[알아봅시다] 정보보호최고책임자의 역할

입력: 2013-12-10 20:32 강은성 기자

폰트

올해 웬만한 기업에는 새로운 `임원'자리가 하나씩 생겼습니다. `정보보호최고책임자(CISO)'라는 자리가 바로 그 것인데요. 정부는 다양한 법률을 통해 기업이 임원급 정보보호 책임자를 두도록 의무화하고 있습니다.

통신사와 인터넷포털 업계는 지난 2월부터 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 따라 CISO를 선임했습니다. 얼마 전인 11월27일에는 금융위원회가 전자금융거래법에 근거해 총자산이 2조원 이상이고 상시 종업원수가 300명 이상인 금융회사에 대해 CISO를 최고정보책임자(CIO)와는 별도로 두도록 의무화했습니다.

정보통신기반보호법에 따라 주요 공공기관과 국민에게 중요한 영향을 미치는 민간기업도 CISO를 임원급으로 임명해야 합니다.

정부가 기업에게 특정 자리를 지정해 `꼭 임명하라'고 강조하는 이유는 정보보호가 그만큼 중요한 사안이 됐기 때문입니다.

그동안 정부는 각종 정보보호 관련 법률을 통해 보안관련 기술을 기업이 도입하도록 강제해왔습니다. 그만큼 기업들이 보안에 있어서는 `우선순위'를 미뤄두고 있었기 때문이기도 하지요.

하지만 최근 일어나는 `테러' 수준의 해킹 공격은 보안이 아닌, `국가 안보'를 위협받는 수준에 도달하고 있습니다. 꼭 정부에 대한 사이버테러가 아니더라도 어떤 기업이 심각한 사이버 공격을 받는다면 이는 국가와 시민사회 전체에 심각한 영향을 미치는 수준이 됐다는 것입니다.

예를 들어 A 통신사의 망이 사이버공격을 받는다면 통신망 마비로 이용자들이 큰 불편을 겪을 것이고, B 포털이 해킹을 당해 서버가 마비된다면 국민 생활에 막대한 영향을 미치고 있는 인터넷 서비스가 당장 중단될 것입니다.

뿐만 아니라 은행이 해커에게 공격받는다면 국가 경제에 심각한 타격을 미칠 수 있고 지하철이나 전력관리기업이 사이버위협에 노출되면 생활이 불가능할 정도의 불편을 겪을 수 있습니다.

때문에 정부는 더이상 법률로 특정 기술, 특정 방어를 명령하지 않는다는 방침입니다. 대신 기업마다 정보보호를 `책임'지고 수행할 CISO를 두도록 해 기업이 자발적으로 고민하고 스스로 방어해나가도록 유도하겠다는 것입니다.
정보통신망법에 명기된 CISO의 의무를 보면 "정보통신서비스 사업자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위해 임원급의 정보보호 최고책임자를 지정하고, △정보보호관리체계의 수립 및 관리ㆍ운영 △정보보호 취약점 분석ㆍ평가 및 개선 △침해사고의 예방 및 대응 △사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 △정보보호 사전 보안성 검토 등을 수행해야 한다"고 나와있습니다.

CISO가 해야 하는 역할은 단순히 보안시스템을 구축, 관리하는 일개 부서가 아니라, 기업이나 기관 전체의 `안전'을 책임지는 사람이 되어야 한다는 의미입니다.

송기정 딜로이트안진회계법인 상무는 "보안 담당자가 과거에는 IT부서의 일부로 인식됐지만 이제는 기업의 위협요소를 관리하는 `경영진'으로 격상했다고 볼 수 있다"고 설명합니다.

아울러 송 상무는 CISO들이 해야 할 역할에 대해 "전사적 위험관리(Enterprise Risk Management)와 비즈니스를 이해하고 소통(communication)할 수 있는 위험관리 전략가가 되어야 한다"면서 "정보보안 관리(Security oversight) 정보위험 관리(Information risk) 정보보안 아키텍쳐 및 엔지니어링(Security architecture and engineering) 정보보안 운영(Security operations) 등 전반을 수행해야 한다"고 조언했습니다.

강은성기자 esther@

도움말: 안진회계법인

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

[알아봅시다] 정보보호최고책임자의 역할

이 시간 핫클릭

핫 이슈!