금융기획 ∣ 보안거버넌스를 위한 고민과 고려사항

보안거버넌스, 권한과 책임, 가이드라인 제시돼야

각 금융기업마다 CISO 영입을 통해 새로운 보안거버넌스 체계를 모색하려 하고 있지만, CISO 직제와 거버넌스 체계가 구축되기까지는 상당한 논란과 진통이 예상될 것으로 보인다. 현재 금융당국의 지침에 따라 해당 금융기업들은 CIO외에 별도 CISO 모집을 완료하거나 검토 중이지만, 금융보안의 핵심인 보안 거버넌스는 아직 요원한 상태다.

방창완 편집국장 bang@ciociso.com

보안 거버넌스에 대한 구체적인 경험이 전무한데다 CIO와의 역할 정립 자체가 모호한 상태여서 보다 명확한 업무 구분부터 이뤄져야할 것으로 보인다. 이와 함께 업무 구분이 이뤄지더라도 실행을 위한 권한과 책임에 대한 명확한 가이드라인이 제시될 필요가 있다.
기존 CIO와의 역할 구분은 업무를 추진하는데 있어서 좌표 역할을 하는 핵심사항이다. A카드사의 한 CISO는 “전산 백업센터를 구축할 때 이에 대한 싸인을 CIO에게 해야할지, CISO에게 해야할지 혼란스러울 때가 있다. 이는 아직까지 CIO, CISO 직제에 대한 명확한 업무영역 구분이 이뤄지지 못하고 있기 때문”이라고 말했다.
전산백업센터 하나만을 두고 보더라도, 이를 사업연속성 측면에서 IT 영역으로 볼지, 보안 영역으로 볼지 논란의 여지가 있다는 것. 물론 CIO와 CISO를 겸임하는 경우라면 상관이 없지만 CIO와 CISO가 분리된 상태라면 관리감독에 대한 주체에 대한 혼선이 따르게 된다.

관리감독 주체를 명확히 해야

B보험사의 CISO는 “이것은 CIO와 CISO에 대한 명확한 구분이 이뤄지지 못했기 때문”이라고 말했다. 하나의 예를 들더라도, CIO와 CISO 역할 구분에 애매한 요소들이 상존해 있는데 거버넌스 측면에서도 새로운 혼선을 야기할 수 있다.
B보험사의 CISO는 “조직 내부통제와 감사의 최종 책임자를 누가할 것인가라는 문제도 있다. 내부 통제에 대한 총괄을 하더라도, 감사위원회의 통제를 받기 때문에 CISO의 역할이 불분명해 진다”고 말했다. 기본적인 거버넌스 체계가 마련돼지 않은 상태에서 기업 정보보안을 보안팀에서 도맡아서 한다는 것은 이치에 맞지 않는다는 것이다.
CISO로서 책임이 막중하다면 그만큼 권한도 강화해야한다는 지적이다. 결국 보안에 있어서 총체적인 관리와 모니터링은 감사 역할이라는 것. 판단과 제재를 감사부서에서 하고, 정책 및 모니터링을 보안팀에서 한다면 죽도 밥도 안된다는 의견이다.
업계에서는 보안 거버넌스를 추진하기 전에 우선 ‘역할 정의’부터 명확히 해야 한다는 의견을 보이고 있다. 지난 2000년 당시, 준법감시제도가 도입 될 때 기존의 부서와 충돌했던 경험이 있지만 지금에 와서는 그런 이야기가 없다. 그만큼 시간이 흐르면서 상충되고나 모순된 부분을 조절하는 과정을 거쳐왔던 것이다. 따라서 보안거버넌스를 위한 역할 정의도 시행착오와 진통을 통해 상호 조정될 여지가 있다.

보안팀 위상을 강화하자

C증권사의 CIO는 “문제가 발생됐을 때 보안이 빠진 상태에서 사고가 발생하는 경우는 없다. 보안은 사실상 모든 업무에 걸쳐 엮여 있다. 따라서 보안팀의 위상을 강화해야한다. 책임이 막중하다면, 명확한 역할 정의와 함께 그만큼의 권한과 보상이 이뤄져야 한다”고 말했다.
업계에서는 보안팀이 자연스럽게 내부통제 그룹으로 진화해야 할 것으로 보고 있다. 그래야 실질적인 내부 통제 및 모니터링 업무를 효율적으로 진행할 수 있다는 것이다. 필요하다면, 준법지원부서를 통해 필요한 상황을 찾아주고 도와줘야 한다는 것이다.
거버넌스를 위한 역할정립도 중요하지만, 보안에 대한 인식이 현업부서 전체에 자연스럽게 녹아낼 수 있는 일상 업무가 돼야한다는 지적도 있다.
D증권사의 CIO는 “수많은 상품과 프로세스가 계속 바뀌는데 일개 보안부서가 이를 따라갈 수 있을지는 의문이다. 사고가 발생하면 무조건 보안부서가 책임지라는 식의 발상은 안일한 생각이다. 회사차원에서 인식의 전환이 이뤄져야 한다”고 말했다.
그는 “보안은 당장 눈에 보이지 않는 부분이기에 비용부담보다는 투자 개념으로 인식해야한다. 세월호와 같은 개념이다. 사람에 대한 관리 및 제도가 중요하기 때문에 단순히 솔루션이 해결할 것이라는 생각은 착각”이라고 말했다. 그는 또한 “사람이 놓치는 부분을 시스템이 도맡아서 해준다는 것도 잘못된 발상이다. 모든 주체는 사람인만큼 업무를 하는데 있어서 보안은 생활화가 돼야 한다”고 말했다.

