Home > 전체기사
CISO와 DPO의 역할, 어떻게 나누고 정해야 하나
  |  입력 : 2019-03-03 23:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR에 따라 DPO 고용했더니, CISO와 충돌하는 사태 벌어져
교통 정리 필요한 때, 고려할 것은 프라이버시와 보안 함께 가는 미래


[보안뉴스 문가용 기자] 머신러닝과 빅데이터 분석 기술이 발전함에 따라 데이터의 중요성은 그 어느 때보다 커지고 있다. 그래서 기업들은 데이터 수집과 활용에 혈안이 되어 있다. 그렇기 때문에 GDPR과 같은 강력한 규제가 등장해 데이터의 남용을 막고 있기도 하다.

[이미지 = iclickart]


GDPR의 규정 중에는 데이터 보호 책임자(DPO)라는 자리를 만들고 적임자를 세우도록 하는 항목이 있다. 최근 보안 업계에서는 이 DPO 고용이 화두가 되고 있고, 가뜩이나 인재 찾기가 어려운 산업인지라 대단한 어려움으로 자리를 잡아가고 있다(물론 모든 기업들이 DPO를 고용해야 하는 건 아니다).

그런데 이 DPO들이 일반적인 보안 조직에서 어느 위치에 있어야 하는지가 애매한 문제로서 다시 떠오르고 있다. CISO보다 위에 있어야 할까, 아니면 아래에 있어야 할까? 아니면 보안과는 별개의 독립적인 조직의 수장이 되어야 할까?

현재까지 기업들은 대부분 최고 경영진을 직속 상사로 모시는 위치에 DPO를 두고 있다. GDPR을 비롯한 각종 프라이버시 보호 규정 및 법안과 관련된 사안들을 조사하고 파악해 CISO를 거치지 않고 곧바로 경영진들에 보고하는 책임을 갖고 있는 것이다. 이것이 DPO의 이상적인 역할인 것은 아니다. 다만 현재 DPO라는 직무가 이런 식으로 활용되고 있다는 것이다.

그렇기 때문에 기업들은 GDPR과 각종 프라이버시 이슈 및 규정들을 잘 아는 사람들을 DPO로 채용하고 있다. 그리고 이 방향이 아직까지는 틀리지 않는 것으로 보인다. 그러나 모든 일들이 순조롭게 만은 흘러가지 않는 듯하다. 특히 다음과 같은 부분에서 어려움들이 속출하고 있다.

1) 조직의 보안은 CISO가 책임을 진다. CISO는 조직 전체를 보호하기 위해 규정과 정책에 대한 감독권도 가지고 있다. 프라이버시 문제는 DPO가 전담한다. 그런데 프라이버시 문제는 여태까지 법 전문가들이 담당했던 것이었다. 즉, 새로 들어온 DPO도 법 전문가들과 함께 일을 해야 한다는 것인데, 법 전문가들 대부분 신기술에는 문외한이다. DPO가 기업 내에서 사용되는 여러 가지 기술적인 내용을 파악하기가 힘이 들고, 그래서 규정을 적용하고 검토하는 부분에 있어서 ‘뜬구름’을 잡게 된다.

2) 법 분야는 예전부터 ‘변화’가 강점인 곳은 아니었다. 오히려 매우 보수적인 편에 속한다. 프라이버시 문제는 항상 이러한 법 전문가들이 전문으로 하는 분야였다. 사업을 진행함에 있어서 그리 크게 고려되는 요소도 아니었다. 그러나 프라이버시의 보호를 중요시 하는 GDPR과 같은 새 규정들이 등장함에 따라 기업의 관심이 프라이버시에 쏠리게 되었다. 따라서 DPO의 역할과 책임도 커지게 되었다. 그래서 DPO가 구매 권한을 갖게 되는 경우도 생겼는데, 이 때 CISO와 충돌이 일어나기도 한다.

이런 충돌은 뭘 뜻하는 것일까? 프라이버시 문제가 ‘특정 분야에서만 다루는 고립된 영역’이 아니라는 것이다. 이제 전 세계적으로 프라이버시를 관리해야 하는 때다. 법 전문가들만의 것도 아니고, 보안에서만 관리해야 하는 것도 아니다. 그렇다는 건 프라이버시 문제를 다른 영역으로도 연결시켜줘야 한다는 것이다. 누군가 다리가 돼주어야 한다. 법률적이고 기술적인 측면 모두에서 프라이버시를 논할 수 있는 사람이 필요하다.

그래서 등장하기 시작한 게 프라이버시 옵스(Privacy Ops)다. 개발의 모든 과정에 보안을 접목시키는 데브섹옵스(DevSecOps)와 마찬가지로, 프라이버시 전문가들이 서비스 및 소프트웨어 개발 과정에 참여하는 것을 말한다. 그러려면 데이터의 생애주기를 이해하고, 그러한 데이터가 단계별로 어떤 보호 조치를 받아야 하는지도 알고 있어야 한다. 데이터가 유통되고 처리되는 파이프라인도 꿰고 있어야 한다.

또한, 프라이버시 옵스라는 개념 안에서 보안 팀과 프라이버시 팀이 합쳐지는 건 불가피한 일이 될 것이다. DPO들은 보안 전문가 팀의 경험과 지식을 활용해 프라이버시 보호를 위한 장치를 마련해야 한다. 그런 장치의 유지보수 및 관리 역시 프라이버시 팀과 보안 팀이 함께해야 하는 일이다. 반대로 보안 팀은 프라이버시 팀이 규정 문제를 담당해주는 것을 활용해 보안 관련 정책을 강화하고 도입시킬 수 있다. 그러면서 기업의 리스크 문제에 더 집중할 수 있게 되는 것이다.

그렇다면 문제는 다시 처음으로 돌아간다. DPO와 CISO는 어떤 관계에 있어야 할까? 지금 당장은 기업마다 상이하게 운영하고 있을 텐데, 프라이버시 문제와 보안 문제가 함께 다뤄져야 할 미래를 생각하고 결정해야 할 것이다. 아무튼 둘 다 놓칠 수 없는 토끼임은 분명하다.

글 : 아밋 아슈벨(Amit Ashbel), Cognigo
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제