• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

CEO는 정보보안의 최종책임자, ‘보안경영’ 필수 2016.11.29

CEO가 반드시 알아야할 경영보안 가이드 살펴보니...

[보안뉴스 원병철 기자] 기업의 보안책임자 혹은 보안담당자가 보안업무를 추진하면서 가장 어려움을 겪는 것은 어떤 것일까? 각 기업과 담당자에 따라 다르긴 하겠지만 공통적으로 꼽는 것 중 하나가 바로 CEO 혹은 경영진에게 보안업무를 이해시키는 것이다. 흔히들 보안사고가 일어나기 전에는 보안을 ‘투자’로만 여기고, 보안사고가 일어나면 보안책임자에게 책임을 떠넘기기에 급급하기 때문에 정상적인 보안업무를 진행할 수 없기 때문이다.

이러한 가운데 금융보안원에서 발간한 ‘금융회사 경영자를 위한 정보보안 경영 가이드’는 더욱 새겨야 할 내용이 많다. ‘금융회사 경영자를 위한’ 가이드라고는 하지만, 그 내용은 업종과 상관없는 공통적인 내용이 담겨 있는데, 정보보안 경영을 위한 3대 원칙과 CISO에게 지시해야 하는 10대 핵심사항이 그것이다. 즉, 이 가이드는 기업의 CEO 혹은 경영자가 반드시 숙지하고, 보안책임자에게 지시해야할 보안업무를 설명하고 있다. 비록 ‘지시’라고 쓰여 있지만, 실제로는 CEO 혹은 경영자가 반드시 알아야할 보안경영 가이드라고 할 수 있다.


CEO, 정보보안의 최종 책임자란 자각 필요
정보보안 경영을 위한 3대 원칙 첫 번째는 ‘정보보안 문제는 전사적 경영 리스크의 일부분이다’라는 것으로 최고경영자는 정보보안 문제가 경영 리스크임을 이해하고, 내부통제 체계 및 리스크 관리 대상에 포함해야 한다는 내용을 담고 있다. 두 번째는 ‘정보보안의 최종 책임자는 최고경영자를 포함한 경영진’이라는 것으로, 최고경영자가 경영진과 CISO 혹은 보안조직에 정보보안 역할을 위임할 때, 충분한 권한과 적절한 업무 환경을 제공해야 한다는 내용을 담았다. 마지막은 ‘정보보안에 있어서 최고 경영자의 역할은 리더십을 갖고 적극적으로 지시하는 것’으로 최고경영자가 수동적인 승인자가 아닌 CISO에게 적극적으로 지시하고 추진실적을 확인·평가해야 한다고 강조했다.

‘CISO에게 지시해야 하는 10대 핵심사항’은 3대 원칙보다 좀 더 자세한 실천사항을 담았다. 첫 번째 ‘정보보안 문제를 전사적 경영 리스크 관점에서 보고할 것’이라는 항목은 최고경영자의 경영 용어와 CISO의 보안 용어의 차이에서 오는 소통 문제를 담고 있다. 즉, CISO가 보안상 문제를 CEO에게 보고할 때, 전문가들만 알아들을 수 있는 전문용어가 아닌 CEO가 이해할 수 있는 용어, 더 나아가 경영상의 용어로 보고해야 한다는 것이다.

두 번째와 세 번째는 ‘보안전략’의 수립과 ‘정보보호 위원회’를 통해 이해관계를 조율해야 한다는 내용을 담고 있다. 즉, 최고경영자는 CISO가 정보보안 전략을 수립하도록 지시하고, 결과를 경영진 회의를 통해 모두와 나눠야 하며, 정기적인 정보보호위원회에서 다른 부서 임직원들과 의사소통을 할 수 있도록 해야 한다. 전시적 정보보안 리스크를 식별하고 위험도를 평가하기 위해서는 꼭 필요한 일이라 할 수 있다. 여섯 번째 항목에서 ‘정보보안 리스크를 철저하게 조사하여, 대응 계획을 수립할 것’ 역시 이러한 내용을 담고 있다.

보안대책 잘 갖춰도 임직원의 보안의식 미흡하면 무용지물
네 번째 ‘계열사, 협력업체를 포함한 전사적 보안대책을 수립·시행할 것’이라는 내용 역시 CEO가 주목해야할 점이다. 일반적으로 계열사나 협력업체들은 업무상 본사의 내부에 출입하며 중요 정보 혹은 자산에 접근할 때가 있다. 때문에 본사뿐만 아니라 계열사와 협력업체까지 전사적인 보안대책을 시행해야 안전하다고 할 수 있다. 이를 위해 정보보안에 대한 투자와 인력양성을 아끼지 말아야 하며, 이러한 내용이 다섯 번째 ‘회사에 적정한 정보보안 투자 및 인력양성 계획을 수립할 것’이라는 항목에도 포함돼 있다.

일곱 번째와 여덟 번째는 CISO가 아닌 일반 임직원들에 대한 정보보안 법규 준수사항을 수립하고, 보안의식을 제고하는 한편, 정보보안 문화를 형성할 것을 강조하고 있다. 아무리 CISO가 있고 기술적 보호대책이 있다할지라도, 보안에 대한 임직원의 동참이 없고, 정보보안 법규가 갖춰져 있지 않다면 또 다른 사고가 날 수 있다고 가이드는 설명하고 있다.

마지막 아홉 번째와 열 번째는 구체적인 보안체계를 갖추고, 이를 바탕으로 구체적인 훈련을 진행해야 한다고 설명한다. 위기발생시 신속한 대응으로 피해를 최소화할 수 있도록 ‘정기훈련’이 이루어저야 한다고 조언하고 있으며, 외부의 전문기관과 정보공유 및 협력체계를 갖춰 대응할 것을 안내하고 있다.

정보보안 경영을 위한 3대 원칙과 CISO에게 지시해야 하는 10대 핵심사항은 보다 구체적인 내용을 담고 있으면서도 최고경영자가 해야 할 일을 제시하고 있다. 특히, CISO 역시 경영진의 일원으로, 경영보안 측면에서 최고경영자에게 지속적으로 어필할 것을 강조하고 있어 보다 실질적인 도움이 될 것으로 보인다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>