Warning: Invalid argument supplied for foreach() in /somansa/www/html/wp-content/themes/somansa/content-news_event.php on line 5

뉴스/이벤트

공공부문에서 CISO의 시대를 열어야 한다

[] | 2019-01-16

공공부문에서 CISO의 시대를 열어야 한다

2019년 6월부터 일정규모 이상 정보통신서비스제공자 대상으로 “CISO전담제”가 시행된다

올해 6월부터 일정규모 이상 정보통신서비스제공자는

정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여

임원급의 정보보호최고책임자를 지정하고 CISO의 다른 업무 겸직을 금지해야 한다.

아직 대통령령 확정 전이라 적용대상이 확정되지는 않았지만

자산 5조 이상 혹은 자산 5천억 이상이면서 ISMS의무화대상인

약 100여개 기업이 적용대상일 것으로 예상된다.

기존에 주로 CIO가 CISO를 겸직하던 상황에서는 유출사고가 나지 않는 한

보안업무가 승진과 평가에 반영되지 않았다.

따라서 보안 관련 의사결정이 지체되고 보안분야 전문성이 떨어질 수밖에 없었다.

“CISO전담제”가 시행되면 정보통신부문에서

정보보호수준의 고도화, 전문화가 급물살을 탈 것으로 예상된다.

42개 금융기관은 2014년부터 5년간 “CISO전담제”를 시행해왔다

전자금융거래법에 따라서, 총자산이 10조원 이상이고,

상시 종업원수가 1,000명 이상인 금융회사는 “CISO전담제” 대상으로 임원급 CISO를 지정해야 하며,

CISO의 다른 정보기술업무 겸직이 금지된다.

“CISO전담제”가 적용되는 금융기관은 현재 총 42곳이다.

한국은 전세계에서 온라인금융거래 비중이 가장 높은 나라로 막대한 양의 금융데이터를 보유하고 있다.

실제, 금융권에 “CISO전담제”가 시행된 후, 금융업종의 보안수준이 획기적으로 업그레이드되었다.

왜 CISO는 임원이어야 하며 다른 정보기술업무와 겸직해서는 안 되는가?

CISO는 정보보호라는 기술적 측면뿐만 아니라

정보보호를 위한 제도와 정책, 예산과 인력까지를 총괄하는 컨트롤타워로서의 성격을 가진다.

각각의 부서가 부서이기주의에 빠져, 단기효율과 이익에만 몰두하다 보면,

법 위반이나 정보유출사고 등이 발생할 수 있고

이는 전사적인 리스크로 돌이킬 수 없는 피해를 끼칠 수 있다.

좁은 관점으로 보면 보안업무는 다른 부서와 갈등을 일으키고

단기적으로 업무속도를 지체시키는 일도 있을 수 있다.

그러나 장기적, 전사적 관점으로 보면 정보보호는 조직의 영속적 이익, 영속적 업무효율을 지키는 일이다.

각각의 부서가 고삐 풀린 망아지처럼 단기적 이익을 향해서 달려나갈 때

CISO는 모든 부서의 고삐를 잡고 전사적 이익과 장기적 목표 쪽으로 방향을 돌릴 수 있어야 한다.

회사 내 모든 부서에 걸쳐 갈등을 조정하고, CEO에게 직속으로 보고하기 위해서는

임원이어야만 하는 것이다.

많은 경우 CIO의 업무는 CISO가 추구해야 하는 컴플라이언스적 목표와 대치될 수밖에 없다.

따라서 CIO와 CISO를 겸직한다는 것은

두 마리 말이 서로 반대편으로 끌고 가는 마차를 만드는 것과 마찬가지이다.

CIO와 CISO는 서로 독립적으로 존재하면서 서로 견제하고 보완해서 균형을 만들어내야 한다.

부서간 갈등조율자로서 임원급 전담CISO의 시대가 오면 보안수준이 획기적으로 올라갈 수 있다

조직 내 모든 부서, 모든 업무가 제대로 파악조차 안 되는

무수한 정보유출통로와 보안취약점을 보유하고 수십년간 이어 내려왔다.

보안은 업무가용성과 충돌할 수밖에 없고 ‘보안 때문에 일 못 하겠다’며 사내갈등이 들끓을 수 있다.

이 충돌과 갈등을 넘어서야만 회사내 보안수준이 획기적으로 올라갈 수 있다.

질적인 변화는 단순히 열심히 하는 것만으로 나오지 않는다. 갈등을 넘어서야만 한다.

부서간 충돌과 갈등을 극복하려면 높은 수준의 책임을 진 사람이 문제해결을 주도해야 한다.

그래야 적은 비용으로 부서간 업무중첩을 막으면서 통합된 보안전략을 수립할 수 있다.

