소통 발판, 보안 문화 정착도 CEO 몫

CIO들이 CEO들에게 바라는 점은 무엇일까.
IT부서가 지원, 후선 부서라는 인식이 많이 없어져가고 있다고 하지만 아직도 많은 CEO들의 무관심으로 인해 IT의 폐해가 존재할 수 있다는 것이 업계 내 CIO들의 의견이다.
CIO들은 이를 해결하기 위해 CEO들이 IT를 ROI(Return on Investment)가 아닌 KPI(Key Performance Indicator)측면에서 고려해야 한다고 지적한다. ROI가 단지 프로젝트 자체나 결과를 따지는 데 적극적인 활동이라면, KPI는 명확한 목적을 갖고 기업경영 전반이 개선돼 움직이도록 하기 때문이다.
기업 보안 역시 마찬가지다. 최근 금융감독원이 각 사 CEO들을 대상으로 강제 보안 가이드 지침서를 준비하는 가운데, 보안에 대한 중요성 각인과 회사 보안 관리에 대한 전체 메시지 전달로 보안문화를 정착시키는 과제는 CEO의 몫으로 자리 잡혀야 한다.
거버넌스나 최신 트렌드를 비즈니스에 접목시키는 것 역시 CEO들이 IT에 대한 지식이나 이해 향상이 기반 되지 않는다면 성공적으로 이뤄지기 힘들다.
또한 많은 CIO들은 CEO들의 보다 적극적인 IT에 대한 소양능력을 함양키 위해 실질 업무에 대한 이해와 비즈니스 연계를 위한 교육 참여를 적극 권장하고 있다. 일례로 CISO에 대한 강제 규정에 비해 정작 CEO들에 대한 것은 상대적으로 약해 IT 보안역량이 충분한지는 아직 미지수라는 것이다. 
이처럼 기업 CIO들이 CEO에게 바라는 점들은 무엇인지, 어떠한 이유로 그러한 생각을 갖고 있는지에 대해 들어봤다.

이지혜 팀장 jh_lee@ciociso.com

IT 업무, ROI 아닌 KPI로 접근해야
“많은 기업의 CEO들이 IT에 대한 도전정신을 갖고 있지만 대부분 수행 역할은 IT 부서에 방치해두는 경우가 많다.”
한 CIO는 이렇게 말하며 막상 위급 현황이 닥쳤을 때 IT 부서 또는 담당 임원이 잘 막아주기만을 바라는 소위 ‘발 빼기’ 작전을 쓰는 CEO들도 심심치 않게 목격할 수 있다고 전했다. IT는 기술 측면에서만 접근한다면 무한대의 범위를 갖는 분야이며, 기업 전반의 비즈니스 프로세스를 IT 기술이라는 도구로만 해결하려 한다면 분명 차이가 존재할 수밖에 없다는 것이다.
이 CIO는 “특히 금융업 CEO들은 저변 논의 시작점을 비즈니스 프로세스로 지정해 IT를 생상공정 자체로 인식해야 할 필요가 있다”고 지적했다.
또한 IT가 지원 부서라는 점을 타파하기 위해서는 CEO들의 ROI만을 중요시하는 제한적인 현상이 없어져야 하는데, 이는 특정 사례에 따라 달라지는 ROI 결과에 따라 IT부서의 의견을 신뢰할 수 없는 경우가 증가하고 있기 때문이라고 전했다.  
이러한 부분을 최대한 신뢰성 있게 변화 시키고 임직원들에게 업무 동기부여를 줄 수 있는 것이 바로 KPI로, 이를 통해 IT가 기업 퍼포먼스 지표들을 개선한다는 인식을 심어주는데 함께 동참해야 한다고 강조했다.
또 다른 CIO는 “개인정보와 관련해 기업 차원의 다양한 검토가 이뤄지는 가운데 현업이 불편해지고 강제 준수사항을 받는 것은 어쩔 수 없는 일”이라며 “하지만 이러한 불편사항들을 CEO들이 설득시켜주고 문화 공감대 형성을 지원해줘야 하지만 아직까지도 절대적으로 미흡한 실정”이라며 안타까워했다.
한편 조직이 주도적으로 IT 전문가를 양성해야 한다는 필요성도 제기되고 있다. 이를 위해서는 CEO들이 IT에 대해 무관심해 왔던 문제점을 개선하고, CIO 및 IT 부서와의 열린 소통을 두려워하지 말아야 한다는 의견이다.

보안문화 정착은 CEO의 몫
정부 당국이 CISO와 CIO에게 보안문제 발생 시에 대한 책임사항을 묻는 범위가 확장되며 이는 단지 IT 부서만의 문제에만 해당되지 않는다는 점이 확산되고 있다.
한 CIO는 “사실 CIO가 IT와 관련된 인프라와 시스템을 만든다 해도, 이에 대한 중요성을 현업에게 각인시키고 회사 전반 보안 관리에 대한 문화를 안착시키는 것은 CEO의 역할이 크다”며 “CEO가 나서서 많은 조직원들의 관심을 이끌고 보안 문화를 형성하려는 움직임에서 접근하는 것이 근원적인 문제 해결책이다”라고 강조했다.
보안 사업이 진행되며 현업이 불편해지는 점을 설득해야 하는데 CEO들이 이 부분을 잘 이해하고 끌고나가야 하는 입장이 돼야 하기 때문이다.
특히 최근 금융감독원이 각 사 CEO들을 대상으로 강력한 보안 지침서를 마련하려는 움직임이 일면서 CIO들은 IT에 국한된 가이드라인보다 사내 개인 정보보호 분야에 통용될 수 있는 지침이 우선돼야 하며, 또한 현업을 설득하기 위한 가이드라인도 함께 제시돼야 한다고 입을 모았다.
CEO에 대한 보안 권고사항 역시 IT부분의 가이드라인보다 개인정보보호 측면에서 적극적으로 이뤄져야 한다는 목소리가 높다.

