국내 CIOS들은 IT뿐 아니라 기업 비즈니스와 연계된 정보보호 전략과 이를 위한 정보 거버넌스 수립을 가장 중요 요소로 꼽는 것으로 나타났으며, 보안 예산 확충과 타 임원과의 소통에 많은 시간을 할애하는 것으로 나타났다.
또한 정보보호 위원회 운영의 정착화와 함께, 전사적 정보보호 인식 제고와 교육 부분 역시 많은 CISO들이 주의 깊게 살펴보고 있는 부분인 것으로 밝혀졌다.
이달 CIO미디어그룹에서 발행되는 ‘BizIT’본지에서 실시한 ‘금융권 CISO현황을 위한 설문’에서는 은행, 증권, 카드, 보험 등 금융권 약 50여 명의 관계자들에게 CISO의 겸직여부와 가장 중요시 하는 업무, 정보보호 관리체계(ISMS) 수립 등을 비롯해 각 기업의 보안 부문에 따른 전반적인 현황을 묻는 작업을 진행했다.
특히 지난해 몇 건의 금융사고 이후 ISMS(Information Security Management System: 정보보호 관리체계) 인증을 도입하거나 준비 중인 금융사들이 크게 늘었다.
실제로 CISO들이 ISMS 인증을 대비해 구체적인 정보보호 거버넌스 및 마스터플랜 수립 중 가장 주력하는 부분은 무엇인가?’라는 질문에 대해 ‘보안방침’이라는 답이 26.1%로 가장 많았다.
다음으로는 ‘정보보안조직’이 15.6%로 뒤를 이어 정보보호 관리체계를 수립하는 데 있어 정책과 조직이 가장 핵심으로 여겨지고 있음을 알 수 있다.
또한 접근통제와 물리 및 환경 보안이 각각 14.6%와 10.4%로 3, 4위를 차지했으며. 그밖에 정보보안 사고 관리(9.3%), 통신 및 운영관리(7.1%), 인적자원 보안(5.2%), 사업 연속성 관리(4.2%)순으로 응답했다. 자산관리와 부합성은 2.2%로 가장 낮은 선택을 받았다.
한편 대부분의 금융권 CISO는 CIO가 겸직하는 체제를 띠고 있었으며 외부 영입보다는 내부 임명에 따른 보직이 주를 이뤘다.
하지만 초기 취지와는 달리 정부 완화방침에 따라 CIO와 CISO겸직이 허용되면서 대부분의 금융권에서 이를 흔쾌히 받아들이고 있다.
기업입장에서 새로 CISO를 임명할 시 단시간 내 기존 CIO와의 업무 할당과 책임소재를 어떻게 나눌 것인지에 명확한 기준을 정하기 힘들다.
또한 기업은 CISO라는 임원 선발에 따른 관련 조직구성과 전문 인력 할당 부분 등에서 일부 부담을 느끼는 것으로 나타났다. <관련기사 22p 참조>