보안책임자 역적이 될 것인가 역사가 될 것인가

보안을 바라보는 임직원 인식 달라져
전체를 위한 통합 컨트롤 타워 필요해
보안부서를 위한 사기진작이 필요하다

개인정보 침해를 막고 수집에 엄격한 기준을 적용한다는 취지에서 시작된 개인정보보호법 시행에도 불구하고, 금융정보가 있는 거의 모든 국민이 정보유출의 피해를 당했다. 뿐만 아니라 각종 방화벽과 보안솔루션으로 안전하다고 생각했던 지난해에는 각종 해킹사고가 끊이질 않았다.
해마다 보안에 대한 위협이 지속되면서 일반산업군 내에서 위협상황을 탐지·대응할 수 있는 보안사고 대비 대응체계를 지속적으로 구축하고 있으며 예방에 필요한 보안 교육 등을 확대중이다. 또한 정보보호팀을 공격적인 형태로 구성하고 있으며, 암호화, DLP 등으로 체계적 보안관리와 취약점 모니터링, 위협 대응체계를 구축하는 등 다각적으로 보안에 접근하고 있다.
한편 보안부서 외에도 CEO부터 현업 직원까지 보안에 대한 인식이 변화하고 있다. 이전까지 보안은 보안부서만이 책임져야 할 문제라고 생각했지만, 이제는 나로 인해 기업에 막대한 피해가 갈 수 있다는 의식이 생기고 있는 것이다.
보안책임자들은 지금이야말로 보안이 기업의 중심역량으로 기본부터 고려돼야 할 시기라며, 이 시기를 현명하게 대응할 수 있는 기업만이 생존할 수 있다고 한 목소리로 주장하고 있다.
이번호에서는 일반산업군 내 정보대응 관련 부서와 이를 담당하는 보안총책임자를 만나 보안 대응에 관한 계획 등에 대해 알아보고, 어떤 보완점이 필요한지와 향후 주의해야 할 점이 무엇인지에 대해 살펴봤다.

양광수 기자 ksyang@ciociso.com

대다수 일반산업군에서는 잇따른 보안사고와 컴플라이언스에 따라 관련 전문팀을 구성하고 있다.
보안에 과한 전문 리더십 부재와 이를 총괄 관리할 수 있는 방안에 대해 적극 나선다는 방침 아래 보안 시스템 도입뿐 아니라 고도화·안정화를 취할 수 있는 방향으로 로드맵을 수립하려는 움직임이 한창이다.
기업의 규모에 따라 다르지만, 각 팀의 전문 인력은 적게는 1개 팀(3 ~ 7명), 많게는 3개 팀(약 20여 명 이상)으로 구성돼 있으며, 이들은 보안 정책 수립과 모니터링/평가/피드백 과정을 통해 기업보안을 담당한다. 또한 현업 부서의 보안 상황에 대해 감시·견제할 수 있는 중요 역할도 수행하고 있다.
향후 계획 중인 보안 솔루션 및 프로젝트에는 큰 차이점은 없다는 것이 보안책임자의 한결같은 주장이다. 주로 망분리와 PC암호화, 접근제어, 상시 모니터링, 취약 프로그램 보안 강화 등에 초점을 지속적으로 맞추고 있다는 것. 다만 물리적인 보안강화에 발맞춰 실제 사용그룹, 현업 사용자의 보안의식을 고취시키려는 움직임이 거세게 일고 있는 상태다.

▲ “IT프로젝트를 구축하고 실행함에 있어서 CIO 역할과 보안을 염려해야 하는 CISO 역할이 상충되는 것을 느낄 때가 있다. 궁극적으로는 분리되는 것이 기업의 리스크 관리차원에서 옳은 해답이 될 수 있을 것이다.” 박종화 LG유플러스 서비스개발본부 IT담당 상무

