2024.05.03 (금)
속초15.7℃- 18.7℃
- 철원19.0℃
- 동두천19.2℃
- 파주16.3℃
- 대관령12.0℃
- 춘천19.0℃
- 백령도13.0℃
- 북강릉15.0℃
- 강릉18.6℃
- 동해14.6℃
- 서울19.6℃
- 인천16.4℃
- 원주20.2℃
- 울릉도16.5℃
- 수원16.2℃
- 영월18.3℃
- 충주17.7℃
- 서산15.1℃
- 울진14.7℃
- 청주21.0℃
- 대전19.6℃
- 추풍령15.1℃
- 안동20.0℃
- 상주17.2℃
- 포항18.3℃
- 군산14.9℃
- 대구20.7℃
- 전주17.6℃
- 울산14.3℃
- 창원15.3℃
- 광주19.7℃
- 부산15.8℃
- 통영15.2℃
- 목포15.6℃
- 여수16.6℃
- 흑산도13.5℃
- 완도15.9℃
- 고창13.7℃
- 순천14.2℃
- 홍성(예)16.6℃
- 18.0℃
- 제주16.5℃
- 고산15.4℃
- 성산14.0℃
- 서귀포16.9℃
- 진주15.0℃
- 강화13.3℃
- 양평20.9℃
- 이천19.8℃
- 인제16.9℃
- 홍천18.9℃
- 태백13.3℃
- 정선군16.1℃
- 제천15.8℃
- 보은16.5℃
- 천안18.4℃
- 보령13.9℃
- 부여16.1℃
- 금산18.3℃
- 19.3℃
- 부안14.6℃
- 임실15.3℃
- 정읍15.1℃
- 남원19.0℃
- 장수14.4℃
- 고창군13.1℃
- 영광군14.0℃
- 김해시16.4℃
- 순창군16.8℃
- 북창원16.9℃
- 양산시15.3℃
- 보성군14.2℃
- 강진군15.6℃
- 장흥13.8℃
- 해남13.8℃
- 고흥12.7℃
- 의령군15.9℃
- 함양군15.7℃
- 광양시16.3℃
- 진도군13.4℃
- 봉화14.0℃
- 영주16.9℃
- 문경16.4℃
- 청송군12.4℃
- 영덕13.0℃
- 의성16.2℃
- 구미17.1℃
- 영천17.5℃
- 경주시14.1℃
- 거창15.0℃
- 합천19.1℃
- 밀양16.8℃
- 산청17.7℃
- 거제13.6℃
- 남해15.2℃
- 15.8℃
금융기획|CISO 역할 정의
CISO, 역할 명확히해야 통제할 수 있다
CIO와의 업무조정 필요, 책임외에 강력한 권한주어져야
최근 금융당국의 시책에 따라 국내에서 처음으로 CISO에 임명된 모 금융사 CISO는 임명된 이후 고민이 이만저만이 아니다. 막상 임명되고 자신의 역할을 찾아보니 어디서부터 손을 대야할지 엄두가 나지 않는다. 직책은 주어졌고 이에 따른 책임소지가 따르게 되지만, 권한에 대해 애매한 요소들이 많기 때문이다.
보안에 대한 계획과 통제는 알겠는데, 운영을 어디까지 해야하는가에 대한 부분이다. 회사에서는 그동안 CISO 직제에 대한 경험이 없기 때문에 이에 대한 역할정의가 분명치 않다. 운영을 다하자니 한도끝도 없을 것이고, 이는 분명히 CIO 업무와 중첩되는 부분이다.
그렇다고 운영 부문에 손을 대지 말자니, 모든 보안요소가 담긴 부분이어서 간과 할 수는 없다. 역할에 대한 정의조차 명확치않아 실제 책임소지가 발생했을 때는 여러 가지 혼선이 따를것은 불보듯 명확하다. 그렇다고 손을 놓고 있을 수만은 없다. 모든 보안의 발등(?)이 자신에게 떨어지기 때문이다.
