News/ Event

[김대환 칼럼] 7.11 금융보안대책…초기 CISO는 누가?

[보도자료] | 2013-03-15

[김대환 칼럼] 7.11 금융보안대책…초기 CISO는 누가?   CISO 직무분리, 국가 보안수준 향상과 보안산업에 큰 영향 미칠 것 일을 잘 하려면 먼저 틀이 좋아야 한다. 한비자 말대로 그물망의 벼리를 잘 당겨야 하는 것이다. 틀이 나쁘면 아무리 빛나는 디테일이어도 성장에 한계가 있다.   한비자는 [후흑요]에서 “그물의 그 많은 눈을 하나하나 당기면 힘만 들고 대신 그물의 벼리(그물의 위쪽 코를 꿰어 오므렸다 폈다 하는 줄)를 당기면 물고기는 이미 그물 속에 있다.” 고 했다. 그물눈이 디테일이라면 벼리는 프레임 즉 틀이다.   지난 17년을 돌아보면 보안은 틀의 정립 없이 오로지 실무자들의 헌신으로 성장해왔다.   그래서 이번 ‘7.11 금융보안대책’ 발표를 ‘틀의 정립” 관점에서 생각해본다. 조직에서는 최우선의 틀이자 그물망의 벼리가 인력(조직)과 예산, (상벌에 대한) 평가체계이다. 2년전 금융보안대책에서 5/7/5규정(전체인력의 5%를 IT인력으로, IT인력의 5%를 보안인력으로, IT예산의 7%를 보안예산으로)이 천명되었으며 하부기준인 [보안실무인력가이드라인] [보안예산가이드라인]에 따라 인력과 예산이 점진적으로 확대되어왔다.   그리고 이번에는 보안의 사령탑인 CISO를 CIO와 겸직하지 못하게 분리할 것을 강력하게 천명하였다. 또한 보안평가(인증, 감독징계, 인사상불이익금지 및 면책, 사기진작책)에 대한 가이드라인도 나올 예정이다.   빗방울은 지리산 삼도봉에 내려앉을 때 몇cm 차이로 전남과 경남으로 나뉘어 흐르며 결국 서해와 남해로 갈라진다. 최상위단에서의 미묘한 변화가 결국엔 운명을 바꾸는 것이다. 초기조건에 민감한 나비효과와 비견할 수 있다.   금융권 CISO 한분한분의 위상과 의사결정 하나하나는 보안부서와 협력업체의 운명, 보안산업의 운명, 궁극적으로는 국민들의 보안수준까지도 바꾸게 된다.   CIO/CISO직무분리는 또한 CISO가 CIO에 종속되어있던 때와는 조직운영방향이 바뀜을 의미한다. CISO는 CIO를 견제하고 보안과 효율성 사이 균형을 잡아야 하는데 CIO산하에 있으면 전문성이 제한될 수밖에 없다.   이처럼 CISO의 직무분리와 임원급으로의 위상변화는 보안산업 전체의 운명을 좌우할 사안이며 향후 보안수준 도약을 위한 획기적 전기가 될 것이다.     ◇초기 CISO역할의 적임자는 누구인가? 내부보안전문가가 CISO로 올라가는 것이 물론 바람직하며 장기적으로 옳은 방향이다. 그러나 그 동안의 투자부족으로 내부의 보안인재풀(Pool)이 너무나 얕다. 2년 전까지만 해도 내부보안전문인력이 10명 이상인 금융기관은 손에 꼽힐 정도였다.   작년부터 전략, 마케팅출신이 CISO로 임명되는 사례가 늘어나고 있다. 이는 경영진이 보안이 중요하다고 판단해 경영진 직보라인 분들을 배치했기 때문이다. 마찬가지로 보안인력도 전략, 마케팅으로 적극 이동해야 한다.   최소한 시행초기에는 보안인재풀 형성을 위해 내부순혈주의 대신 외부전문가영입을 고려할만하다. 보안은 특히 대외적 컴플라이언스 대처능력이 중요하기 때문이다.   외부전문가는 전문지식이 풍부할 뿐 아니라 유관기관(금융위/금감원, 안행부, 방통위, 경찰청, 국정원, KISA, 보안전문업체)과의 네트워크가 있으므로 내부인력으로 부족한 부분을 채우고 균형을 맞춰줄 것이다.   모든 규정에는 빠져나갈 구멍이 있다. 그물망의 벼리는 잘 당겼는데 그물눈이 숭숭 뚫려져 있는 것이다. 틀을 만드는 것은 시작이며 디테일의 실천력이 끝이 되어야 한다. 전세계에서 온라인금융거래 비중이 가장 높은 나라는 한국이다. 이에 걸맞은 세계최고수준의 금융보안전문시스템과 인력을 갖춰야만 한다. 제대로 된 틀 아래에서 보안산업도 세계최고수준으로 도약할 수 있을 것이다.   17년간의 기다림이 드디어 이뤄지는 순간! 필자는 설레임 가득찬 마음으로 이번 대책과 후속조치를 바라본다.   http://www.dailysecu.com/?mod=news&act=articleView&idxno=4762

목록