실시간 뉴스



[강은성의 CISO 스토리]CEO가 알아야 할 정보보안


한 CISO와 이야기를 나누다가 정보보호책임자가 볼 만한 책을 쓰고 있다고 하니 그것도 좋지만, CEO가 알아야 할 정보보안에 관해 써 줬으면 좋겠다는 말을 들었다. 많은 정보보호최고책임자(CISO)나 개인정보보호(관리)책임자(CPO)들이 공감하실 것 같다. CEO의 적극적인 지원 없이 CISO나 CPO가 정보보호를 해 나가기는 어렵기 때문이다.

올해 카드사 사태를 통해 개인정보 유출사고가 한두 개의 사업 차원을 넘어 회사 전체에 영향을 미치는 리스크임을 실감하게 되었다. 사고 대응과 수습, 영업 정지로 인한 단기적인 경제적 손실뿐 아니라 한 기업 당 수십 건에 이르는 민사소송에 대한 부담, 기업의 브랜드 가치와 고객의 신뢰 훼손으로 인한 시장에서의 경쟁력 약화로 이어질 수 있기 때문이다. 그것에 대응하면서 잃은 기회비용까지 포함하면 기업에 미친 유무형의 손실은 매우 크다. 게다가 카드 3사와 범인이 속한 회사의 CEO 등 모두 4명의 CEO가 물러나면서 정보보안 리스크가 CEO의 직책 리스크로까지 번졌다.

카드사 사태에서 나타난 CEO의 직책 리스크는 규제가 강력한 금융부문의 특성 때문이라고 많이들 생각했다. 그런데 지난 8월7일에 시행된 개인정보보호법을 보면 앞으로 이게 단지 금융부문만의 문제는 아닐 것으로 보인다. 기업에게는 주민번호 처리 제한 조항 못지 않게 심각한 조항이다.

"안전행정부장관은 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때에는 책임이 있는 자(대표자 및 책임있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자(사업자)에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 안전행정부장관에게 통보하여야 한다.” (개인정보보호법 제65조 2항)

“개인정보관련 법 위반시 CEO 등에 대한 해임 등 징계권고 대상 확대 (개인정보보호법, 신용정보법 → 정보통신망법까지 확대)” (7.31 정부 관계부처 합동으로 발표한 ‘개인정보보호 정상화 대책’ 중)

지금도 개인정보 유출사고가 발생하면 규제기관이 기업의 법 위반 행위에 관해 조사하기 때문에 “위반 행위가 있다고 인정될 만한 상당한 이유가 있을 때” CEO나 CPO의 징계를 권고하는 일은 현실화 될 가능성이 다분하다. 특히 정부가 ‘개인정보보호 정상화 대책’에서 CEO의 해임권고를 할 수 있는 근거로 금융부문의 신용정보법과 개인정보보호법을 적시하고 향후 더 확대하겠다고 밝힌 것은 의미심장하다.

이제까지 CEO는 보안투자의 승인, 정보보호조직 증원 등을 통해 회사의 정보보안에 관여해 왔다. 인력도 늘리고 투자도 승인해 줬는데, 성과가 안 보이는 건 불만이었다. 여기 저기 큰 사고가 터지는데, 우리 회사에 나지 않은 걸 성과라고 하기에는 뭔가 불안하지만, 세부 내용을 들어도 이해하기 어렵고, 매번 문제가 있다는 보고를 듣는 것도 그리 달갑지 않았다. 성과 보고가 없다고 굳이 보고시키지 않은 이유 중 하나다.

이제 회사 차원의 리스크이자 CEO의 직책 리스크로 떠 오른 정보보안 위험을 대응하기 위해서는 과거의 관여 방식을 넘어서야 한다. 무엇보다도 먼저 전사적인 정보보호 거버넌스 체계를 구축해야 한다. 거버넌스의 출발은 이사회와 CEO의 주도성이다. 이사회와 CEO의 의제화, (책임과 권한을 갖는) 임원급 정보보호책임자의 임명, CEO가 주관하는 정보보호 경영위원회의 운영 등 거버넌스의 틀을 갖춘 뒤, 주요 보안점검 결과를 임원회의에서 주기적으로 보고 받는 등 그것이 제대로 작동하도록 챙긴다. 1년에 두 번 정도는 이사회 의제로 삼는 것도 필요하다. 이사회가 활성화 된 해외에서는 많이 하는 일이다.

구축된 거버넌스 체계 안에서 CEO는 정보보호책임자의 지원을 받으면서 동시에 정보보호책임자가 CEO의 위임을 받아 독자적으로 움직일 수 있는 환경을 조성해 주는 게 좋다. 정보보호조직은 보안위험을 최소화 함으로써 기업의 경영목표 달성을 지원하는 조직이어서 그 과정에서 사업조직이나 IT 조직 등 여러 조직을 불편하게 만든다. 매번 CEO가 대응하지 않으려면 정보보호책임자에게 힘을 실어 주셔야 한다.

어느 정도 체계가 잡혔으면 회사의 실질적인 정보보안 위험이 어디에 어느 정도 규모로 있는지 점검한다. 특히 회사의 위기가 될 만한 보안 위험을 중심으로 하는 것이 중요하다. 예를 들어 개인정보유출 탐지 건 수와 그 내용, DB에서 개인정보를 대량 검색한 사람과 건 수 등이 회사의 정보보안 위험을 나타낸다. 개인정보나 산업기밀의 보호를 위해 구축한 개인정보 (오남용) 탐지 솔루션, 내부정보 유출방지 솔루션, DB접근제어 솔루션에서 보고받을 수 있는 결과다.

각종 IT인프라와 정보보호시스템의 허술한 계정관리-접근통제 정책, 개인정보 데이터를 접근하는 웹 서비스의 보안취약점 역시 사고와 직결될 수 있다. 정보보호책임자를 통해 전반적인 보안위험을 점검하고 보안대책을 수립한다. 그 과정에서 (개인)정보보호 법규 위반사항이 있는지도 살펴 본다.

보유하고 있는 중요 정보를 줄이면 그 만큼 그것의 유출에 따른 위험도 낮아지고, 보안대책의 비용과 난이도도 떨어진다. 불필요한 고객정보의 수집ㆍ보관 중단, 고객정보의 중복 보관 최소화, 시한이 지난 정보의 파기, 개인정보 제휴업체 감축 등이 있다. 사업조직과 IT조직의 적극적인 검토가 있어야 가능한 일이다.

가끔 정보보안 사건이 발생하는 회사라면 ‘정보보호 위기관리 체계’를 구축할 것을 권해 드리고 싶다. 회사의 정보보안 위기는 작은 사건이 징후로 나타나는 경우가 종종 있기 때문이다. 신속하게 대응하여 위기를 막은 사례도 있다. 일상적인 위기관리 체계가 작동하면 회사 차원의 위기가 나타날 확률은 크게 낮아진다.

CEO가 알아야 할 정보보안을 요약하면, 정보보호 거버넌스 구축, (위기와 직결되는) 정보보안 위험 파악과 대책 수립, 보유 중인 중요 정보의 감축, 위기관리 체계의 구축이라 할 수 있다. CEO들께서 자신의 어젠더로 삼으셔서 회사와 직책의 리스크에 성공적으로 대처해 나가시기 바란다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.







alert

댓글 쓰기 제목 [강은성의 CISO 스토리]CEO가 알아야 할 정보보안

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스