이런 부분은 CISO라면 누구나 고민하는 영역이다. 운영보안이 사실 그렇게 만만치 않기 때문이다. 데이터와 프로그램, 프로세스에 대한 모든 영역을 통제하고 관장한다는 것은 CIO 역할을 하는 것이나 다름이 없다. 그렇다고 운영 부분에서 보안의 성격을 따로 떼어서 생각하기도 애매하다. 모든 것이 섞여있고 혼재되어 있기 때문에 보안영역만을 따로 생각하기에는 무리수가 따른다.
결국, CISO 제도가 국내에 제대로 안착되기 위해서는 보안업무의 구체화, CIO와의 역학관계, 법적인 제도의 개선이 필요하다는 것이 업계의 지적이다.
보안 업무를 구체화하라
 |
||
| ▲ "보안은 관리적인 측면이 중요한 만큼 기술은 다 숙지하면서 기본 매뉴얼에 충시했느냐를 따져야 한다. '뚫리고 나서 아차'하면 땅을 치게 된다. 그만큼 관리는 강조해도 지나치지 않다. 따라서 제도와 운영, 사후점검을 직접 챙겨야 한다" 신한은행 이병도 CISO | ||
현재 CIO와 CISO를 겸임하고 있는 유안타증권 IT본부 황국현 상무는 “CISO 역할 설정을 제대로 하는 것이 중요하다”며 “CISO가 되도록 대표 밑에서 보안팀을 기반으로 조직을 새롭게 구성해야할 필요가 있다”고 말했다.
과거에 CIO는 보안 제품에 대한 구매 및 품의에 대한 책임이 있었지만, 일부 업무를 CISO로 이관해야 한다는 것이다. 중심은 CISO가 갖춰나가고, 감사와 컴플라이언스, 총무, 인사 부서와 머리를 맞대고 보안과 관련된 프로세스를 만들어야 한다는 것이다.
현재 유안타증권은 회사 내부적으로 매뉴얼을 새롭게 만들고 있다. 국내에서는 참고할 만한 사례가 없기 때문에 각 회사의 상황에 따라 만들 수밖에 없다는 것. 유안타증권은 매뉴얼 작업과 함께 전체 직원에 대한 보안교육이 이뤄질 수 있도록 포탈 사이트를 새롭게 개설했다. 각 직원의 PC 상황을 자동적으로 캐치해 미흡한 상황에 대해서는 조치할 수 있게끔 하는 것이다.
이 포탈사이트에는 개인에 대한 보안지수가 점수로 표기되며 팀의 점수도 확인할 수 있다. 점수가 미흡할 때에는 원인을 분석해 각 필요한 항목(보안패치 업데이터, 단말기 준수사항, 교육 등)중에 부족한 부분이 없는지 자가진단을 할 수 있게 했다. 황국현 상무는 “필드에서 보안의 중요성은 지켜야할 상황에 대해 사용자가 제대로 지키고 있는지 알게끔 해야하는 것”이라고 말했다.
CISO 역할정의를 새롭게 구축하고 있는 유안타증권은 상벌 제재 규정도 새롭게 구성하고 있다. 위반사항에 대해서는 그에 따른 제약이 따르는 체계를 만드는 것이다. 기술적인 부분은 시중에 나와 있는 솔루션을 참고하면 되기 때문에 그렇게 어려울 것이 없다는 입장이다. 내부 보안을 위한 FDS 시스템도 하나의 중요한 통제 요소이다. 빅데이터처럼, 로그데이터와 트렌잭션 데이터에 대한 모니터링을 실시하고 있다. 이체 시 이상 징후에 대한 다양한 패턴을 만들어 이를 탐지해 내고 있다.
황국현 상무는 “업무에 대해 되도록 보안요소가 깊숙이 자리잡을 수 있도록 제도적 장치를 마련하는 것이 중요하다. 핵심요소에 대한 제도적 장치를 만들어 이를 통제하고, 상당 부분 운영에 대한 것은 IT 부서에서 담당해야 한다”고 말했다.
