 질 수 있게 판 전체가 바뀌어야 한다고 본다.  

국내 여성 보안전문가들의 위상을 높인 ETRI 조현숙 본부장에게 감사_ 보안과 인터넷은 뗄 레야 뗄 수 없는 관계다. 보안이 담보가 되지 않으면 안전하고 편리한 사이버 세상이 만들어질 수 없기 때문이다. 그런 의미에서 첨단 보안기술 개발에 앞장서는 국내 최고 연구기관인 한국전자통신연구원(ETRI)의 사이버보안연구본부 조현숙 본부장을 다음 릴레이 인터뷰 주자로 추천하고 싶다. 그간 우리나라의 대표적인 여성 보안전문가로 위상을 높여왔고, 스마트하고 안전한 사물인터넷(IoT) 보안대책을 만들어 주었으면 하는 바람도 전하고 싶었기 때문이다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>