지난 5월15일부터 시행된 전자금융거래법 개정안에 따라 총자산 2조 원 이상이면서 종업원 수 300명 이상인 금융회사는 임원급 CISO를 선임해야 한다.
감독당국에서는 전임 CISO를 임명하도록 권고했지만, 현재 CISO를 별도로 선임한 곳은 은행, 증권, 카드, 보험 전 금융권을 통 털어 손에 꼽을 정도로, 대부분의 금융사들이 CIO와 CISO를 겸직하고 있는 실정이다. 금융당국이 CISO 별도 선임을 권고하는 있음에도 기업들은 임원을 증원하는 데 따르는 비용, 조직개편 등에 대한 부담 때문에 겸임 체제를 고수하고 있다.
이에 전임 CISO로 임명된 인사 중 두 분을 만나 정보보호 정책과 계획, 그리고 겸임겴活?CISO에 대한 생각을 들어봤다.

연보라 기자 bora@ciociso.com
 

서춘석 신한은행 IT개발본부장

“보안은 머리수 아닌, 전문성과 의식 관건”

▲ CISO 임명 시기와 배경은
기획파트 내에 정보보안실이 별도 조직이 있어 CIO 직속으로 두었는데, 이번에 CISO를 임명하면서 정보보안실을 CISO 직속으로 직제를 개편했다.
본래 IT 개발부서를 맡고 있다가 2012년 5월7일 CISO로 발령 받아 개발부서장과 CISO를 겸직하고 있다. 엄밀히 말하면 전임 CISO는 아니라고 할 수 있지만 CIO를 겸직하는 형태는 아니다.

▲ 귀사의 정보보호 조직은 어떻게 구성되어 있는가
은행권들은 대개 정보보호 관련 부서가 2개로 나뉘어져 있다고 보면 된다. 하나는 IT적인 보안을 담당하는 정보보안실이고 실무적인 보안, 예를 들면 고객 혹은 내부직원의 정보 처리에 관한 동의서를 받는 등의 준법적인 부분을 맡고 있는 부서는 개인정보보호파트이다.
정보보안실은 업무개선그룹에 속해있고 개인정보보호파트는 업무지원본부 소속인데, 두 부서가 상호 견제도 하고 협조도 하면서 정보보호 업무를 같이 수행하고 있다.
사실 처음에는 두 부서를 하나로 통합하자는 의견도 있었다. 통합이든 분리든 다 장단점이 있겠지만 IT적인 편견 없이 정보보호를 바라보는 부서도 하나 있어야 한다는 판단에서 분리 체제로 남겨두었다. 너무 IT적인 시각만 있으면 미흡한 부분이 생길 수 있기 때문에 법리해석 등의 실무적인 부서가 있어야 서로 보완이 가능할 것이라고 본다.

▲ 정보보호 거버넌스에 대한 준비와 관심분야는
사실 요즘 가장 신경을 쓰고 있는 부분이 인력 문제다. 금감원의 감독규준에 보면 전체 인력의 5%를 IT 인력으로, 또 IT 인력의 5%를 정보보호 인력으로 책정하도록 하고 있다.
신한은행의 전체 직원이 14460명 정도 되는데, 여기에서 IT 인력 5%를 산정하면 723명 가량이다.
여기에서 또 보안 인력 5%를 산정하면 36명 정도가 나온다. 현재 신한은행에는 700명가량의 IT 인력과 34명의 보안 인력을 보유하고 있는데, 최대한 금융당국의 정책을 성실히 준수하겠다는 방침이지만 전체 직원 수가 유동적이기 때문에 항상 5%대를 유지한다는 것이 쉽지 않다.
헌데 사실 보안인력이 34명이라는 것이 다소 과한 면이 있다. 반면 아주 작은 규모의 기업에서는 5%라는 인원이 모자라는 경우도 생길 수 있다.
일률적으로 전체 인원의 몇 %로 못박아두면 효율적인 인력관리가 어려워진다. 머리수가 많다고 안전한 것은 아니라고 생각한다. 기업 규모에 따라 차등적으로 비중을 달리할 필요도 있다고 본다.
대신 정보보호 예산만큼은 약 125억 원가량으로 IT 감독규준의 기준 7%를 웃도는 8.5%대로 책정돼 있다. 서진원 행장도 정보보호에 있어 과감한 투자를 강조하고 있다.
정보보호에 있어서 머리수보다 중요한 것은 전문성이다. 따라서 우수한 정보보호 인재를 확보하고 관리하는 것에 대한 관심이 크다. IT는 모든 부서 중에서도 전문적인 분야이고, 그 IT 중에서도 보안은 전문화된 영역이다. 그러니 보안담당 인력들의 경우 채용과정이나 커리어 패스 등이 다른 직원들과는 좀 다를 수 있다. 그들에게 비전을 제시하고 동기를 부여하는 것이 모든 CISO들의 숙제라고 생각한다.
오히려 시스템적인 부분은 크게 염려하지 않는다. 여러 보안 관련 제품들이 너무 많이 쏟아져 나오고 있기 때문에 그런 것들을 잘 활용해 구축하면 해결되는 부분이다. 그러나 더 중요한 것은 구축 후 모니터링하고 가이드에 따라 잘 사용하는 것이다.
특히 직원들의 정보보호 의식, 정보보호 생활화가 관건이다. 은행이라는 곳은 고객의 정보를 늘 접하면서 일하고 있기 때문에 개인정보가 유출될 소지가 많은 것이 사실이다.
업무상 고객의 정보가 담겨있는 서류를 무심코 휴지통에 버리기도 하고, 고객의 정보를 PC에 저장해 놓고도 그 사실을 모르고 있기도 하다.
이런 것들은 직원드리 몸에 배어 습관화가 될 때까지는 계속적으로 의식 개선 유도 작업이 이뤄져야 할 것으로 보인다.

