최근 금융권을 위주로 정보보호 거버넌스를 수립하거나 업그레이드 하려는 움직임이 일고 있습니다. 하지만 문제는 아직도 많은 기업들이 정보보호 거버넌스와 IT 거버넌스를 동일 취급한다는 데 있습니다.
이 문제에 대한 원인은 국내 대다수의 IT 관계자들 및 기업 CEO의 인식전환이 아직 미흡하다는 데서 시작되며 아직도 정보보호 거버넌스를 IT만의 책임이라고 생각하는 경향이 팽배해 있기 때문입니다.
정보보호 거버넌스는 고위 경영진의 적극적인 의지 및 참여와 자원할당으로 기업 정보보호 문화를 형성하는 것입니다.
또한 정보보호 프로세스를 최적화해 조직 구성원들이 정보보호에 대한 책무를 이행하도록 함으로써 전사 차원의 정보보호 활동을 위한 프레임워크입니다.
정의는 이렇지만 대부분 기업에서 정보보호 거버넌스가 성공적으로 이뤄지지 못하는 이유는 CEO의 역량 부족이 가장 크다는 생각입니다.
기업의 생산성 목표 달성에 대해서는 명확하기 그지없는 CEO지만 정보보호에 대한 요구사항을 정확히 꿰뚫고 있는 최고 경영진이 국내 몇 분이나 계실지 의문입니다.
아직도 많은 CEO들은 '보안'이라는 측면 아래 IT 부서 또는 정보보호 부서에 그 책임을 떠넘기거나 모든 의사결정 역시 CIO, CISO가 해주기를 원하는 경향이 큽니다.
간혹 정보보호에 대해 기술적 언어가 아닌 경영언어가 정착되지 못해 '소통의 부재'라는 이유를 들기에는 너무나 낯간지러워 보입니다.
정보보호 거버넌스가 성공적으로 자리 잡기 위해서는 CEO의 보안 정책 및 절차에 대한 방향 설정과 보안 활동을 위한 자원 제공이 가장 우선시돼야 합니다.
모든 책임과 우선순위를 결정할 수 있는 능력 또한 기반 돼야 하며 전 임직원이 참여할 수 있는 보안문화를 조성해야 할 의무도 있습니다.
하지만 문제는 이러한 의무를 수행하기 위한 충분한 역량이 국내 CEO에게 충분한지 여부입니다.
일례로 최근 대부분 선임된 기업 내 CISO들은 의무적으로 보안 관련 교육을 수료하는 등 보안 실질 업무에 적용되는 사례들을 접하고 관련 지식을 쌓아가고 있습니다. 그에 반해 기업 CEO가 별도로 이러한 움직임을 보이는 경우는 거의 전무합니다.
기업 정보보호 관리의 지속적 지원과 관련 프로세스 수립에 대한 의사결정을 내리기 위해서라도 CEO들의 보안 교육은 반드시 병행돼야 합니다.
CEO가 중심이 되는 정보보호 거버넌스가 정착돼, 보안을 위한 조직의 전략적 방향과 이행을 위한 세부적 지침이 원활하게 이뤄져야 하는 것입니다.
결국 정보보호 거버넌스는 CEO부터 그 필요성을 인지하고 몸소 실천할 수 있는 의지가 관건이며, 이를 통해 조직 전반에 걸친 전략정책으로 안착시켜 가야 할 필요가 있습니다.