“한마디로 정의하면 CISO는 비즈니스 리더다. 보안위협은 이제 기업 비즈니스의 위협이 됐다. 특히 C레밸 임원들의 직책을 보호해 줄 수 있는 자리다. 최근 보안사고로 C레밸 임원들이 회사를 그만둬야 하는 사례들을 보면 알 수 있다. CISO는 경영의 동반자이며 기업의 리스크를 줄여주는 비즈니스 리더의 역할을 하고 있으며 그렇게 되기 위해 노력해야 한다.” -강은성 CISO Lab 대표-
 
강은성 CISO Lab 대표(사진)는 17일 개최된 2015 정보보보호최고책임자(CISO) 워크숍에서 ‘금융, 제조, IT, 쇼핑몰 부문 CISO 운영사례’ 발표에서 이 같이 강조했다.

 
강은성 대표는 CISO는 비즈니스 리더임을 강조하며 “CISO는 회사와 사업의 보안위험을 최소화함으로써 기업의 지속적 성장을 지원하는 역할을 한다. 그리고 CxO의 직책 위험을 최소화하는 경영의 동반자”라며 “CISO의 주요 업무는 정보보호 거버넌스 수립, 위험관리, 사고관리, 규제대응 등의 역할을 맡고 있다. 이러한 CISO의 정보보호 목표는 경영 목표와 연계되고 일치되어야 한다”고 말했다.
 
한편 사례를 통해 CISO의 역할에 따라 업무 역량이 달라질 수 있다는 것을 설명했다.
 
우선 CIO가 IT와 정보보호를 겸직할 경우, 장점은 IT와 보안 협업이 가능하며 보안 역량이 약할 때 적합하다. 단점은 보안우선 순위가 저하될 수 있으며 비IT조직과의 협업이 어렵다는 점이다. 이때는 CIO의 확고한 보안의식이 필요하다.
 
강 대표는 “CIO가 IT와 정보보호 업무를 겸직하는 경우 IT는 효율적으로 회사를 경영하는 것이 목표이며 정보보호는 리스크를 관리하는 역할을 한다. 하지만 이 둘의 충돌사안이 발생했을 때 CIO는 IT 입장에서 조정하게 된다. CIO와 CISO가 분리되어야 한다는 정책도 이런 상황 때문에 나온 것”이라고 말했다.
 
또 다른 사례로 CIO는 IT 조직을 맡고 별도로 CISO가 CFO 밑에 있는 경우다. CISO가 CIO와 분리돼 정보보호를 책임지는 구조다. 이때 장점은 어느 정도 비IT 조직에 대한 대응과 IT조직과의 협업이 가능하다. 단점은 컴플라이언스 중심이 될 수 있다는 점이며 고려사항은 CFO/감사를 지원할 수 있는 역량이 필요하다.
 
마지막으로 CEO 직속으로 CIO와 CISO가 분리된 구조다. 이때 장점은 비IT조직 대응력과 IT조직과의 협업이 가장 원활하게 이루어질 수 있다. 단점으로는 CEO가 다른 일로 바빠질 때 정보보호 조직이 어려워질 수 있다는 점이다. 고려사항으로는 임원급 CISO가 필수적이며 정보보호 조직이 CEO 아젠더를 지원하고 독자 수행 역량을 갖추는 것이 필수적이다.
 
이에 강 대표는 “CISO가 CEO 직속일 경우 힘을 받게 된다. 하지만 CISO의 역할과 권한 그리고 조직 규모를 보장받지 못하면 타 임원들로부터 공격(?)을 받을 수 있어 힘들어질 수 있다”고 설명했다.
 
특히 그는 모 기업 사례를 들며 “CISO 조직에게 적발된 보안 위반 사항이 누적되면 해당 직원의 부서장에게 불이익을 가게 하고 일을 못한 직원에게는 기회를 다시 주지만 내부 컴플라이언스를 어기는 직원에게는 더 이상 기회를 주지 않는다. 이런 경우 강력한 보안문화를 형성하는데 도움이 된다”고 말했다.
 
그는 CISO의 역할중 ‘보안문화 형성’을 가장 중요한 사안이라고 강조하며 정보보호 거버넌스 기반 위에 교육, 모의훈련, 캠페인, 시스템, 제도 등이 지속적으로 활동해야 한다고 강조했다.
 
마지막으로 강 대표는 “CISO가 맡은 일은 한 기업의 정보보호에 국한 된 것이 아니라 우리 사회 전반의 정보보호 역량을 강화하는 역할을 하고 있는 것이다. 기업의 보안수준을 높임으로써 국민의 생명과 재산을 보호하는 사회적 리더들이며 기업의 비즈니스 리더”라며 “그런 의미에서 정부는 CISO 지원에 나서야 한다. CISO 관련 법만 만들 것이 아니라 실질적으로 역량을 발휘할 수 있도록 지원해 줘야 한다”고 덧붙였다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com