따라서 회사의 IT, 물리보안 등 다양한 범위를 아우르는 C레벨로서 “CISO전담제”가 정립되고

하부조직으로 각 분야를 아우르는 보안 책임자를 둬야 한다.

“CISO전담제”는 초기에는 비용과 시간이 많이 드는 일일 수 있으나

한번 구축해놓으면 조직내 리스크를 획기적으로 개선하는 투자가 될 것이다.

보안생태계 육성을 위해서 공공부문에서 “CISO전담제”가 정착해야 한다

빗방울은 지리산 삼도봉에 내려앉을 때 1cm 차이로 전남과 경남으로 나뉘어 흐르며

결국 서해와 남해로 갈라진다.

최상위단에서의 미묘한 변화가 운명을 바꾸는 것이다.

초기조건에 민감한 나비효과와 비견할 수 있다.

CISO 한분한분의 위상과 의사결정 하나하나는 보안부서와 협력업체의 운명,

보안산업의 운명, 궁극적으로는 국민들의 보안수준까지도 바꾸게 된다.

공공의 역할은 보안산업이 선순환생태계를 이뤄서 자체성장할 수 있도록 환경을 조성하는 것이다.

세제혜택, 자금지원도 좋지만 단기처방일 수밖에 없다.

보안산업이 자체적인 경쟁력을 지니고 선순환생태계를 이루기 위해서는

공공에서 “CISO전담제”를 앞서서 정착시켜야 한다.

CISO가 임원급으로 전담조직을 가지게 되면 이는 보안산업 전체의 운명을 좌우할 사안이며

향후 보안수준 도약을 위한 획기적 전기가 될 것이다.

한비자는 [후흑요]에서 “그물의 그 많은 눈을 하나하나 당기면 힘만 들고

대신 그물의 벼리(그물의 위쪽 코를 꿰어 오므렸다 폈다 하는 줄)를 당기면

물고기는 이미 그물 속에 있다.” 고 했다.

공공이 선도적으로 그물의 벼리를 당겨줘야 한다.

보안생태계 육성에 있어서 벼리, 프레임, 틀은 “CISO전담제”이다.

특히 보건복지부와 교육부에서 “CISO전담제” 도입이 시급하다

보건복지부는 주민번호로 대표되는

고유식별정보와 금융정보, 사회취약층의 민감정보를 대량으로 연계하고 있는 기관이다.

법에 따라 업무상 주민번호를 수집하고 처리할 수 있으며

질병정보, 유전정보, 범죄정보 등 사회취약층의 민감정보를 대량보유하고 있다.

또한 복지수당 지급 등으로 계좌번호, 카드번호 등 금융정보와 재산 소득정보를,

자원봉사시스템으로 14세 미만 학생들의 정보를 대량보유하고 있다.

또한, 보건복지부 네트워크인 사회복지통합관리망(행복e음이라고 부른다)은

약 30개 기관과 약 70종 개인정보에 접근가능한 국내 최대 개인정보망이라고 할 수 있다.

교육부는 산하에 1만개의 학교가 있다.

교육망은 정부망 중 최대규모로 초중고대학교 망과 각종 연구망들이 모두 연계되어 있다.

학생들의 주민정보, 민감정보, 학적정보와 등록금을 위한 금융정보,

사회취약층 학생들의 민감정보, 빅데이터를 활용한 많은 연구결과들까지 모두 교육망에서 처리되고 있다.

공공에서 CISO에 해당하는 직제는 전담 정보보호담당관이다.

국토교통부, 산업통상자원부, 과학기술정보통신부, 행정안전부 등

중앙부처에 전담 정보보호담당관직이 신설되었다.

개인정보의 양과 민감도에 있어 압도적인 보건복지부와 교육부에도

곧 전담 정보보호담당관 직이 신설될 것으로 보여진다.

공공부문 “CISO전담제”는 국가경쟁력과 고용효과로 이어진다

우리는 선진국에서 배우러 오는 세계 최고의 전자정부를 가진 나라,

전세계 유무선인프라를 선도하는 나라,

전 국민의 개인정보가 모두 데이터베이스화되고 고도로 연계되어 있는 나라에 살고 있다.

정보를 기반으로 하는 데이터산업, 소프트웨어산업, 보안산업은 밀접하게 연관되어있으며,

자본이나 설비집약산업이 아니라 인간의 두뇌가 중심이 되는 인재중심 산업이다.

따라서 매출 1.5억이면 직원 1명을 고용할 수 있는 고용효과가 매우 높은 산업이다.

공공부문에서 “CISO전담제”가 정착되면 생태계의 선순환을 거치면서

사회의 수준이 업그레이드되고, 인재가 모이고,

정보기반 데이터산업, 소프트웨어산업, 보안산업이 성장하면서

국가의 새로운 경쟁력과 고용효과가 창출될 것이다.

김대환 대표이사 / 소만사

목록