또한 기업 CISO에 대한 개념 인지도 중요하다는 입장이다. 한 CIO는 “기업이 CISO의 책임, 역할 범위에 대한 인지를 정확히 하는 가운데 CEO들 역시 관련 마스터플랜과 개념을 꿰뚫어야 한다”며 “하지만 현재 대다수의 기업들이 비용 부담의 이유로 CIO가 CISO를 겸직하면서 선임 조건부터 틀어지는 현상이 벌어지고 있다”고 설명했다.

제도장치, 임직원 자발적 참여 필요
각 기업 IT부서들은 운영위원회(Steering Committee)나 차지백(Charge back), BRM(Business Relation Management), IT 거버넌스 등 최고 경영진층들의 참여를 이끌어 낼 수 있는 제도적 장치들을 통해 IT의 폐해를 없애보고자 노력하고 있다.
CEO들이 거버넌스나 최신 트렌드를 기업 경영 전반에 접목하는 부분과 위기 상항 대처 능력에 좀 더 관심을 가져주기를 요구하고 있는 것이다. 
한 CIO는 “최근 보안 등의 문제와 연계돼 사내 운영위원회가 운영되고 있으나 피부로 와 닿을 만큼의 효과는 나타나지 않고 있다”며 “이는 결국 감독기관의 강제 기준 규정을 따르려는 움직임으로밖에 해석할 수 없으며 아직도 개별적 접촉을 통해 의견을 주고받는 경우가 대다수다”라고 안타까워했다.
다른 CIO는 “많은 현업 부서 임직원들이 위원회에 참여하면 최상이겠지만 무조건 IT에 일임하려는 경향이  존재한다”며 “외국기업에서는 이러한 현상에 대해 강한 패널티를 적용하는 등 적극적으로 나서는 반면 국내는  상대적으로 약한 것도 하나의 문제점이다”라고 설명했다.
한편 BRM은 단순 IT 리스크가 아닌 전사 리스크 범위를 포함해야 하며 비즈니스 간 차이를 없앨 수 있는 하나의 리스트가 돼야 한다는 입장이다.
한 CIO는 “정보보호 거버넌스는 중요도에 따라 수행과제를 위한 큰 테마로 나눈 후, 각 관련 기능을 설정하는 매트릭스 작업이 우선돼야 한다”며 “이 과정은 CEO의 주관으로 사고에 대한 임시방편적 대응이 아닌 적시 적소에 대응 가능한 방안을 수립할 수 있어야 한다”고 강조했다.

CIO 역시 명확한 언어로 요구사항 설명
한편 CEO와 IT 조직 구성원들이 어떻게 조화를 이루는지도 중요하다.
한 CIO는 “IT 부서가 피해의식을 타파하려는 움직임은 계속되고 있지만, 이는 막연하게 CIO에게 도움을 요청하는 것이 아닌 보다 명확하고 구체적인 비전을 눈앞에 제시할 수 있어야 가능하다”며 “IT라는 기초 인프라가 흔들리거나 지원받지 못한다면 기업의 생존 역시 힘들다는 점을 현업이나 CEO가 이해할 수 있는 언어를 통해 지속적으로 강조해야 한다”고 말했다.

또한 시스템 개발 지원 역시 현업과 IT의 공동 책임이라는 점을 수시로 주입시키는 것도 방안이라는 의견이다.
반면 IT 직원들의 대부분이 현업이 요구하는 프로세스를 단지 IT로 전환하는 것에 그친다고 생각하는 현상 역시 큰 잘못이며, 이러한 과정 때문에 현업의 요구사항을 제대로 지원해주지 못하는 현상도 발생한다는 것 또한 CIO들의 생각이다.
보안 부분 역시 마찬가지다. 보안 솔루션을 적용하다 보면 기존 인프라와의 충돌로 장애가 발생할 수 있는데 이러한 점을 해결하기 위해서는 CEO에게 적극적이고 명확한 업무 전달 능력을 길러야 한다는 것이다.
한 CIO는 “결국 소통을 위해서는 기본적으로 자기가 맡은 업무에 대한 배경과 지식을 상대방에게 전달하고 설득할 수 있는 능력이 있어야 한다”며 “이것이 IT를 기술이 아닌 기업문화로 정착시키기 위한 방안이라고 볼 수 있다”고 강조했다.
보다 ‘정치적인 CIO’가 필요한 때라는 의견도 팽배하다. 기업 매출과 경쟁력 상승에 주된 관심이 있는 CEO들의 관심을 받기 위해서는 CIO와 IT가 보다 전략적이며 솔직한 방법으로 먼저 다가가야 한다는 것이다.
일례로 과거 모 통신사의 CIO는 IT 보안 사고가 발생했을 때 직접 후임직원의 방을 찾아가 IT 부서의 잘못임을 먼저 시인하고 대응방안을 모색해 업계 내 관심을 받은 사례가 있다.
만약 이 CIO가 잘못을 시인하지 않고 IT 자회사와 서로 간 잘잘못에 대한 시비를 가리는 데만 급급했다면, 현업에서 고정화된 인식의 CIO와 다를 바가 무엇일지 가늠해 볼 수 있다. 
결국 각 기업 CEO들의 IT에 대한 지식이나 이해도는 높아져 가고 있지만, 그에 따른 기대치도 함께 증가해 최고경영진 층 및 현업과 IT 간 소통과 지원이 더 절실한 때라는 공통된 의견이다.
<다음호에서는 금융권의 제도적 장치 현황을 구체적으로 살펴봅니다>