Special Report Part I| 금융권 정보보호 중간 실태

아직 미미한 금융권 전임CISO
CEO직속, 단독조직 격상 등 기업 내 지원 이뤄져야

개인정보보호법 발효로 금융권 CISO내정은 거의 이뤄진 상태다. 하지만 알려진 바와 같이 CIO를 겸직하고 있는 CISO들이 대다수로 전임 CISO를 두고 있는 기업은 손에 꼽을 만큼 적다. 
운영과 견제를 담당해야할 CIO와 CISO의 업무는 명확히 다르다는 목소리는 높아져 가고 있지만 기업들은 비용부담 또는 기업 내부 고객들의 반발 등을 이유로 전임 CISO선임을 꺼리고 있다. 하지만 일부 기업에서는 전임 CISO를 내정해 정보보호 공략에 나서고 있다.
이번호에서는 금융권 전임 CISO들을 만나 최고정보보호 책임자로 선임되기까지의 배경과 전임CISO의 역할, 애로사항 등은 무엇인지에 대해 알아봤다. 

이지혜 팀장 jh_lee@ciociso.com

작년이 CISO 출범 신상아기였다면 올해는 유아성장기 정도로 볼 수 있다. 기업들은 보안 프로젝트 및 솔루션 구축뿐 아니라 IT보안 컴플라이언스, 얼라이언스 등 차원에서 비즈니스와 보안을 접목 시키는 방향에 대해 고민하고 있다.
이에 대해 전임 CISO들의 고충이 클 것으로 예상되고 있다. CIO를 겸직하는 CISO보다 책임과 기업 내 역할 기대가 크기 때문이다.
전임 CISO내정은 무엇보다 최고 경영층의 확고한 의지와 기업 내 보안 공감대가 형성돼야 하는 것이 우선으로 일부 기업은 CISO선임 제도시행일보다 훨씬 전 관련 법규를 실행하기도 했다.
또한 정보보호부 및 CISO를 CEO산하에 둬 현업의 불만이나 반대에 맞서는 강력한 방패막이를 쳐주기도 한다.
전임 CISO들은 보안에 대한 책임론으로 인해 역할의 어려움이 존재한다고 말한다. 개인정보관련 사고 발생 시 현행 개인정보보호법은 행위자인 개인뿐 아니라 기관까지 처벌하는 양벌 규정을 두고 있기 때문이다. 하지만 IT업무만을 담당했던 인력들에게 부여되는 또 다른 기회라는 측면에서도 접근할 수 있다고 전하고 있다. 조직 내 보안 환경의 공감대 형성, 나아가 IT와 독립된 정보보안 조직의 신설 등은 그들에게 새로운 도전 과제이기 때문이다.
CIO와 CISO가 분리돼야 하는 이유에 대해서는 입법취지, 역할 기능 및 지향 목표가 다르기 때문이다. IT에서 독립된 CISO는 외형상 규모는 작더라도 CIO와 동등한 지위여야 한다고 전자금융거래법 시행형의 입법취지는 설명하고 있다.
하지만 가장 큰 이유는 역할 기능의 차이로 CIO가 정보를 활용 및 운영관점에서 접근한다면 CISO는 통통제 관점이 커 겸임 할 경우 문제가 발생할 수 있기 때문이다.
전임 CISO들은 CISO가 보안사고가 발생했을 때 책임을 묻거나 전가하는 자리가 아닌 실질적 정보보안의 컨트롤 타워 역할을 수행하도록 정부차원의 제고 개선과 지원, 전 임직원의 보안마인드 공감대 형성이 이뤄져야 한다고 전하고 있다.
보험과 같은 것, 유효기간이 끝나면 버려도 되는 것이 보안이 아니다. 하지만 투자비용 대비 효과에 대해서도 명확한 결과물을 내놓기 힘든 것도 보안이다.
이러다 보니 기업 영업 활성화와 보안이 반대되는 측면이 많아 CISO들이 이를 어떠한 적정수준에서 맞춰줘야 하는지도 고민거리 중 하나다.
이를 위해서 CISO들은 IT업무 뿐 아니라 현업의 업무, 파생되는 사움, 제도 등에 대해 꿰뚫고 있어야 한다. 패러다임과 업무 프로세스가 빠른 속도로 변하는 가운데 보안이 이를 어떻게 지원해줘야 하는지에 대한 고민도 파생된다.
현재 정보보호 정책들의 혼란과 일관선 없는 가이드라인 제공등도 CISO의 고민거리다. 행정안전부, 국가정보원, 방송통신위원회 및 금융감독원 등 관리감독 기관이 여러 부처로 나뉘어 보안업무를 처리해 금융기관 업무 수행에 혼선을 미치는 경우가 상당한 실태다.
CISO들은 이러한 조항들이 융합/체계화 돼 각 금융사의 책임자 및 실무자에게 정확히 전달돼야 할 것이라고 입을 모으고 있다.
한편 금년 예상되는 기업 보안 이슈로는 DB암호화, 망분리, 모바일 보안등을 꼽고 있지만, 암호화와 망분리는 넉넉한 유예기간을 통해 구축 범위 및 목표를 명확히 할 수 있는 시간이 필요하다고 강조한다.