그는 CIO와 CISO는 절대로 별개가 될 수 없으며 상당부분 운영적인 측면은 CIO 부서에서 담당해줘야 한다고 강조했다. 그렇지 않으면 또 하나의 IT 부서를 만드는 형국이 될 것이며, 이것이 자칫하면 서로 간에 기 싸움(?)으로 번질 우려가 있다“고 말했다.
역할 범위를 가시화해야
신한은행의 이병도 CISO는 "보안은 관리적인 측면이 중요한 만큼 기술은 다 숙지하면서 기본 매뉴얼에 충시했느냐를 따져야 한다. '뚫리고 나서 아차'하면 땅을 치게 된다. 그만큼 관리는 강조해도 지나치지 않다. 따라서 제도와 운영, 사후점검을 직접 챙겨야 한다"고 말했다. 이런 관리를 위해서는 계획과 운영 및 관리 그리고 일부 준법기능을 가져가는 것이 맞는 방법일 수 있지만 이렇게 되면 일의 범위가 광범위해 진다.
따라서 법과 관련된 부분은 전문 변호사에게 의뢰하고 검사는 감사부에서 진행하는 것도 방법이다. 기술과 운영은 CIO 부서에서 담당하고, 보안설비 영역은 보안부서에서 담당하는 것도 방법이 될 수 있다. 정보보안은 시스템 참여 사항이 아니며 기업의 수문장 역할을 하는 것이 맞다는 지적이다. 대부분의 설비와 시스템은 CIO 부서에서 담당하고, 보안을 위한 길목, 입구는 보안부서에서 담당하는 것이 방법이 될 수 있다.
결국 총괄은 보안부서에서 하지만 각각의 역할은 별도 업무 성격에 따라 당당하는 방식이다. 하지만 이런 총괄을 위해서는 그만큼의 권한이 CISO에게 주어져야할 것으로 보인다. 업계에서는 CISO가 소신껏 정보체계를 만들고 실행하기 위해서는 CEO가 그에 걸맞는 권한을 줘야한다는 지적이 높다. 일부 부장급의 직급으로는 보안 통제를 이룰 수 없다는 것이다.
하지만 회사 입장에서는 수익이 우선시되는 만큼 보안에 있어서 비중이 그리 높이 않은 것이 현실이다. 현재에도 책임만 있을 뿐 그에 대한 권한은 아직 주어지지 않고 있다. 하지만 점차 CISO 직급이 고착화되면 서서히 합리적인 선에서 방향을 잡아갈 것으로 보인다.
실행부터 컨트롤까지 CIO와 협업
 |
||
| ▲ "정책을 세우는데 있어서 정의를 만드는 것처럼 중요한 것은 없다. 또한 비즈니스 환경이 바뀌면 정책도 이에 준해서 계속 변해야 한다. 업무가 먼저 나오게 되고 정책이 나오면 힘들어진다. 따라서 먼저 정책을 잘 만들고 교육을 시켜야 통제가 가능하다" 국민은행 김종현 CISO | ||
CIO와 협업하는 것도 가장 현실적이며 적극적인 방식이다. 아직은 모든 업무에 대해 서로간의 역학관계가 명확하지 않기 때문에 상황에 따라 적절하게 대응하는 방법을 모색해 볼 필요가 있다. 보안 프로세스가 명확하게 서지 않으면 회사가 위험할 수 있다는 상황을 서로 인식하고 보안을 최우선으로 두는 마인드가 필요하다. 불편해도 그 환경에서 서로 합리적인 프로세스를 찾아내는 것이다.
현재는 CISO 제도가 도입된 초기여서 생색내는 수준이 되기 쉽다. 실제 보안을 다뤄본 전문가도 그렇게 많지는 않다. 업무역할 정의도 명확치 않아 잘못하면 떠넘기기식이 될 공산이 높다. 또한 서로 간에 균형을 잡기가 쉽지 않다. A금융사의 CISO는 "DB 암호화의 경우, IT안에서 구현해야하는데 이에 대한 역할 구분이 명확하지 않다. 실행은 CIO가 하지만 보안요소를 체크해야하는 것은 CISO이다. 따라서 그때 그때 서로간에 필요한 영역을 나눠서 역할분담을 해야할 것"이라고 말했다.