보안패러다임, 선제적으로 변화한다

정보보호를 강화하면 현업 직원은 대체로 업무에 불편하다는 부정적인 시각이 생기기 마련이다. 업무의 효율성을 저해하고 불편하다는 이유로 보안을 소홀히 하는 것이다. 그러나 최근 현업 직원 내에서도 변화의 바람이 일고 있다. 보안을 기업 리스크관리 차원에서 인식하고 이를 적극적으로 수용하려고 하는 것이다.
한편으로 보안부서의 보안정책 수립도 변화하고 있다. 과거 기업 보안정책이 법적책임을 피하기 위해 정부의 인증을 받은 정도에서 그쳤다면, 현재는 적극적인 보안으로 패러다임 변화가 일어나고 있는 것이다. 근본적인 보안단계도 2, 3단계 높아지면서 각 현업부서와의 연계를 통해 보여주기식 보안이 아닌 직원 스스로가 보안에 대해 활용할 수 있는 토대를 다지고 있다. 실제로 일부 대기업에서는 보안이슈들을 패턴화 해 보안상 이상징후를 바로 색출해낼 수 있게 만들며 보안 사고를 사전에 방지하고자 노력하고 있다.
강신길 GS홈쇼핑 정보전략담당 본부장은 “작년 3.20 사태가 벌어진 후 보안에 대해 많은 관심들이 쏟아졌지만, 그 관심들이 투자까지 이어지지는 않았다”며 “올해의 경우, 보안사고의 피해대상이 전 국민으로 확대되면서 선제적인 보안 투자가 이뤄지고 있다”고 말했다.
“보안환경을 살펴보면 살얼음판을 걷는 기분이다. 그러나 역설적으로 일련의 사태에서 오는 보안 투자를 위한 환경은 매우 개선되고 있다. 보안이 중요하다는 것은 과거에도, 모든 기업이 알고 있었던 사실이다. 그러나 다른 프로젝트에 우선순위가 밀려 천대받던 것 또한 보안이다.”
한민기 LG화학 정보전략담당 상무도 이와 같은 의견을 냈다.
그는 이전까지는 보안프로젝트를 구성했을때, 경영진의 반대뿐만 아니라 현장 직원에 대한 저항도 만만치 않았다고 전했다. 경영진들은 비용상의 문제로 반대했고, 현장 직원은 업무를 처리함에 있어 불편함을 야기해 보안을 등한시 하는 경향이 있었다고 덧붙였다.
한 상무는 “당연하고 간단한 보안 프로세스부터 이행할 수 있게, 현장에 가서 일일이 대면하고, 공감을 이끌어 내는 작업이 어려웠다”며 “이제는 경영진들과 현장 직원들이 직접나서 더 필요한 보안사항까지 체크하고 있어 기업보안을 구축하는 데 한결 수월해졌다”고 말했다.

▲ “보안총책임자의 역할은 다른 C레벨 임원들과 근본적으로 다르다. CPO, CIO가 한 사람이 보안에 대해 전담하지 않도록 제도적으로 방지해야 한다” 김준범 CJ헬로비전 정보전략실 상무

적을 알고 나를 알면 백전불태(百戰不殆)

더욱이 보안 기술 진보가 나날이 발전하고 기술 순환 주기도 짧아지면서 새 패러다임의 정착이 가속화되고 있다. 일례로 빅데이터를 통한 보안 취약점 분석 등이 이뤄지며, 사고 후 처리가 아닌 사전 예방으로 보안 정책이 이동하고 있는 추세이다.
최근 잇따른 보안이슈를 통해 보안에 대한 관심은 그 어느때보다 크다. 특히 우리도 언제든지 같은 사고가 일어날 수 있다는 경각심이 임직원 전체에 퍼지고 있다. 또한 보안에 대한 각성으로 기업 전체가 근본적인 보안프로세스를 기본부터 재점검하는 계기가 되고 있다.
박종화 LG유플러스 서비스개발본부 IT담당 상무는 “보안이 사회전반으로 이슈가 되다보니 기업에서도 전사적인 보안 프로세스를 재정립하고 있다”며 “LG유플러스도 보안의 범위를 더 넓고 깊게 살피면서 보안의 요소요소를 살필 수 있는 총체적인 보안 프로세스를 마련해 기본부터 활용하고 있다”고 말했다.
LG유플러스는 보안 전사 협의체를 2단 구조로 설립해 매달 협의하고 검증과정을 통해 보안취약점 검사를 하고 있다. 임원급이 참석하는 전사보안 협의회, 보안실무자의 보안실무 협의회로 매달 한 번씩 전사 보안소통에 힘쓰고 있다. 더불어 정보 보안 유출에 대해 법무팀이 직접 검증, 모든 프로젝트에는 보안부합성 검토를 함께 추진하는 등 자사 내부의 보안 홀을 점검하기 위한 방안을 지속적으로 모색하고 있다.

