Home > Security
CISO는 CEO의 보안위험을 최소화하는 ‘경영의 동반자’다
  |  입력 : 2020-03-12 17:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
과기정통부와 KISA, 정보보호최고책임자(CISO)의 이해 돕고자 만들어
‘2019년 정보보호 최고책임자 대상 역량강화 교육 Basic 과정’ 내용 바탕으로 편집


[보안뉴스 원병철 기자] 기업에서 매출이나 영업이익 등 기업의 사업 목표를 달성해 나가는 조직이 공격수라고 한다면, 이 과정에서 발생할 수 있는 위험(리스크)을 관리해 나가는 조직은 수비수라고 할 수 있다. 예를 들면, 영업이나 마케팅, 상품과 서비스를 개발하거나 이들을 지원하는 IT 운영 조직을 공격수라고 한다면, 법무와 재무, 홍보와 보안 등은 위험을 관리하는 조직은 수비수라는 설명이다.

[사진=iclickart]


과학기술정보통신부와 한국인터넷진흥원은 정보보호최고책임자(CISO)의 이해를 돕고자 2019년 진행된 ‘2019년 정보보호 최고책임자 대상 역량강화 교육 Basic 과정’의 내용을 재편집한 ‘CISO 길라잡이-기본편’을 만들어 배포했다.

이 책자는 축구경기의 예를 들며 ‘수비’의 중요성을 강조하면서, 기업의 수비 역할을 하는 정보보호의 중요성을 재조명했다. 특히, 정보보호는 기업의 보안 위험을 관리한다면서, 보안위험은 크게 조직과 사업, 서비스에 내재하는 것도 있고, 임직원 개인에게 해당하는 위험도 있다고 설명했다. 이 두 가지 위험을 지속적으로 관리하고 최소화하여 기업이 지속적으로 성장하는 것을 지원하는 것이 정보보호 조직의 임무가 된다는 것. 아울러 한발 더 나아가서 정보보호가 고객가치를 창출할 수도 있다고도 설명한다. 고객가치가 보안인 보안제품을 제외하고 제품의 고객가치에 보안이 포함되는 경우는 많지 않았지만, 애플의 아이폰에서 휴대폰 자체의 사용자 인증과 결제에 지문인식기술을 활용하면서 보안이 전면적으로 안전하고 편리한 고객가치를 제공하는 사례가 되었다고 말했다.

또한, 이 책은 보안은 강력한 규제가 있는 분야라고 강조했다. 웬만한 오프라인 기업들도 사업을 위해 인터넷을 이용하고 있는데, 그런 기업들은 정보통신망법의 규제를 받고, 고객의 개인정보를 수집, 이용하면 정보통신망법의 개인정보보호 규정과 함께 개인정보 보호법의 규제를 받는다. 일정 이상의 개인정보를 보유하거나 정보통신서비스부문의 매출액이 발생하면 정보보호 및 개인정보보호 관리체계 인증을 취득해야 한다. 이를 준수하지 못했을 때 법규 위험이 발생하고, 보안이나 개인정보 문제가 사회적으로 드러나면 평판 위험이, 이를 통해 과징금이나 민사소송이 생기면 재무 위험이 발생한다. 경영 위험은 시장에서의 경쟁, 현금 흐름, 기술력 약화, 과도한 인수합병 등 여러 요인으로 발생하지만, 보안 위험 역시 경영 위험의 한 원인으로 떠올랐다.

이에 따라 보안 위험을 관리하는 정보보호 조직의 임무는 기업의 경영과 사업 측면에서 ‘조직과 사업의 보안위험을 최소화함으로써 기업의 지속적 성장을 지원하는 조직’ 그리고 ‘보안 관련 법규 위반으로 인한 동료의 보안위험을 최소화하는 조직’이라고 정의 내릴 수가 있다.

그리고 CISO의 임무 역시 기업경영과 사업의 측면에서 ‘조직과 사업의 보안위험을 최소화함으로써 기업의 지속적 성장을 지원하는 비즈니스 리더’이며, ‘최고경영진의 보안위험을 최소화하는 경영의 동반자’라고 정의했다.

아울러 이 책은 정보보호 업무가 CISO와 정보보호 조직이 수행하는 ‘정보보호 조직의 업무’와 각 부서에서 수행하는 ‘정보보호 업무’로 구분하고, 두 조직이 협업해 수행하는 전사 업무라고 강조했다. 또한, 정보보호 조직에서 전사적인 업무를 주도해 나가기 위해서 정보보호 인력에게 소통과 협업 역량이 필요하다는 점에 유의해야 한다고 조언했다.

최고경영층과 CISO의 의사소통에 대해서도 다뤘다. 책에서는 CISO가 최고경영층과의 의사소통에 노력해야 한다고 설명했다. 최고경영층은 경영목표와 그것을 달성하기 위한 사업전략, 그리고 그에 따른 경영 위험을 주요 아젠다로 갖고 있다. 정보보호 역시 그러한 틀에서 경영판단을 하게 되는데, 정보보호 영역의 보고서가 기술적인 사안으로 올라오는 경우가 적지 않다는 거다. 전사적으로 새로운 보안정책이나 보안시스템을 도입하려고 할 때 이를 매출, 영업이익, 법률, 고객, 트래픽 등 경영적 판단을 내릴 수 있는 방식으로 보고하지 않으면, 최고경영층을 이해시키기 어렵다. 또한, CISO 입장에서는 모든 보안 이슈가 다 중요하다고 판단할 수 있지만, 한정된 자원을 가지고 경영목표를 달성해 나가는 최고경영층 입장에서는 우선순위가 있어야 하는데, 그래야 CISO들이 최고경영층과의 의사소통이 원활해질 수 있다는 설명이다.

이렇게 ‘CISO 길라잡이’는 정보보호를 체계적으로 수행하기 위해서는 최고경영층이 주도하는 정보보호 거버넌스를 토대로 정보보호 조직과 비정보보호 조직이 협업해야 하며, CISO와 정보보호 조직 역시 이를 위해 소통과 협업에 적극적으로 나서야 한다고 강조한다.

이외에도 ‘CISO의 Awareness’와 ‘정보보호 규정 수립’, ‘직원들에 대한 인식 제고’ 등 섹션을 통해 CISO의 정의는 물론 CISO가 알아야 할 법률과 보안, 정보보호 규정과 직원의 정보보호 인식 등 다양한 내용이 담겨 있는 ‘CISO 길라잡이’는 ‘한국CISO협의회 홈페이지’와 ‘보안뉴스 시큐리티 콘텐츠’에서 내려 받을 수 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)