하지만 CIO와 CISO간의 협업이 장밋빛 관계만을 가져다주진 않을 수 있다. 서로간에 업무가 중첩되는 부분이 있어 경쟁이 생기면 서로 시비가 생길 수 있다. 이것을 중재하는 것은 CEO이겠지만, 세부업무를 잘 모르는 상황에서 이를 중재하기는 쉽지 않다. CISO가 상급자일 경우에는 CIO의 업무를 제어할 수도 있다. 업계 관계자는 "CISO가 보안 부분으로 시비를 걸게 되면 CIO가 대응하기 어렵다. 업무 이기주의에 빠지게 되면 상당히 어려워 질 수 있다"고 지적했다.
보험개발원의 이건국 이사는 "어차피 업무는 중첩되어 있다. 따라서 업무를 두부자르 듯이 하면 안된다. 업무 특성을 고려해서 서로 협업을 해야 한다. 예를 들어 보안 기기가 들어오면 보안에 문제없는지 파악해야하는데 서로의 입장만 생각하게 되면 일이 진척이 될 수 없다. 의견을 조정해서 하면 일은 풀리게 되어 있다"고 말했다.
하지만 책임문제가 생기면 서로 힘들어 질 수 있다. 문제가 생기면 CISO가 총알받이가 될 수 있다. 업계에서는 우스갯소리로 퇴임을 앞둔 임원을 CISO로 임명하는 것도 하나의 방법이라는 말도 나오고 있다. 문제가 발생하면 내부 문제일 가능성이 많기 때문에 사전에 보안에 대한 방책과 규정을 보강해야 한다. 물리적으로 시스템 만들어 강제로 처리할 부분은 처리하면서 보강을 해나가야 한다.
보안의식이 좋아지면 사실 CISO가 해야할 일이 줄어드는 것은 당연한 일이다.
CISO의 역할을 강화한다
 |
||
| ▲ "어차피 업무는 중첩되어 있다. 따라서 업무를 두부자르 듯이 하면 안된다. 업무 특성을 고려해서 서로 협업을 해야 한다. 예를 들어 보안 기기가 들어오면 보안에 문제없는지 파악해야하는데 서로의 입장만 생각하게 되면 일이 진척이 될 수 없다. 의견을 조정해서 하면 일은 풀리게 되어 있다" 보험개발원 이건국 이사 | ||
보안업무에 대한 구체화, CIO와의 협업도 중요하지만 보안 담당자에 대한 신뢰와 전폭적인 지지가 이뤄져야 한다는 지적도 있다. CISO 직제가 국내에 정착되기 위해서는 문화가 바뀌어야 한다는 것. 문화의 정점은 "부탁을 할것이냐, 통제를 할것이냐"라는 방법의 차이이다.
업계에서는 CISO 조직이 부탁을 한다는 것은 말이 될 수 없다며 비교 대상도 될 수 없다고 강조한다. 마스터로서 통제를 하려면 정책을 만들고 마인드를 갖춰나가냐 한다는 것이다.
KB국민은행 김종현 CISO는 "정책을 세우는데 있어서 정의를 만드는 것처럼 중요한 것은 없다. 또한 비즈니스 환경이 바뀌면 정책도 이에 준해서 계속 변해야 한다. 업무가 먼저 나오게 되고 정책이 나오면 힘들어진다. 따라서 먼저 정책을 잘 만들고 교육을 시켜야 통제가 가능하다"고 말했다.
사실 보안에 대한 정의는 세우기가 쉽지 않다. 과거에는 없던 조직을 새롭게 세우는 것이기 때문에 표준화된 모범답안이 있는 것도 아니다. 여기에는 본부로서의 역할에 대한 정의가 필요한 부분이지만, CISO가 본부장일 때와 부장일때 역할은 크게 차이가 날 수 있다. 직급에 따라 그만큼 역할 범위는 달라질 수 있다. 보통 임원급의 CISO가 잘 생겨나지 않는 것도 기업의 상황이나 이러저러한 부담이 작용하기 때문이긴 하지만 무조건 CISO를 세운다고 해서 근본적인 보안체계가 세워지는 것은 아니다.