▲ “과거에는 당연하고 간단한 보안 프로세스부터 이행할 수 있게, 현장에 가서 일일이 대면하고, 공감을 이끌어 내는 작업이 어려웠다. 이제는 경영진들과 현장 직원들이 직접 나서 더 필요한 보안사항까지 체크하고 있어 기업보안을 구축하는 데 한결 수월해졌다.” 한민기 LG화학 정보전략담당 상무

오비맥주 역시 보안프로세스를 구성하는데 내·외 보안전문가를 통해 리스크 관리 전략을 마련했다. 특히나 최근 모바일 기기의 도입이나 클라우드처럼 새로운 IT 환경 변화 속에서 보안이 기업의 안정성을 확보할 수 있는 주된 수단이라고 예상한 것이다.
이를 위해 오비맥주는 정보전략실의 자체감사뿐만 아니라 김&장 법률사무소의 자문을 받아 보안 3개년 계획을 수립하고, 시스템 도입 계획에 따라 보안을 강화해 왔다고 전했다.
박종한 오비맥주 정보전략팀 팀장은 “제조기업일수록 보안과 연관성이 멀다고 인식하기 쉽다고 여겨질 수 있으나, 실제로 브랜드와 이미지 추락은 제조분야일수록 더 클 수 있다”며 “자사의 취약점이 무엇인지 스스로, 혹은 제 3눈을 통해 정확히 인지하고 있어야 그에 대한 대응도 마련할 수 있다”고 강조했다.
쿠팡 역시 정보보안실 주도로 정보보호위원회가 월 1~2회 개최된다. CEO, CFO, CTO가 중심으로 한 정보보호위원회에서는 보안 현황 보고 및 의사결정을 민첩하게 할 수 있다. 또한 필요에 따라 보안 이슈와 관련된 해당 조직장을 참여시켜 상시 보안보고를 할 수 있는 체계를 마련했다.
박나룡 쿠팡 정보보안실 실장은 “쿠팡뿐만 아니라 보안부서가 언제든지C레벨 임원, 현업 직원과 소통할 수 있는 분위기를 조성하고 기업 전반의 보안 취약점을 확인할 수 있는 보안문화를 만들었다”라며 “보안을 자연스러운 업무 프로세스의 연장선상에서 느낄 수 있게 지속적인 대화를 풀어나가는 것이 정보보안실의 목표이자 과제”라고 덧붙였다.

▲ “최근 CEO가 현장에서의 보안을 강조하니 현업 직원들이 스스로 보안에 대해 고민하고 궁금한 점을 물어오는 경우가 많아졌다. 이를 통해 IT만으로는 알 수 없었던 보안의 취약점들도 IT부서가 역으로 배우고 있다.” 강신길 GS홈쇼핑 정보전략담당 본부장