보안은 회사차원에서 생활화 하자

보안 거버넌스를 추진하는데 있어서 당연히 보안은 불편할 수밖에 없다. 하지만 시간이 지나면서 어느 정도 적응하고, 감수해 나가는 노력이 필요하다. 영업 및 마케팅부서에서 업무를 진행하는데 있어서 불편 없이 보안성을 유지한다는 것은 말이 안된다는 것이다.
보안거버넌스를 추진하기 전에 가장 중요한 것은 무엇보다 의식수준의 변화가 필요할 것으로 보인다. A카드사의 CISO는 “유럽은행의 경우, 통장을 분실하게 되면 상당한 시간이 걸린다. 오류발급을 방지하고 명확하게 업무를 추진하기 위한 것이지만, 국내에서 이런 인내심이 지켜질지는 의문이다. 1시간만 지연시켜도 잇따른 사고들을 막을 수도 있다”고 말했다.
습관이 된다면 아무런 문제도 없겠지만, 보안 거버넌스에 의한 통제가 이뤄진다면 이런 기다림이 국내 기업문화에서 받아들여질지는 의문이다.
A카드사 CISO는 “새로운 가치창출을 위한 경쟁은 좋은 말이다. 하지만 ‘빨리 빨리’ 문화에 의한 선점경쟁은 과다 인프라 투자를 양산하며, 사고의 여지를 높이고, 결국 모든 회사의 인프라 모양세가 똑같아지는 결과를 낳게 된다”고 토로했다.
이런 인식의 전환이 중요한 것은 실제 업무를 진행하는 보안부서와 현업간의 충돌을 야기 시킬 수 있기 때문이다. 보안문제가 발생하면 보안부서 입장에서는 같이 일을 했는데, 욕은 본인의 부서만 먹는다는 생각을 하게 된다. 현업에서는 무조건 업무를 방해한다고 생각을 여지가 높다. 결국 이것은 보안부서의 업무의지를 약화시키는 결과를 낳게 된다.
B보험사의 CISO는 “모든 업무가 사람이 하는 만큼 보안부서에 힘을 실어 줄 필요가 있다. 자부심이 중요하다. 자부심이 없으면 일을 진행할 수 없다. 회사대표이하 임원들의 인식전환이 필요하다. ‘일을 할 수 있는 분위기’를 마련해 줘야 한다”고 말했다. 담당 보안부서의 사기 진작을 위해서는 금융당국 차원에서 징계나 구속과 같은 일방적인 처벌보다는 면책과 같은 유연적인 제도가 뒷받침돼야 한다는 지적이다.

서로 협업하는 분위기를 조성하자

책임만을 묻는다면, 이런 살벌한 분위기 속에서 업무를 진행할 수 없다는 것이다. 업계의 한 CISO는 “차라리 필요하다면 CISO에게 CEO급의 권한을 부여할 필요가 있다. 주체적으로 의사결정을 할 수 있는 여지를 줘야한다. 책임만을 묻는다면 보안 거버넌스는 형식적인 선에서 그칠 공산이 크다”고 말했다.
업계에서는 결국 보안과 현업의 마케팅 부서는 같은 방향으로 가야한다는 지적이다. 자동차에 비유하자면, 리스크를 제거하고 제어해주는 역할을 보안부서가 담당하며, 엑셀레이터 역할은 현업의 마케팅 부서에서 담당한다는 것. 같은 자동차의 주요 기능들을 인정하고, 서로 협업할 수 있는 방향을 도모하는 것이 보안 거버넌스의 출발점이 될 것이라는 것이다.
브레이크만 밟게 되면 차가 움직이지 않을 것이며, 액셀레이터 만을 밟게 되면 필경 사고가 나게 된다. 각자의 역할이 있는 만큼 적절하게 서로간의 영역을 제어할 수 있는 환경을 만들고 이를 제어할 수 있는 제도적 장치가 보안거버넌스의 핵심이 될 것으로 보인다.