늘어나는 정보보호최고책임자(CISO)…‘CISO 역할’에 관한 담론

정보보호최고책임자(CISO)를 지정·운영하고 있는 기업이 6500곳을 넘어섰다. 정보통신망법에 따라 일정기준 이상의 정보통신서비스제공자에 CISO 지정·신고제가 2014년 11월 의무화된 이후 미래창조과학부에 신고된 CISO 수다.

CISO 지정·신고제가 시행된 이후 정보보호를 책임지는 임원을 임명해 운영하는 기업들이 대폭 늘어나는 성과를 거둔 것으로 평가할 수 있다.

사이버위협이 갈수록 정교해지면서 정보보호와 보안관리 중요성이 커지고 있는 가운데, 조직에서 정보보호를 책임지는 CISO직이 늘어나는 것은 그 자체로 의미가 있다. 하지만 더욱 중요한 것은 법에 의해 지정된 CISO들이 역할을 제대로 수행하는 것이다.

CISO 지정·신고제도가 법규제로 인한 명목상 CISO를 늘리는 효과를 거두는 것에 그치지 않고 보다 실효성 있는 제도로 작동할지 여부도 여기에 달렸다.

현재 CISO를 운영하고 있는 기업들의 업종과 규모, 경영진의 정보보호에 대한 의지와 투자, 조직 문화 등에 따라 CISO와 관련조직의 업무와 활동에는 큰 편차가 존재한다고 평가된다. 제도를 운영하는 정부 역시 이를 고민하고 있는 낯빛이 드러난다. 현재 역할을 수행하고 있는 CISO들도 스스로 많은 고민을 하고 있다.

CISO workshop최근 미래창조과학부와 방송통신위원회가 한국인터넷진흥원 주관으로 개최한 ‘안전한 사이버 공간 한마음 축제’ 행사 일환으로 진행된 ‘2016 CISO 심포지움’의 주요 논의 주제가 CISO 역할에 초점이 맞춰진 것도 이같은 현실인식을 반영한 것으로 보인다.

CISO 역량, 보안·기술 전문성보단 리더십과 전략적 사고가 더 중요

송정수 미래부 정보보호정책관은 이날 “CISO 수의 증가도 중요하지만 역할이 더욱 중요하다”며 딜로이트컨설팅이 북미와 유럽지역 CISO를 대상으로 실시한 CISO가 갖춰야 할 역량에 관한 조사결과를 소개했다.

이 조사에서는 가장 중요한 CISO의 역량으로 리더십이, 그 다음으로는 전략적 사고, 비즈니스 지식, 리스크 관리, 의사소통 실력, 관계 관리 순으로 꼽혔다. 보안 전문성과 기술전문성은 가장 하위순위에 올랐다.

송정수 정보보호정책관은 “CISO 조직은 리스크 관리 조직으로 확대해야 한다. CISO는 기업의 리스크를 최소화하고 보안을 강화해 최고경영자(CEO)가 경영목표를 달성하는 것을 도와주는 역할을 수행해야 한다”는 점을 강조했다. 그는 CISO를 “삼국지에 나오는 제갈량처럼 미래를 꿰뚫는 지략가이자 신중한 원칙자로 역할 모델을 가져야할 필요가 있다”는 견해를 밝혔다.

“비즈니스 리스크 관리, 최소화하는 CEO의 핵심참모 역할 수행해야” 

CISO role model이어진 발표에서 김기홍 미래부 사무관 역시 “CISO는 사업 기회와 리스크관리를 모두 감안해 의사결정하는 조직의 CEO에 리스크를 관리하고 최소화하는 조언가이자 핵심참모 역할을 수행해야 한다”고 제시했다.

김 사무관은 “정부는 CISO 역량과 기업 정보보호 능력을 강화할 수 있도록 교육 프로그램과 네트워크 지원, 사이버위협정보 공유 등을 위해 노력하고 있다”고 소개하면서 CISO들이 정부의 지원제도를 적극 활용해줄 것을 주문하기도 했다.

CISO가 CISO들에게…장수 CISO의 경험에서 나온 교훈

현직 CISO가 생각하는, CISO의 주요 역할과 활동은 무엇일까? 인터넷업계의 국내 최장수 CISO로 꼽히는 이준호 네이버 CISO는 자신의 경험을 바탕으로 조직 내에서 인정받는 CISO가 되기 위한 방법을 이날 소개했다. CISO와 보안조직이 간과하고 있는 점도 꼬집었다.

발표에 앞서 이준호 CISO는 현재 ‘임원급 CISO’라는, 자연스럽지 않은 용어가 CISO 지정·신고제를 비롯해 널리 사용되는 것에 빗대어 CISO가 조직 내에서 역할을 수행하는데 있어 많은 애로사항이 있다는 점을 시사했다. ‘최고책임자(Chief)’라는 의미를 담은 다른 C레벨 직책인 CEO, 최고재무책임자(CFO) 등과는 달리 CISO는 대부분 고위임원이 아니라는 점에서다. 현실에서 대다수 기업 CISO의 직책은 ‘상무’다.