Top-Down 방식 보안의지가 필수

현재 보안환경은 기업의 보안환경에서CEO의 역할이 점차 강화되고 있다. CISO는 기업 내 컨트롤 타워로써 모든 보안에 대한 기획 및 전략을 수립해야 한다는 것이 업계의 공통적인 의견이다.
그 동안 국내 대다수의 기업 CEO들은 보안을 일종의 ‘병치레’로 생각하는 경향이 있었다. 특히나 정보보안은 IT만의 책임이라고 생각하는 것이 기업 내 팽배했기 때문이다. 그러나 최근 이러한 인식이 변화하고 있다. 금융위원회는 CEO를 포함한 임원에 대해서도 직접적인 책임을 부과해, 사고발생시 행위자로 보아 엄격한 제재를 이뤄지도록 하겠다는 방침을 세웠다. 이에 앞서 지난해 안전행정부는 주민번호를 유출한 기업의 CEO를 해임 등 징계를 권고할 것이라고 밝혔다.
정부의 강력한 천명이 아니더라도 최근의 보안사고를 통해 기업의 리스크 관리 차원에서 CEO의 강력한 의지가 필요하다는 것이 보안업계의 중론이다.
고명수 한국타이어 정보전략팀 팀장은 “보안이라는 것은 IT보안뿐만 아니라 물리적 보안, 기술적 보안, IT 보안의 총체”라며 “보안전체를 통합해 이끌고 나가기엔 CISO만으로는 현실적인 어려움이 따를 것”이라고 말했다.
따라서 기업의 보안책임자뿐만 아니라, 경영 층 모두가 이끌고자 하는 의지가 있어야만 보안을 강화하겠다는 의지를 보여주는 환경이 조성될 것이라고 덧붙였다.
CEO를 포함한 모든 임원진은 기업의 생산성과 기업목표를 달성하는 것을 최우선으로 삼는다. 그런 임원진이 기업의 정보보호를 위해 직접 나선다는 것은 어찌 보면 비효율적인 모습이라 고민하는 기업도 있다. 그러나 CEO가 직접 보안을 다룬다는 점은 기업 전사에 보안책임감을 불어넣을 수 있다는 장점이 있다. 또한 최고경영자의 의지를 분명하게 보여줄 수 있는 하나의 척도로서 임직원은 물론, 기업고객에 까지 보안에 대한 신뢰를 높일 수 있다.
강신길 GS홈쇼핑 본부장은 “보안을 IT나 솔루션의 문제로 치부했을 때는 IT부서가 보안을 전담해 왔으나, 최근 CEO가 현장에서의 보안을 강조하니 현업 직원들이 스스로 보안에 대해 고민하고 궁금한 점을 물어오는 경우가 많아졌다”며 “이를 통해 IT만으로는 알 수 없었던 보안의 취약점들도‘그런 식으로 유출될 수도 있겠구나’라는 배움을 IT부서가 역으로 배우고 있다”고 말했다.
강 본부장은 결국 보안이라는 것은 어느 한 방면만을 막는 것이 아니라 각 부서가 서로의 부족한 점을 메우는 통합체계를 구축하는 방안이 필요하다고 강조했다. 그는 결국 보안사고가 이제는 기업의 리스크 관리차원에서 통제되지 않는다면 기업 존폐를 위협하는 요소가 될 것이라는 것이 강 본부장의 주장이다.
정보보호 정책은 무엇보다 기업의 최고 의사결정권자인 CEO의 노력 없이는 구축에 어려움이 따른다. 따라서 CEO부터 보안의 필요성을 인지하고 몸소 실천할 수 있는 의지가 관건이다.

▲ “제조기업일수록 보안과 연관성이 멀다고 인식하기 쉽다고 여겨질 수 있으나, 실제로 브랜드와 이미지 추락은 제조분야일수록 더 클 수 있다. 자사의 취약점이 무엇인지 스스로, 혹은 제 3눈을 통해 정확히 인지하고 있어야 그에 대한 대응도 마련할 수 있다” 박종한 오비맥주 정보전략팀 팀장

CISO, 제 목소리 내는 환경 이뤄져야

금융권은 카드사 대란 이후 대대적인 ‘CISO 모시기’에 나서고 있다. 그러나 일반 산업군 내에서는 아직도 보안이 IT의 일부로 생각하는 경향 때문인지, CIO와 CISO가 겸임하는 경우가 대다수이다. 실제로 많은 CIO가 IT프로젝트를 기획하고 실행함에 있어, 보안까지 염두해야 함에 있어 고충을 토로하고 있다. 이러한 상황에서 업계는 정부의 CISO 강화책에 대해 반가운 기색을 나타냈다. 특히 금융위의 CISO 전임제와 CISO 임기보장제에 대해 반응이 호의적이다.
김준범 CJ헬로비전 정보전략실 상무는 “보안총책임자의 역할은 다른 C레벨 임원들과 다르다”며 “CPO, CIO가 한 사람이 전담하지 않도록 제도적으로 방지해야 한다”고 말했다.
그는 각 책임자가 자신의 위치에서 보다 전문적으로 활동할 수 있어야 하는데, 잘할 수 없는 일을 잘하라고 시키는 것과 마찬가지라고 강조했다. 기술적으로 처리할 수 있는 분야만을 담당해야 하는데 그 외의 것을 주문하게 된다면 결국 모든 분야에서 실패할 수밖에 없다.
또한 그는 사고가 났을 때 처벌만을 강조하는 현재 상황에서는 기업이 보안환경을 강화하는데 발전이 있을 수 없을 것이라며, 무조건적인 임기보장보다는‘삼진 아웃제’같은 추가적인 보완책으로 CISO가 제 역할을 할 수 있는 환경을 제공하는 것이 무엇보다 중요하다고 덧붙였다.
CIO와 CISO를 겸임하고 있는 박종화 LG유플러스 상무 역시 같은 의견을 제시했다.

