2020-10-01 10:35 (목)
CEO-CISO-이사회 등 기업내 계층별 사이버보안 역할은...
상태바
CEO-CISO-이사회 등 기업내 계층별 사이버보안 역할은...
  • 길민권 기자
  • 승인 2020.08.12 17:36
이 기사를 공유합니다

“CEO, 사이버보안의 궁극적 책임자로 CISO와 직접 소통 경로 확보해야”
내용 출처. 금융보안원 전자금융과 금융보안 제21호.
내용 출처. 금융보안원 전자금융과 금융보안 제21호.

카네기 국제평화재단(CEIP)에서 지난해 7월 사이버보안 역량이 낮은 소규모 금융회사가 참고할 수 있는 사이버보안 역량 강화 가이드를 발표한 바 있다. 이 가이드는 CISO 등 사이버보안 전문 인력 외에도 이사회, CEO 등 조직의 지배구조를 구성하고 있는 계층별 역할을 구체적으로 제시한 것이 특징이다.

이 내용은 ‘금융보안원 전자금융과 금융보안 제21호’에 게재된 내용으로, 일반 기업에서도 직급별로 사이버 보안 강화를 위해 참고할 만한 내용이다. 주요 내용은 다음과 같다.


◇이사회 가이드

이사회는 회사의 사이버 리스크 거버넌스 확립을 위해 △관련 법류 요구사항을 충족했는지 △사이버 보안 노출을 정량화하고 금융 레질리언스를 평가했는지 △보안 노출이 위험 수용 범위에 들어가도록 개선 계획을 마련했는지 △이사회는 경영진이 제공한 조직의 사이버 레질리언스 관련 정보에 대해 정기적으로 논의했는지 △이사회 포함 사고 대응 계획이 마련되어 있는지 △사이버 리스크 관리를 담당하는 주요 직원의 역할이 명확하며 3선 방어 기준에 적합한지 △조직의 사이버 리스크 상태에 대한 독립적 검증을 받았는지 명확히 체크해야 한다.

또 이사회는 사이버 리스크 및 레질리언스 감독에 대해 최종 책임을 지고, CISO 등 임원을 지정해 사이버 레질리언스 관리 현황을 보고하도록 하고 매년 기업 전략 및 위험 수용범위에 부합하는 위험수용한도를 정의해야 한다. 그리고 조직에 적합한 사이버 사이버 레질리언스 계획을 수립, 구현, 테스트, 지속적 개선이 수행되도록 감독해야 한다.

특히 이사회는 고위 경영진과 함께 조직의 핵심 가치, 리스크 문화 및 사이버 레질리언스에 대한 기대치를 설정하고 모범을 보여야 한다고 가이드했다.


◇CEO 가이드

“사이버보안의 궁극적 책임자로 CISO와 직접 소통 경로 확보해야”

CEO는 이사회와 함께 리스크에 대한 이해를 유지하고 조직의 사이버보안 활동 및 관련 직원에 대한 궁극적 책임을 져야 한다. CISO 및 기술 담당자와 협력해 조직의 사이버 리스크에 적합한 사이버 보안 전략 및 프레임워크를 설정하고 전 임직원에 대한 사이버 보안 역할과 책임, 접근권한을 식별해야 한다. 그리고 CISO와 직접 소통 경로를 확보해야 한다.

이를 통해 조직의 보안정책, 표준, 통제수단 및 시행 절차 등이 모든 경영 조직에 균일하게 적용되도록 해야 한다.

또 CEO는 지속적인 위험 기반 분석을 통해 수준 높은 사이버 보안 인식 및 준비도를 확보하고 조직의 사이버보안은 일회성 절차나 일부 직원의 업무가 아니라 모든 사업적 결정 및 운영 상 고려 요인이며 모든 직원이 지켜야 할 수칙임을 조직 문화에 형성 시킬 의무가 있다.


◇CISO 가이드

CISO는 조직을 보호하기 위해 △위험 기반 정보보호 프로그램 개발 △악성코드 피해 예방 △직원 보안교육 △데이터 보호 △기기 보안 △비밀번호 사용 △권한관리 △무선 네트워크·장비 보안 △피싱 예방에 집중해야 한다.

CERT와 ISAC 등의 정보를 수집해 직면할 수 있는 위협과 취약점을 관리하고 경영진과 함께 사이버 보안 전략 수립과 전 직원 대상 사이버 보안 교육을 철저히 해야 한다.

또 고객 보호를 위해 △계정 관리 △데이터 보호 △공개용 웹 애플리케이션 보호 △직원 교육 △고객안내를 확고히 해야 한다.

고객이 안전한 ID/PW를 사용하고 다른 계정과 동일 PW를 사용하지 않도록 요구하고 로그인 시 2팩터 인증 방법을 제공해야 한다. 최소한의 고객 정보만 수집하고 전송/저장 시 암호화는 필수다. 고객 데이터 보안 정책도 확립하고 공개용 웹 애플리케이션에 대한 모의해킹을 수시로 시행 해야 한다.

끝으로 제3자 연계 보호를 위해 △공급 업체 및 제3자의 시스템 정보 유출이 회사에 미칠 수 있는 영향을 기준으로 기관별 위험도를 책정하고 정기적인 사이버 보안 평가 계획을 수립해야 한다.

보다 상세한 내용은 금융보안원 전자금융과 금융보안 보고서를 참고하면 된다.

★정보보안 대표 미디어 데일리시큐!★