[포럼] 지금 CISO(정보보호최고책임자)에 요구되는 것

균형잡힌 시각으로 위험관리에 대한 전략적 사고와 효율적 적용 방안을
사전에 준비해야 기업경쟁력 높일수 있어

  •  
  • 입력: 2014-02-11 20:28
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리
최근 카드정보 유출 등으로 금융기관의 정보보호 노력이 부쩍 강화되고 있다. 인터넷과 모바일 등 비대면 채널이 금융 거래의 90%를 차지하는 비즈니스 환경과 계속되는 정보보호 관련 사건ㆍ사고로 인해 일반 국민들의 불안감이 최고조에 달했기 때문이다. 특히 정보보호최고책임자(CISO) 도입이 급물살을 탈 것으로 보인다.

90년대 초반 기업의 정보보호는 `IT조직'의 한 업무영역으로 시작되었고, `기술기반' 중심의 업무로 이어져 온 것이 사실이다. 하지만 현재의 변화된 경영ㆍ법률 환경을 충분히 반영하기 위해서는 위상의 변화가 필요하다.

이제 정보보호는 IT를 넘어서 최고경영진과 이사회가 관심을 가지는 기업의 주요한 위험관리 주제가 되었고, 관련 위험이 경제적으로나 기업 브랜드 이미지에 주는 영향이 과거와는 비교할 수 없을 정도로 켜졌기 때문에 정보보호를 전사차원에서 위험관리 전략의 통합적인 관점에서 바라봐야 하는 시기가 되었다.

다만 실질적인 위험관리가 시급한 기업에게는 CISO 포지션 그 자체가 주는 의미보다는 누가 CISO가 되느냐가 매우 중요하다. 어떤 경험과 역량을 가져야 하며 앞으로 어떤 역할을 수행해야 하는 것이 적절한 지에 대한 의문이 1세대 CISO를 새로운 임원으로 받아들여야 하는 기업들의 숙제라고 할 수 있다.

첫째, CISO의 가장 중요한 역량은 의외로 의사소통이다. CISO의 가장 중요하고 기본적인 책임은 최고경영진과 현업 리더들에게 정보보호가 어떻게 그들을 도울 수 있는지 설명 할 수 있어야 하고, 기술/전문가팀에게는 어느 정도의 정보보호 수준이 기업에 충분한 것인지 이해시켜야 하며, 최종 사용자들에게 그들의 책임을 알도록 효과적인 의사소통 방안을 모색하는 것이다.

따라서 CISO는 기업내의 다양한 관련자와 계층들이 이해할 수 있는 공통언어(Common language)를 개발해야 할 필요가 있다.

실제로 최근에 CISO를 대상으로 실시한 글로벌 리서치에 의하면 CISO가 가져야 할 가장 중요한 역량으로 리더쉽(35%), 의사소통 및 관계관리(25%), 비즈니스 이해(20%)의 순이로 나타났으며, 정보보호기술에 대한 전문성은 10%에 불과했다.

둘째, CISO는 기술우월주의(Techno-machismo)의 산물이 되어서는 안 된다. 정보보호 분야에서 기술기반 구조나 관련 정보보호 요소 기술에 대한 이해나 적용이 여전히 중요한 것은 사실이다. 그러나, 기술과 비즈니스가 고도로 융합되어 훨씬 복잡해진 기업환경에서 최고경영진들이 CISO에게 원하는 것은 특정 사건이나 법규에 대응하기 위해 반사적으로 급조된 정보보호 기술투자 계획이나 인증 획득 계획 등이 아니다.

최고 경영진은 균형잡힌 시각의 비즈니스 케이스와 위험관리 관점의 전략적 사고, 지금까지와는 다른 혁신적인 정보보호 전략 그리고 결국 기업의 비즈니스 가치를 어떻게 보호 할 것인지에 대한 궁극적인 대답을 기대하고 있다

결국 CISO는 단순히 IT보안 프로젝트과 인력을 관리하는 전통적인 역할보다는 기업 현장에서 최대의 효과성과 효율성을 달성할 수 있도록 도와야 하고, 요구되는 법규나 표준이 기업에 쉽게 적용 될 수 있는 방안을 모색하고, 비즈니스 어플리케이션에 가치를 더하는 역할이 요구된다.

마지막으로 현재의 트렌드를 반영한 주요한 역할의 수행이 필요하다. 지난 몇 년간 그랬던 것처럼 향후 에도 당분간 정보보호 위험의 핵심 화두는 개인정보보호가 될 것이다. 따라서 CISO는 기업내에서 개인정보보호와 관련된 챔피언이 되어야 한다. 국내외적으로 정부가 적극적으로 개입하여 개인정보 보호에 대한 강력한 대응을 하고 있다. 방통위는 매출액의 1%를 과징금으로 부과하는 내용의 정보통신망법 개정을 추진하고 있고, 유럽도 글로벌 매출액의 2%를 과징금으로 부과하는 개정안을 논의 중에 있다. 이는 기업들에게 큰 부담이 아닐 수 없으며, 자연스럽게 최고 경영진과 이사회는 이에 가장 큰 관심을 가지게 될 것이다.

CISO는 개인정보보호에 대해서 법률에 준거하는 수비적 자세 보다는 이를 기업 경쟁력을 끌어 올리는 공격적인 전략을 세울 필요가 있다.

아울러 정보보호를 포함하여 IT 컴플라이언스 등 IT 위험을 포괄적으로 CISO가 관리하는 조직구조가 필요하다. CIO들은 경영전략과 연계된 IT 시스템을 갖추는데 역량을 쏟아 붓고 있고, 이에 따라 컴플라이언스에 대해 부분적인 책임만을 가지고 있는 경향이 있다. 더욱 복잡해진 IT 컴플라이언스 환경에 대하여 이를 합리적으로 통합하고 집중적으로 관리하는 것이 CISO의 중요한 역할이 되어야 한다.

송기정 딜로이트 안진회계법인 상무

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사