▲ CIO가 보안 감각이 뛰어나 정보보호와 관련된 기술, 법률, 관리적 이슈에 대해 이해가 높다면 그 편이 보안정책을 구축하는데 더 뛰어날 수 있다. 그러나 결국 리스크 관리에 대한 의사결정 구조 측면에서 CIO와 CISO가 분리되는 것이 현명한 선택이 될 것이다.” 박나룡 쿠팡 정보보안실 실장

박 상무는“IT프로젝트를 구축하고 실행함에 있어서 CIO 역할과 보안을 염려해야 하는 CISO 역할이 상충되는 것을 느낄 때가 있다”며“아직은 과도기적 과정을 거치고 있어 CIO가 CISO를 겸임하는 경우가 많지만, 궁극적으로는 분리되는 것이 기업의 리스크 관리차원에서 옳은 해답이 될 수 있을 것”이라고 말했다.
더불어 그는 “보안은 1~2달만에 완성되는 것이 아니라 전체 시스템을 바꿔야 겨우 티가 나는 세심한 작업”이라며 “보안 사고가 일어났다고 해서 처벌하면 누가 CISO 역할을 수행할지 걱정이 앞선다”고 말했다.
더불어 보안책임자는 자기의 소신을 가지고 일할 수 있는 환경이 갖춰지기까지 2~3년의 시기가 필요한데, CISO가 수시로 교체되는 상황에서 정말 보안에 대해 유능한 사람이 그 자리를 원하겠냐고 반문했다.
쿠팡의 박나룡 실장은 보다 강력한 CISO의 역할이 필요하다고 강조했다. 단순히 IT의 한 부분으로써의 보안영역이 아닌 전사 관점에서의 새로운 역할 조명이 필요하다고 말했다. 그는 기업들이 IT를 담당하는 조직에는 개발, 인프라, DB 등을 다루고, 보안은 이들을 통제하
는 계정, 접근 권한 등 다양한 방식으로 관여하기 때문에 비슷한 속성으로 여기고 있다고 말했다. 그러나 IT 분야는 가용성을 중시하고, 보안분야는 기밀성과 무결성에 집중하기 때문에 서로 다른 분야임을 인식할 필요가 있다고 설명했다.
박 실장은“CIO가 보안 감각이 뛰어나 정보보호와 관련된 기술, 법률, 관리적 이슈에 대해 이해가 높다면 그 편이 보안정책을 구축하는데 더 뛰어날 수 있다”며“그러나 결국 리스크 관리에 대한 의사결정 구조 측면에서 CIO와 CISO가 분리되는 것이 현명한 선택이 될 것”이라고 전했다.

▲ “정보전략팀 주도로 전사 임직원에 대해 보안교육을 시행하고 있지만, 정부차원에서 시행하는 보안교육에 더 집중력 있게 반응하고 있다. 정부가 나서서 보안 컨트롤 타워를 실시하게 된다면 국내 기업 보안에 진일보한 발전을 가져올 수 있을 것이다.” 고명수 한국타이어 정보전략팀 팀장