기업 내 임직원들의 정보보호 인식, 정보보호 예산과 인력이 부족한 상황에서 애매한 위치에 있는 CISO는 어떻게 자신의 역할과 업무를 수행하면서 자리를 잡아나가야 할까?

Naver ciso_Lee이준호 CISO는 가장 중요한 역할과 업무로 ‘소통’을 꼽았다. CEO를 비롯한 다른 임원들과의 소통, 직원들과의 소통이 잘 이뤄져야 한다는 것이다. 원활한 소통을 위해서는 상대방이 이해할 수 있도록 쉽게 말하는 것이 필요하다.

“전문 기술용어 말고 쉬운 용어 사용하라. ‘업’을 이해하는 것이 먼저”

“어려운 전문용어를 사용하지 말아야 한다. 전문용어를 사용한다고 설득력이 높아지는 것이 아니다. 누구나 이해할 수 있도록 쉬운 용어를 사용해야 한다.”

이 CISO는 임직원을 배려한 의사소통을 해야 한다고 지적했다. 예를 들어 경영진에게 “비정형데이터에 암호화를 적용하면 안전해진다”고 보고하지 말고 “스마트폰에 저장된 정보가 유출될 우려가 있는데 저장된 사진이나 동영상을 암호화하면 안전해진다”고 설명하라는 것이다.

두 번째로 이 CISO는 “보안 전문지식보다 기업이 수행하는 사업의 특성, 즉 ‘업’을 이해하는 것이 우선”이라며 “다양한 주변부서와 소통하면서 협업해야 한다”는 점을 강조했다.

보안만 앞세우지 말고 조직 전반의 업무 특성과 현황, 흐름을 파악하고 제품과 서비스 기획·개발·홍보·마케팅 부서 등과 잘 조율해야 한다는 얘기다. 단 “업무의 최종 마무리 단계, 병목구간을 반드시 보안팀에서 쥐고 있어야 한다”고 이 CISO는 조언했다. 그 사례로 “네이버는 신규 서비스가 개발돼 출시되기 전에 보안팀에 검사를 받게 한다”고 들면서 “만일 보안에 문제가 있으면 해당 서비스는 출시하지 못한다”고 설명했다.

“보호 대상, 중요도와 우선순위 식별·분류해 제시하라”

이와 함께 이 CISO는 “모든 것을 처음부터 끝까지 다 지키려 하지 말아야 하고 경영진에게 보안위협을 100% 완벽하게 막을 수 있다고 해서는 안된다”고 경고했다. 대신에 기업이 가진 자산을 중요도와 우선순위에 따라 보안등급을 분류해 가이드를 제시해야 한다고 제안했다.

“모든 것을 중요하다고 강조하다보면 오히려 어떤 것이 더욱 중요하고 보호해야 할 대상인지 알 수가 없다. CISO는 기업이 가진 업무자산을 식별해 우선순위별로 중요한 것을 구분할 수 있는 능력을 갖추고 있어야 한다. 이를 직원들에게 구분해 알려줘야 한다. 세상이 무너져도 반드시 지켜야할 2%를 설정하고 이는 반드시 지켜야 한다.”

“다양한 통섭형 인재 확보해야, 꾸준한 내부 정보보호 교육 중요”

보안담당자를 전산·보안 전공자만을 선발하려는 경향도 경계해야 한다고 지목했다. “보안조직이 해야 하는 일은 굉장히 다양하다. 이공계나 화이트해커만 보안조직에 존재한다면 제대로 업무를 수행할 수 없다. 전산, 보안 전공 보다는 인문학적 감성을 가진 통섭형 인재, 다양한 분야에서 폭넓은 식견을 가진 인재를 골고루 확보해야 한다.”

마지막으로 그는 직원들의 보안의식을 향상하기 위한 정보보호 교육의 중요성을 강조했다. 꾸준한 교육과 보안캠페인, 가이드 배포와 같은 활동이 내부에서 지속적으로 이뤄져야 한다는 것이다.

이 CISO는 “지능형지속위협(APT) 표적공격을 궁극적으로 막아낼 수 있는 솔루션은 없다. 결국 부족한 부분은 사람이 채워야 한다. 임직원의 보안 수준을 높여야 한다. 내부 교육은 내부에서 이뤄져야 하기 때문에 보안팀에 교육을 잘 할 수 있는 사람이 반드시 필요하다”고 강조했다.

발표를 마치면서 그는 “CISO는 폼 나는 자리가 아니다”라며 “근면하고 성실해야 하고 지구력과 인내심을 갖고 매일 꾸준히 보안관리 업무를 수행해야 한다”고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다