▲ 많은 CISO가 CIO를 겸직하고 있는 것에 대해 부정적인 시선이 많은데 이에 대한 의견은
CIO를 겸하고 있지는 않지만 개발본부장을 겸하고 있기 때문에 엄밀히 말하면 완전한 전임 CISO는 아니다.
물론 기본적으로는 CIO와 CISO는 완전히 분리되는 것이 낫다고 생각한다. 이론상으로 본다면 CIO가 CISO를 겸직할 경우 CIO가 예산의 압박을 받을 때 정보보안 관련 예산이나 인력을 먼저 줄일 수 있을 것이다.
그래서 별개 조직으로 떼어서 독립적으로 상호 보완 및 견제할 수 있게 하는 것이 바람직하다고 생각할 수 있다.
그러나 예산이 부족하거나 사람이 부족해서 보안 사고가 발생하느냐, 그건 아니라고 본다. 얼마나 전문성이 있느냐, 임직원들의 인식이 어떠한가 등에 더 크게 좌우된다고 생각한다. 고로 기업의 사정과 조직문화 등을 고려하지 않고 무조건적으로 CISO 분리만을 옳다고 고집하는 것도 바람직하진 않은 듯하다.
사실 농협 사태 이전만 해도 CIO라면 당연히 정보보안도 담당을 해야 했기 때문에 균형적인 감각으로 정보보안에 대해 신경을 써왔다.
물론 전임 CISO라면 온전히 정보보호에만 온 힘을 쓰기 때문에 사정이 나을 것이라는 생각도 든다. 장단점이 있다.

▲ 단독 CISO를 임명했다는 것은 정보보호에 대한 CEO의 인식이 높은 수준이라는 방증이기도 할 텐데, 실상은 어떠한가
당행 행장은 본래 IT 부장에서부터 본부장을 거쳐 현직에 오르신 케이스이기 때문에 누구보다 IT에 대한 이해와 정보보호에 대한 인식이 높다.
기업 전체 분위기를 보아도 예전에는 IT가 단순 업무 지원 부서로 인식됐었다면 이제는 동반자적인 혹은 IT가 오히려 선도해나가는 듯한 분위기가 감지된다.
그만큼 IT에 대한 지원과 관심이 크게 높아졌다는 뜻이다. 다른 기업들에서는 현업이 IT를 홀대한다는 말도 심심찮게 들리지만 당사에는 그런 사례는 찾아볼 수 없다. 현업 부서의 IT에 대한 협조가 굉장히 좋다. 이런 것들이 경영진들의 인식이 타 기업에 비해 높은 편이기 때문이라 생각한다.

▲ CISO로서 가장 큰 어려움은 무엇인가
아직 발령받은 지 오래지 않아 업무 파악이 완전하지 않다. 오래 전부터 개발업무를 맡아왔기 때문에 IT 시스템 및 전문적인 기술의 상세한 부분까지는 미흡하다고 생각한다. 앞으로 배워 나가야할 부분이 많다.
또한 직원들의 커리어 패스에 대해서도 고민이 크다. 지금의 보안 담당 직원들도 앞으로 승진을 해나갈 텐데, 어느 연령대가 되면 분명 직제 구조에 있어 한계상황 올 것이다.
보직은 한정돼 있는데 사람은 계속해서 위로 올라오니 일부 인원을 영업점에 파견하는 등 보직을 순환시키는 것이 필요한데, IT 혹은 보안 부서의 인재는 특수하고 전문적인 분야만을 다뤄왔기 때문에 현장 파견이 쉽지 않은 것이다.