정부 주도의 통합 보안 정책이 필요하다

정보보호도 기업업무의 일부로써 분명한 범위의 ‘상벌제도’가 반드시 필요하다. 단순히 벌만 주는 규제보다도 기업에게는 실제적인 혜택이 있는 인센티브 제도가 필요하다는 것이 업계의 주된 의견이다.
기업에‘아무 일이 없다’는 것은 결국 보안책임자가 자신의 역할을 다하고 있다는 것인데, 이에 대한 모든 공은 단 한번의 보안사고로 묻힌다는 것이다.
구태언 테크앤로 법률사무소 대표변호사는 “정보유출사고가 발생했을 때 C레벨 임원에 대한 처벌만을 강화한다고 해서 문제가 해결되지 않는다”며 “재방방지 대책이라는 것이 반드시 범죄를 막을 수 있는 것은 아니다”라고 말했다.
그는 형법이 있고 경찰의 수를 늘리면 범죄를 어느 정도 줄일 수는 있어도 재발을 원천적으로 방지할 수는 없다고 말했다. 정부는 이런 현재의 보안환경을 직시하고 기업이 정보보안에 관심을 얼마나 가지고 투자를 했는지, 정보보안을 담당하는 임직원을 기업 내 의사결정에 참여시켰는지에 대한 노력을 평가해 이를 착실하게 수행한 기업에 대해서 죄를 감면하는 방안이 필요하다고 주장했다.
구 변호사는 “정보유출을 당한 기업을 강하게 벌하기 시작하면 기업들은 정보유출사고를 더 숨기게 될 가능성이 높다”며 “정부는 상과 벌 어느 쪽이 실질적으로 기업보안을 더 강화할 수 있는 방안인지 고민해 볼 필요가 있다”고 말했다.
반면 한민기 LG화학 상무는 보다 강력한 정부 규제가 필요하다는 의견을 내놓았다. 현재처럼 보다 강력한 컴플라이언스 규제가 있다면, 기업 리더들이 기업리스크 차원에서 보안을 보다 적극적으로 반영할 수 있다고 보는 것이다.
한 상무는 “현재 국내에서는 규제에 맞추기 위한 보안이 대다수일 것”이라며 “그러나 미국의 사례처럼 징벌적 규제가 강화된다면 어떤 기업의 CEO라도 보안에 대해 적극적으로 투자를 하게 될 것”이라고 전했다.
그는 단순히 보안에 대한 투자를 강조하자는 것이 아니라, 그 속에 담겨있는 의미를 파악해야 한다고 주장했다. 단순히 지금 내부자에 의한 개인정보유출이 화두가 되었다고, 그 나머지 보안에 대해서는 등한시할 것이 아니라 함께 보안을 점검해야 한다는 것이다.
한 상무는 “예전에는 기술유출, 작년에는 해킹, 올해는 개인정보 유출 등 해마다 보안에 대한 이슈가 있어왔다”며 “그동안 몇몇 기업을 제외하고 보안을 등한시해온 결과가 오늘날까지 이어졌다”고 말했다.
그는 완벽한 보안은 있을 수 없다고 말하며, 징벌적 규제를 통해 전체적인 보안 수준을 최소한으로 끌어올릴 필요가 있다고 강조했다.
고명수 한국타이어 팀장은 정부가 주도할 수 있는 교육사업에 대해 집중할 필요가 있다고 주장했다. 기업 내의 경우 보안책임자가 컨트롤 타워 역할을 하며 보안을 진두지휘하게 되는데, 이를 정부가 나서서야 한다는 것이다. 특히나 보안정책에 있어 의사결정을 내릴 수 있는 경영층에 대해 보안 정책을 이끌 수 있는 역량을 배양할 수 있도록 지원해야 한다고 주장했다.
고 팀장은 “정보전략팀 주도로 전사 임직원에 대해 보안교육을 시행하고 있지만, 정부차원에서 시행하는 보안교육에 더 집중력 있게 반응하고 있다”며 “정부가 나서서 보안 컨트롤 타워를 실시하게 된다면 국내 기업 보안에 진일보한 발전을 가져올 수 있을 것”이라고 전했다.

▲ “정보유출을 당한 기업을 강하게 벌하기 시작하면 기업들은 정보유출사고를 더 숨기게 될 가능성이 높다. 정부는 상과 벌 어느 쪽이 실질적으로 기업보안을 더 강화할 수 있는 방안인지 고민해 볼 필요가 있다” 구태언 테크앤로 법률사무소 대표변호사

기업보안‘0’부터 다시 생각하자

정부는 2014년 3월 10일‘금융분야 개인정보유출 재발방지 종합대책’을 내놓으며, ICT에 기초한 신용사회 기반 재구축에 돌입한다고 밝혔다. 이 자리에는 기획재정부(부총리 겸 장관), 금융위원회, 안전행정부, 미래창조과학부, 방송통신위원회, 금융감독원이 함께 자리를 해 앞으로 정보유출에 대한 정책이 통신, 의료, 공공부문으로 확대 될 것을 예견했다.
그러나 정작 보안사고에 대처할 수 있는 CISO가 국내에 극소수이다. 미국 등 해외의 경우, 유출 사고 경험이 있는 CISO는 오히려 높은 몸값을 받고 스카웃되고 있는 것에 비하면 국내 CISO의 위상은 아직도 그리 높지 않다.
결국 CISO의 위상강화는 기업과 정부가 정보보안을 어떻게 대응할 것인가에 대한 인식에서 출발한다고 볼 수 있다. 유출· 해킹사고가 났을 때 보안책임자를 문책하는 것이 정보보안의 강화가 아닐 것이다. 사전 예방이 중요하겠지만, 결국 사고가 난 뒤에도 어떻게 대처할 것인가 능력을 키우는 것이 현재 우리나라 IT보안 환경에서 무엇보다 중요하다.
보안은 결코 CISO나 보안책임자만의 문제가 아니라는 것을 연이은 보안사고로 깨닫게 된다. 보안의 다음 단계로 전 임직원이 함께 경각심을 갖고 참여해줘야 하는 일이라는 인식이 무엇보다 필요하다.