| 보안업계의 복잡미묘한 사각 애증관계인 ‘C패밀리’ | 2015.04.07 | ||
정보보안 명칭의 수장 너무 많아...책임지는 자 無
[보안뉴스 주소형] 보안업계에 복잡미묘한 사각관계가 있다. 바로 CSO, CIO, CRO, CPO다. 이들은 모두 각 조직에서 정보보안 관련 책임자들을 칭하는 다양한 직책명들이다.
“지금 보안업계의 큰 문제는 수장 직책이 너무 많다는 것이다. 그런데 더 문제는 그 많은 수장 가운데 사건 발생시, 책임지려는 이는 아무도 없다는 것이다” 법률 및 데이터 솔루션 업체인 유나이티드렉스(UnitedLex)의 제이슨 스트레이트(Jason Straight) 상무 겸 정보보안 책임자의 말이다. 물론 모두 ‘보안’이라는 타이틀 아래에 있는 것은 맞지만, 각 직책마다 부여되는 1순위 의미에는 조금씩 차이는 있다. 먼저, CPO(Chief Privacy Officer, 프라이버시관리책임자)는 법적 배경 분야를 중점적으로 맡고 있으며, CRO(Chief Risk Officer, 경영위험전문관리임원)의 경우 재정 및 경영 부분을 주로 담당하고 있다. CIO(Chief Information Officer, 최고정보관리책임자)와 CSO(Chief Security Officer, 보안최고책임자)는 기술적인 면에서의 보안을 관리하고 있는 것으로 알려졌다. 자신만의 전문분야가 있다고는 하지만 서로 같은 울타리 안에서 있어 갈등이 발생할 때도 있다. 거기에는 생산적인 결과로 이어지는 갈등도 있고 그렇지 않은 경우도 있다. 그렇게 그들의 복잡 미묘한 관계 속에서 발생하는 갈등을 최소화하고 긍정적인 결과를 끌어내기 위해서는 올바른 관계 이해와 사고방식이 필요할 것으로 보인다. 이에 그들을 좀 더 쉽게 이해하기 위한 시간을 가져보자. ■ 갈등과 기회: 리스크(risk)의 진정한 의미 CPO는 정보와 컴플라아이언스 관리에 주력하고 있다. 구체적으로 말해 IT와 경영과의 관계를 관리하고 연결 짓는 역할이다. 이들은 CRO처럼 리스크를 담당하는 책임자가 아니다. 주로 의사를 결정하고 이끄는 역할이지 세부적으로 리스크를 계산하고 제안하는 역할이 아니라는 것. 그런데 간혹 CPO에게 왜 CRO처럼 리스크에 대한 분석을 하지 않느냐는 이가 있다. 그러면 서로간의 갈등이 발생하는 것이다. 하지만 리스크라는 것이 말처럼 그리 단순한 게 아니다. 종류만 해도 시장리스크, 운영리스크, 신용리스크, 기업리스크 등으로 다양하다. 그나마 그런 것들은 오랫동안 연구되어 왔고, 그래서 여러 가지 관리 및 대처법들이 세상에 나와 있지만 정보와 관련된 리스크 관리와 운영은 아직도 낯선 분야다. “대부분의 CRO들은 정보 관련 리스크의 경우 제대로 정립된 이론이나 방법론이 없어 파악하고 이해하기 힘든 면이 많다고 하소연하고 있다”라고 IP Architects사의 존 피론티(John Pironti) 회장이 말했다. 그러나 요즘 환경에서 리스크 때문에 데이터를 안 모을 수는 없다. 그래서 빅데이터 관리는 요즘 모든 기업이 기본적으로 수행하고 있는 분야가 될 수밖에 없다. “그렇기 때문에 CRO와 CSO의 공조가 시급하다”고 그는 설명했다. ■ 갈등: CISO-CIO의 상하관계 “가장 분위기가 살벌할 때는 CISO와 CIO의 상하관계로 인한 갈등이 나타날 때다”라고 피론티 회장이 말했다. “문제는 CISO가 CIO대비 직급이 낮은 경우가 많고 (해외에서는) 본연의 업무 외 조언을 하는 것이 참견이나 자칫 잘난 척으로 비춰질 수 있기 때문에 CISO가 CIO에게 위협이나 해킹 사고에 어떻게 해야 가장 효율적인지까지는 보고하지 않는다”라고 덧붙였다.
