일반산업군, 전임 CISO가 필요하다

양광수 기자 ksyang@ciociso.com

5월호 취재를 다니며 보안의 위상에 대해 다시 한번 확인했다. 그러나 보안의 중요성에 대해서는 모든 기업이 강조하고 있지만 보안 부서를 운영하는 방안에 대해서는 명확한 답을 내놓지 못하고 있다. 각종 사고와 사태를 겪으며 보안에 대한 중요성은 인지하고 있지만, 방법론에 대해서는 제 각기 다른 해답을 내놓고 있다.

이는 그동안 성장위주로 구성됐던 IT 산업이 ‘보안성’과 ‘기밀성’을 통해 재구성되는 과도기적인 모습이기도 하다. 일반 산업군은 그동안 각종 보안사고를 겪으며, 또 바라보며 보안이 기업의 신뢰도에 미치는 영향에 대해 뼈저리게 경험한 데 기인한다.

그럼에도 불구하고 전임 CISO가 일반산업군 내에서 보이지 않는 이유는 바로 예산 문제일 것이다. 현재와 같은 저 성장 시대에 비용만 유발하고, 성장에 발목을 잡는 CISO 역할에 대해 기업 경영층 입장에서는 부담스러울 수밖에 없다. 결국 이러한 문제들이 CIO와 CISO가 겸임하는 가장 큰 이유이다.

CIO와 CISO가 겸임한다고 당장 큰 문제가 생기는 것은 아니다. 실제로 금융권에서는 보안에 대해 해박한 CIO(혹은 CPO)가 CISO를 겸임하며 시너지 효과를 창출하는 곳도 있다. 그러나 CIO와 CISO는 결론적으로 다른 목표를 보는 자리임을 인지할 필요가 있다.

CIO는 기업의 이윤창출을 위해 IT를 활용하고자 한다. 이는 ‘더 편하게‘, ’더 신속하게’와 맞닿아있다. 반면 CISO는 보안을 위해 IT를 검토하는 역할을 한다. 이는 ‘더 단단하게’, ‘더 안전하게’와 맞닿아 있다. 결국 CIO와 CISO는 서로 다른 길을 걷는 것이다. 이로 인한 역할의 고민은 모든 겸임 CISO에게 있다.

또 한 가지, 전임 CISO가 필요한 근본적인 이유는 보안부서와 보안문화의 패러다임의 변화 때문이다. 최근 보안부서의 업무수행능력은 사후 방어에서 사전 능동 방어로 진화하고 있다.
자리에 앉아서 현업부서의 업무를 방해하는 부서가 아닌 전사적인 보안 문화를 창출할 수 있는 부서로 탈바꿈하는 것이다. 몇 가지의 통제시스템과 보안 시스템을 통해 보안을 해결하려던 시기는 이미 지났다. 보안을 보다 잘 이해하고, 현업 부서와 조화롭게, 보다 공감을 이끌어 낼 수 있는 CISO가 필요한 것이다.

CISO는 보안을 관제하는 기업의 컨트롤 타워이다. 그러나 컨트롤 타워가 다른 요인에 영향을 받게 된다면 컨트롤 타워로써의 역할을 잃게 된다. 전임 CISO를 중심으로 보안부서 및 전사 보안문화가 정착될 수 있다면, 당장은 성장이 더디게 느껴질 수도 있다. 그러나 한 순간 무너지는 모래성과 달리 튼튼한 성으로써 영속적인 기업운영이 가능할 것이다.

물론 이것은 표면적으로 볼 때 전임 CISO가 가질 수 있는 장점일 것이다. 그러나 내면을 들여다본다면 CISO는 기업의 신뢰도 향상, 브랜드 가치 방어 등 기업운영에 필요한 근원적인 가치를 제공할 수 있다.
겸임을 하는 것이 효율적일지, 단독 임명을 하는 것이 효율적일지에 대한 답은 기업 스스로에게 달려 있다. 그러나 보다 안전한 길을 선택하라고 묻는다면 답은 하나일 것이다.