CISO, 어느 부서의 소속 되어서는 안 된다

연보라 기자 bora@ciociso.com

CIO와 CISO가 분리돼야 한다는 이야기는 어제 오늘만이 아니다.
아직도 많은 기업, 기관들의 CIO가 CISO를 겸하거나, 보안조직이 IT부서 내 작은 팀으로 속해 있는 현 상황에서 이러한 이야기는 공허한 주장으로 들릴 수 있다.
그러나 오늘날 보안이 기업의 생존과 직결된 중대한 이슈로 강조되는 만큼, 그 중요성에 걸 맞는 CISO의 책임과 위상이 주어져야 할 것이다.
보안은 업무에 불편을 초래할 수 있는 것이므로 이를 전사적으로 수행하기 위해서는 보안전담조직이 C레벨의 책임을 가져야 한다. 
CIO는 보안관점보다는 운영의 효율화에 관심을 갖고 있는 자리다. 반대로 보안은 불편을 초래할 수밖에 없는 것이기 때문에 이를 동시에 추구한다는 것은 불가능하다. 만약 한 조직 내에 CIO와 CISO 역할이 공존한다면, 두 역할의 갈등이 어느 한 방향으로 수렴돼 이사회까지 올라갈 수 없다. 즉 보안과 업무효율성의 갈등이 기업 내에서 공론화될 수 없다는 이야기다.
따라서 CIO와 CISO는 분리되어 서로 갈등해야 하고 그 갈등을 통해 교훈을 도출할 수 있어야 한다. 그러려면 CISO는 CIO와 동등한 위치에서 대립할 수 있어야 한다. 소위 CIO와 CISO가 ‘맞짱’을 뜰 수 있어야 한다는 이야기다.
제대로 된 보안을 하려면 분리가 마땅하지만, 기업이 임원 한 자리를 늘리는 것은 말처럼 쉬운 일은 아니다.
그래서 몇몇 기업들은 차선책으로 보안조직을 감사조직에 두기도 한다. 현대캐피탈, 두산중공업, 미래에셋증권 등이 여기에 해당된다.
감사와 보안을 통합한 기업의 한 CISO는 “CISO 조직을 분리하는 것은 기업으로서 큰 부담이다. 그렇다면 IT보다는 감사 부서에 두는 편이 낫다. CIO와 CISO의 역할이 충돌될 수 있기 때문이다”라고 설명했다.
이렇듯 감사 부서에 보안조직을 두는 것은 IT와 보안의 분리라는 측면에서는 긍정적이지만, 결국 장기적으로는 이 또한 분리해야 하는 임시방편일 뿐이다.
감사는 기업의 모든 활동을 모니터링하고 이중 점검해야 하는 부서인데, 감사가 보안업무를 직접 수행하게 되면 보안을 감사하고 이중 점검할 수 있는 조직이 없어지는 셈이다. 이는 마치 국가정보원이 직접 국방 업무를 하고, 감사원이 경찰 업무를 하는 것과 마찬가지다. 국정원은 국방부를, 감사원은 경찰을 모니터링하고 감사하는 기관이지 직접 그 역할을 수행하려고 들면 안 되는 것이다.
더불어 바람직한 보안조직을 구성하기 위해서는 IT 만의 조직이 되어서도 안 된다.
정보보호는 시스템적인 보안과 더불어 관리적인 차원의 보안도 필요하므로, 정보보안 엔지니어뿐 아니라 법 제도, 경영, 회사 내 상황에 대해 잘 알고 있는 구성원이 함께 모여 보안을 설계해야 한다.