문제를 파악까지는 하지만 그에 대한 능동적인 해결을 CISO가 할 수 없는 구조로 많은 기업들이 운영되고 있다는 것이다. 그런데 막상 대형 유출사고가 발생하면 그에 대한 책임은 모두 CISO가 지고 있으니, 둘 사이의 갈등의 골은 깊어질 수밖에 없는 상황이다. 이를 그나마 원만히 해결하기 위해서는 CISO의 직속상관을 CIO가 아닌 CEO, CFO, CRO로 재설립하는 것으로 분석하고 있다. ■ 갈등: 수집된 정보의 행방 C패밀리 가운데 유독 바쁜 이는 ‘CPO(Chief Privacy Officer, 프라이버시관리책임자)’다. 요즘은 어딜 가나 사방에서 개인정보를 수집해대고 있기 때문이다. 온라인 오프라인을 망라하고 다양한 분야에서 개인정보를 요구하고 있는 모습이다. “그런데 정작 이렇게 수집된 정보가 어디 있는지 아는 이가 없어서 관리할 수가 없다”라고 스트레이트 정보보안책임자는 말했다. “수집된 정보는 개인정보보호법에 의거해 모두 암호화시켜 보관하라 하는데, 말이 쉽지 암호화와 복호화는 예산이 요구되는 작업이기에 쉽게 적용할 수 있는 게 아니다.” 개인정보는 보호해야 해, 그런데 막무가내로 개인정보가 수집되는 환경에서 이는 불가능에 가까워, 그래서 내놓은 해결책이란 게 암호환데 이 역시 현장에서 그대로 적용하는 게 어렵다 보니 정보 보안이라는 사안 자체가 붕 떠버렸고, 사고에 대한 책임소재마저 불분명하게 되어버렸다.
■ 갈등: 불평등한 관계 속에서의 소외되는 CPO와 CSO “보안을 빼놓고는 프라이버시를 논할 수 없다”라고 제이슨 스트레이트 정보보안 책임자가 말했다. “그러나 프라이버시 없어도 단단한 보안 프로그램을 가질 수는 있다. 이는 모두들 알고 있는 사실이다.” 때문에 보안부서가 훌륭한 데이터베이스를 구축했다하더라도 프라이버시 최고책임자인 CPO는 소외되는 경우가 있다. 소외되는 건 CPO만이 아니다. “보안 사안을 첫 번째로 고려하는 곳은 없다. 보통 잘해야 두 번째로 다뤄지는 사안이다”라고 스트레이트 정보보안 책임자가 말했다. 즉 CSO 또한 우선순위에서는 여간해서 떠오르지 않는 인물이라는 것. 또한 그는 “많은 업무 환경에서 프라이버시는 고려 대상 자체가 아니다”라고 덧붙였다.
■ 사이버 보험에 거는 기대 정보가 유출될까 말까를 걱정할 시간에 ‘책임소재’에 대한 궁리를 해 볼 필요가 있다. 사실 현실적으로 정보 유출은 어떻게든 될 터인데 유출 사건이 터지면 누군가는 책임을 져야 하기 때문이다. 그래서 최근 등장한 것이 바로 ‘사이버 보험’이다. 그런데 이에 대한 법적 효력이 어떻게 작용하고 있는 지에 대한 내용은 우리 모두에게 낯설게 느껴진다. 아직까지 사이버 보험에 대한 명확한 정답을 아는 이가 아무도 없다는 것이다. “CPO, CRO, CSO 등 소외 받고 있는 모든 C패밀리들은 사이버 보험과 개인정보보보호의 법적책임에 대해 지대한 관심을 보이고 있다. 최종 결과에 대한 부당할 수 있는 책임을 돌릴 누군가가 생기는 것이기 때문이다. 소외받는 이들의 마지막 희망처라고 볼 수 있다. 우습지만, 이런 공통의 기대감 때문에 사이버 보험이 생기고 있다는 것만으로 업계에 긍정적인 효과를 주고 있다”라고 스트레이트 정보보호 책임자는 말했다.
“그러나 사이버 보험에 거는 이 소외 계층(?)의 바람이 꺾인다면, 아마도 대외적인 업무를 책임지고 있는 마케팅 최고 담당자가 다음 십자가를 지지 않을까 한다.” C로 시작하고 있는 높으신 분들 사이의 관계 지형도가 정립되어 가는 과정이 정보를 다루는 산업 자체의 축소판 같다. @DARKReading [국제부 주소형 기자(sochu@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