단독보안 조직으로 위상 확보해야

A기업 CISO는 “지난 2011년 6월 발표된 ‘금융회사 IT보안강화대책’은 몇 년간 일어난 많은 보안사고와 대규모 개인정보 유출사고 결과로 IT에 근무하고 있는 종사자들의 아픔이기도 했다”며 “하지만 정보보안에 대한 중요성이 증가하고 최고경영층의 확고한 의지로 전임 CISO로 선임될 수 있었다”고 말했다.
대부분 기업의 CIO가 CISO를 겸직하고 있는 상황에 대해서는 추가비용 지출 부담 및 CIO와 CISO의 명확한 업무 분리에 대해 어려움을 겪고 있기 때문이라고 설명했다.
A기업 CISO는 그동안 직무를 수행하면서 느낀 애로사항으로 독립된 정보보호조직이 구성되지 않아 회사 조직 내 위상확보가 미흡했던 점을 꼽았다.
정보보안은 기술적 측면이 아닌 문화로 인식돼 실천돼야 하는데 이에 대한 결어와 방대한 비즈니스와 연계된 정보보호 전략의 수립과 구현 또한 아쉬운 점이다.
또한 개정된 정보통신망법의 주민번호 수집 및 이용제한 대상기관이 금융기관을 포함하는지의 여부 등 감독당국 간 정책 및 가이드라인 일관성 부족도 문제점이다.
특히 이 기업 CISO는 CISO는 단순히 정보보안의 관점으로만 업무를 수행하는 책임자가 아니라는 점을 강조했다. 이렇게 때문에 CISO의 모든 의사결정은 경영철학과 경영전략을 기초로 해야 하며 비즈니스와 연계된 정보보호 전략의 수립 및 이행이 필수적으로 동반돼야 한다.
보안인력의 확충 또한 주요 이슈다. A기업은 최근 네트워크와 정보보안 담당 우수 경력직 2명을 채용함으로써 감독원 모법규정을 충족시켰다.
정보보안관리체계 구축 추진 및 보안전담조직 운영도 검토 중인 A기업은 IT조직과 독립적으로 정보보안 업무를 전담하는 정보보안팀을 가동하면서 보안사고 예방에 좀 더 효과적이고 체계적인 업무를 추진할 수 있을 것으로 기대하고 있다. 최적화된 정보보호 관리체계 구축을 토대로 ISMS, PIMS와 같은 대외 인증 획득도 예정돼 있다. 
한편 A기업은 올해 많은 기업과 정부, 사회단체 등이 모바일 기기와 비즈니스를 접목해 새로운 콘텐츠를 제공하려 노력중인 가운데, 모바일 컴퓨팅을 통한 마케팅 활성화 비즈니스에 따른 모바일 보안이 대세일 것으로 예상하고 있다.

보안부서, 애물단지로 전락해선 안된다

B기업의 CISO는 조직구조상 CEO 직속기관에 속하며 ‘Back To Basic’을 보안 목표로 하고 있다.
이는 ‘Back To Basic’을 통해 보안에 대한 강조와 함께 사용자 편의성을 위해 상황에 따라 일부 허용하겠다는 의지로 파악된다.
전임 CISO 내정으로 과거 보안 솔루션 구축에만 치우쳐 기업 보안을 하려던 모습에서 이제는 마인드 셋을 변화하는데 초점을 맞춘다는 계획이다.
특히 이 기업 CISO는 “타 기업에서 CIO와 CISO의 겸직이 많은 이유는 비용부담이 제일 크기 때문에 차라리 CFO가 CISO를 겸직한다면 좀 더 좋은 그림이 나오지 않을까 싶다”는 생각을 전했다.
또한 CIO는 IT업무의 퍼포먼스를 우선으로 하게 되면서 보안은 당연히 2차적인 과제로 미룰 수 있다는 점도 지적되고 있다. 보안 예산을 확보하는 작업 역시 겸임 CISO는 기업 문화적 특성상 쉽지 않은 점도 간과할 수 없다는 의견이다.
작년 전임 CISO를 선입한 B기업은 정보보안팀을 강화했으며 올해 또한 정보보안 지침과 정책을 담당하는 팀을 보강한다.
과거 정보보안팀이 IT부서, 총무부서 등 떠돌이 생활을 하다가 보안실로 격상 된 것도 정보보호에 대한 강화를 엿볼 수 있는 사례다.
보안과 비즈니스를 연계하는 방안에 대해서는 B기업 역시 동감하고 있다. 특히 스마트워킹 환경과 보안은 상치되는 개념이기 때문에 사용자의 의식전환을 촉구하는데 열을 올리고 있다.
이에 따라 B기업은 현업에서 새로운 비즈니스에 착수할 때 마다 필수적으로 보안성 심의를 거치게 하고 있으며 보안강화 조치를 통해 강력한 보안 대응을 이루고 있다. 보안 컴플라이언스 수립 또한 이와 같은 맥락에서다.
하지만 이 기업 CISO역시 고민거리를 안고 있다. 작년 개인정보보호법 실행 때부터 보안에 대한 투자는 지속적으로 해왔지만 아직 100%만족할 수는 없기 때문이다.
B기업은 이를 완화하기 이해 백업활동에 중점을 맞춰, 취약성 점검과 모의해킹을 업그레이드해 브랜드 가치를 높여간다는 방침이다. 
B기업은 작년 11월부터 보안에 대한 업그레이드를 위해 마스터플랜을 수립해 망 분리 작업을 수행했으며 초기 인프라스트럭처에 적용했던 것을 올해 1월 전면 확대시켰다.
또한 ISO27001 인증을 획득했으며 PIMS 인증 획득 역시 올해 과제 중 하나다. 특히 PIMS 인증은 인증을 받는 자체가 중요한 것이 아니라 고객정보를 잘 관리하기 위한 체계로 내부 관리 교육과 협력업체 등이 함께 이뤄져야 한다는 의견이다.
B기업 CISO는 CIO와의 협력이 중요하다고 강조한다. 엄연히 다른 업무를 수행하지만 보안의 기술 관리적 반영의 책임자는 CIO이기 때문이다.