▲ 현재 추진하고 있는 프로젝트가 있다면
전 분야에 걸쳐 다양하게 대비를 하고 있지만 특히 요즘 APT 차단 시스템의 구체적인 활용을 위한 방안을 구상하고 있다.
또한 출력물 보안을 강화해 고객 유출 위험을 줄이고 직원 PC 내에 고객 정보 파일이 저장돼 있는지 여부를 탐색할 수 있는 솔루션을 추가 도입할 예정이다.

 

이태연 미래에셋생명 컴플라이언스본부 이사

“CISO-CIO, 조화와 균형 이뤄 시너지 내야”

▲ CISO 임명시기와 배경은
2012년 2월1일자로 컴플라이언스(Compliance) 본부장 겸 CISO로 발령을 받았다.
전자금융거래법 시행령(12조 1항)에서 정하고 있는 CISO 자격 요건 중 하나가 임원급 선임인데, 당사에는 IT 본부에 단 2명이 있었다. 나머지 한 분이 CIO였기 때문에 내가 CISO에 선임됐다.

▲ 정보보호 조직은 어떻게 구성되어 있는가
물리적으로 독립돼 있는 별도 조직은 없고 컴플라이언스 본부 산하에 정보보호 관리 기능과 인력이 있다. IT 지원본부와는 독립된 조직으로 구성돼 있다.

▲ 준비과정과 관심 분야는
현재는 정보보호체계에 대한 중장기 마스터플랜을 수립 중에 있다. CISO 또는 준법감시조직에서 당사 조직에 적합한 정보보호 관리체계를 개발해 전사적이며 통합적인 보안 대응체계를 갖춰가는 것이 목표다. 이후에는 개인정보보호관리체계(PIMS) 인증 획득을 추진할 계획이다.

▲ 많은 CISO가 CIO를 겸직하고 있는 것에 대해 부정적인 시선이 많은데
각 업종 및 금융사별로 안고 있는 사정이 모두 다르고 현 상황에서는 CISO의 단독 임명이 어려운 것이 사실이지만, 종국적으로 단독 체제로 가는 것이 맞다는 생각이다.
CIO와 CISO가 독립적으로 임명돼야 하는 가장 큰 사유는 둘의 수행기능 차이라고 볼 수 있다. CIO가 정보를 활용(Usage) 관점에서 바라보는 반면 CISO는 통제(Control)의 관점으로 보기 때문에 양자의 양립성을 동시에 추진하는 데는 모순이 발생하기 때문이다.
CISO가 CIO와 서로 조화와 균형(상호 견제성)을 이뤄 시너지를 낼 수 있도록 하는 것이 중요하다.

▲ 단독 CISO를 임명하는 것이 맞는 방향이라는 데는 사회적인 합의가 이뤄진 듯하다. 그러나 금융사들의 실정상 쉽지 않다. 단독 CISO가 갖는 메리트는 무엇인가
몇몇 금융사를 제외한 대부분의 금융권에서 CIO가 CISO를 겸임하고 있다고 들었다.
다행히도 당사에서는 본인을 CISO에 단독으로 임명해주어 정보보호 업무에 집중할 수 있다. CIO를 겸직하는 것보다는 보다 효과적으로 정보보호 거버넌스를 수행할 수 있지 않을까 하는 게 개인적인 의견이다.
또한 CISO가 CIO를 겸임하거나 혹은 단독이라 하더라도, CIO 산하에 둔다면 CEO 및 BOD(이사회) 보고 시 정보보호 관점의 내용이 잘 전달되지 않거나 혹은 저지(blocking)될 우려가 있다고 생각한다. 바로 그런 점이 금융감독원에서도 CISO 단독 임명을 권고하는 입법 취지가 아닐까 한다.
이는 CIO를 무시하거나 소통하지 않겠다는 뜻은 아니다. CISO는 현실적으로 CIO와 다른 프레임(Frame)으로 목표와 경영성과를 보고 있기 때문이며 단독 체제가 책임경영체계 측면에서 장점이 있다는 말이다.