업계에서는 CISO 직제가 활성화되기 위해서는 실질적인 인센티브를 줘야 한다고 강조하고 있다. 규제에 맞춰서 형식만 갖추는 수준이라면 형식선에 그칠 수 있다는 것이다. 실질적인 인센티브를 통해 조직을 지원하고, 사기를 진작시키며, 금융당국도 규제만으로 문화를 바꾸지 못한다는 것을 인지하고 잘하는 부분에 대해서는 그에 상응하는 인센티브도 고려해야 한다는 지적이다.
또한 CISO만으로는 모든 보안업무를 감당할 수 없기 때문에 감독기관의 적극적인 지원이 필요하다고 업계에서는 말하고 있다. 계획과 실행 등 일의 범위문제 보다는 이런 현실적인 부분들부터 풀어간다면 일하기가 더욱 쉬워질 수 있을 것이라는 견해이다.
조직전체가 보안의식 갖춰 대응해 나가야
모 카드사 CISO는 “보안 업무가 대두되면서 역할에 대해 고민되는 부분은 책임에 대한 부분이다. 통제는 하겠지만 운영 중에 일어나는 사고에 대한 책임 부분이 가장 민감한 사안이 될 수 있다. 보통 회사의 조직에서 IT가 차지하는 영역은 10%도 안된다.
보통 회사에서 영업이나 리스크에서 대해서는 관심이 많지만 IT 조직에 대해서는 큰 관심을 기울이지 않는 것이 과거 조직의 모습이었다. 이제는 문제가 발생하면 회사 존망에 큰 타격이 있다는 점을 인식해 IT에 대한 위상을 새롭게 검토해 볼 필요가 있다”고 지적했다.
그는 이런 상황에서는 너일 내일이라는 입장보다는 CIO 및 CISO가 힘을 합쳐 IT 조직에 대한 파워를 높이고, 필요하다면 CEO와 CFO를 설득해 투자를 유치해내는 전략이 필요하다는 것이다. 서로 책임소재로 인해 티격 태격할 것이 아니라 책임을 서로 공유하고 협업하는 지혜가 필요할 때라는 것이다.
이와 함께 업계에서는 CISO에게는 사고가 발생하더라도 최소한의 임기가 보장되는 법이 마련돼야 업무에 집중할 수 있다고 강조한다. 이런 법적 장치아래에서 IT 부서 전체가 보안 인식을 명확히 하고, 같이 움직여야만 비즈니스를 성공시킬 수 있다는 견해이다. 어차피 사고가 나면 회사 전체의 책임으로 돌아오기 때문이다. 업계의 한 CISO는 “CISO도 불안에 떨 것이 아니라 적극적으로 자신의 업무를 찾을 필요가 있다”고 강조했다.
![[칼럼] IT관리에 반드시 필요한 AD(Active Directory)의 명(明) 과 암(暗) – 7편](http://ciociso.com/data/file/news/thumb-237248888_d0LZm7VM_2f9484b76e80219e381d870a861ae95684fb4384_118x78.jpg "[칼럼] IT관리에 반드시 필요한 AD(Active Directory)의 명(明) 과 암(暗) – 7편")
CIOCISO (ciociso.com) | 주소 : 서울특별시 노원구 동일로 1366 삼봉빌딩 604호 | 대표전화 : 02-3283-0488 | 상호명 : (주)씨미디어그룹
사업자등록번호 : 107-81-57633 | 대표자명 : 장명국 | 통신판매업신고번호 : 제2008-서울마포-01059호 | 인터넷신문 등록번호 : 서울, 아03158
등록&발행연월일 : 2014년 5월 16일 | 제호 : CIOCISO | 발행인 : 장명국 | 편집인 : 김민철 | 청소년보호책임자: 장명국
© Copyright 2012 CIOCISO All Right Reserved. mail to webmaster@ciociso.com