사용자 편의성도 수렴할 줄 알아야

C기업의 전임 CISO선임은 타 기관에 비교해 상대적으로 늦은 편에 속한다. 더 이상 감독기관과의 마찰을 피하기 힘들었다는 것이 큰 이유다.
이 기업 CISO는 “잘되면 본전, 경영진 입장에서 필요한 임원이기는 하지만 안 써도 될 비용을 지출했다고 생각가기 쉽다”며 “하지만 CISO 선임으로 기업이 보안이슈에 대해 관심을 갖고 지원 하려는 자세를 보이는 것은 순기능으로 자리 잡았다”고 말했다.
CISO의 역할은 모든 정보에 대해 필터링 및 모니터링을 하고 꾸준한 교육을 통해 이를 전 임직원들에게 인식시키는 일이다.
하지만 애로사항도 존재하기 마련이다. 가장 큰 것은 편의성으로 영업활성화와 보안이 반대되는 개념이라는 것이다.
이렇게 되면 CISO는 어떠한 수준까지 정보를 필터링하고 현업의 업무를 이해해야 할지 딜레마에 직면하게 된다는 것이다.
이 CISO는 기업에서 현업 부서, 특히 영업부서를 무시할 수 없으며 그들도 우리의 고객이라는 측면에서 적절한 보안업무를 진행해야 하지만 명확한 선을 찾는 작업은 수일 내에 이뤄지는 것은 아니라고 강조한다.
보안은 유지하되 사용자 편의성을 적극 수렴하는 것이 CISO의 현실적 과제다. 현업부서의 불만이 봇물처럼 생겨 나오게 되면 결국 기업전체의 생산력에 마이너스라는 점도 간과할 수 없기 때문이다.
이를 해결하기 위해서는 CISO의 해박한 지식이 요구된다는 입장이다. 현업 업무에 대한 제도나 관련 상품에 대해 충분한 지식기반이 뒷받침 돼야 하며, 수시로 바뀌는 패러다임과 업무 프로세스를 장악해야 한다.
하지만 문제는 대다수의 CISO들이 과거 IT분야에서만 습득했던 오래된 지식만을 활용하려 한다는데 있다. 적어도 빠르게 변하는 IT기술을 100% 체득하지는 못하더라도 가고자 하는 분위기와 방향성에 대한 감을 잡는 역할은 CISO의 것이다.
한편 DB암호화와 망분리에 대해서는 정책적으로 필요하다는제는 적극 동감하지만 속도와 트레이드오프가 문제 될 수 있다고 지적하고 있다. 특히 이 CISO는 암호화 구축의 경우 유예기간의 확장이 필요하다고 전하고 있다.
개인정보보호법과 정통맘법의 차이 또한 문제점으로 질문에 대한 감독기관의 명확한 답을 듣지 못해 보안 현실에 대한 대응에 괴리가 발생한다고 이CISO는 말한다.
이처럼 금융권에 종사하는 전임 CISO들은 보안에 대한 강력한 제도를 운영하면서도 사용자 편의성을 적절히 수렴해야 하는 입장이다.
또한 보안에 대한 책임론과 전사 보안의식 확대 등을 위해 오늘도 고군분투 해야한다. 하지만 이들의 공통된 다른 의견은 전임 CISO가 내정돼야 할 가장 큰 이유는 CIO가 정보를 활용 및 운영관점에서 접근한다면 CISO는 통제 관점이 커 겸임 시 문제가 발생할 수 있다는데 있다.
더 이상 CISO가 보안사고가 발생했을 때 책임을 묻거나 전가하는 자리가 아닌 실질적 정보보안의 컨트롤 타워 역할을 수행하도록 정부차원의 제도 개선과 지원, 전 임직원의 보안마인드 공감대 형성이 뒷받침 돼야 할 때다.