▲ 단독 CISO를 임명했다는 것은 정보보호에 대한 CEO의 인식이 높은 수준이라는 방증이기도 할텐데, 실상은 어떠한가
컴플라이언스 준수 문화는 미래에셋생명 및 미래에셋그룹의 핵심 가치이기도 하기에 미래에셋생명 최고 경영자의 정보보호에 대한 인식과 의지가 굉장히 높다.
CISO라는 독립적인 조직체를 갖고 정부 감독기관에서 요구하는 강화된 정보보호 업무를 수행하려는 취지를 정확히 인식하고 있으며 정보보호에 예산, 교육, 제도, 홍보 등 아낌없는 지원과 지속적인 관심을 보이고 있다.

▲ 귀사의 정보보호 거버넌스 추진 방향은
지난해 6월23일 발표된 ‘금융회사 IT보안강화 대책’, 소위 ‘6.23 종합대책’이라 불리는 이 규제안은 지난 몇 년 간 대규모 개인정보유출사고로 인한 국내 보안의 패러다임을 급격히 전환시켰다.
6.23 종합대책이 주는 주요한 시사점은 법적으로 규정된 의무를 수행했을지라도 사람(내부 직원) 자체 또는 보안문화의 상실로도 보안 사고는 발생할 수 있다는 점이다.
잘 구성된 보안조직 및 구성원, 잘 정련된(refined) 제도 및 프로세스, 부족하지 않은 예산, 잘 구비된 보안시스템 및 솔루션 등 체계적으로 구성된 프레임웍(Frame Work)으로 어느 정도 보안 사고를 기본적으로 커버할 수는 있겠지만, 임직원들의 정보보호 및 보안 마인드가 없으면 무용지물이지 않을까?
이에 당사에서는 보안을 기업문화의 일부로 인식해 보안문화 정착에 역점을 두고 있으며, 개인(고객)정보보호를 최우선 화두로 삼아 홍보 및 교육을 시행하고 있다.
컴퓨터 시스템 부팅 시마다 팝업창을 통해 보안준수 가이드를 노출시키는 등 다양한 보안문화 확산 프로그램을 운영 중에 있다.
한꺼번에 급하게 갈 생각은 없고 ‘시나브로’, 즉 조금씩, 본인도 모르는 사이에, 천천히 보안문화에 익숙해질 수 있도록 할 방침이다.

▲ CISO로서 가장 큰 어려움은 무엇인가
회사 경영 입장에서는 보안만을 강조하기에는 현실적으로 많은 어려움이 따르기에, ‘효율’을 고려한 ‘보안’을 설계, 운영하는 것이 가장 큰 어려움이라 할 수 있다.
또한 아직 CISO 체계가 출범 초기라 정보보호조직(팀)이 별도로 구성돼 있지 않기 때문에 회사 조직 내 위상이나 역량 있는 구성원들을 충원하는 문제가 큰 고민이다.
특히 정보보호 담당직원들의 비전을 어떻게 그릴 것인가에 대한 중장기적 해결과제를 찾는 중이다.

▲ 정보보호 예산 규모와 인원은 어떻게 되나
보안예산 금액을 구체적으로 언급할 수는 없지만 감독원 모범규준에서 정하고 있는 7% 룰을 준수하고 있다.
정보보호 인력은 현재 4명으로 규정에는 약간 못 미치는 수준이다. 조만간 충원 예정에 있으나 적합한 인력을 구하는 것이 쉬운 일은 아니다.

▲ 현재 수강 중인 CIO미디어그룹 CISO교육과정에 대해
CIO미디어그룹이 주관하고 있는 CISO 교육 컨설팅 전략과정은 CISO 및 정보보호 임원급 및 책임자를 대상으로 하는 과정으로, 기술이 아닌 전략 중심의 교육과정이라는 점에서 CISO에게 유익하다고 본다.
처음에는 수강을 좀 주저했었던 것도 사실인데, 막상 첫 강의를 들어보고 나니 하루 4시간에 가까운 타이트한 일정에도 모든 수강생들이 열정적으로 질의응답에 참여할 만큼 알찬 강의가 만족스러웠다.
특히 보안위기 대처원칙, 실제 사고 발생 시 대언론 대처방법 등의 실무적 및 실증적인 강의 내용은 바로 당사에 벤치마킹해 적용할 수 있을 것으로 보인다.
정보보호최고책임자(CISO) 운영의 초기단계에 겪게 될 많은 시행착오들을 이 과정을 통해 해소할 수 있기를 기대한다.