전 임직원 동참돼야 성공적 자리매김

업계 내 정보보호 거버넌스 수립에 속도가 붙고 있다.
이는 기업 전략 목적 달성을 위해 기업 정보자산이 보호돼야 한다는 인식 전환과 함께 정보보호 부서 및 전 임직원의 보안 존재와 위상을 각인시키기 위함이다.
기업 전략 달성을 위한 정보보호는 전략적 단계로 접근해야 하며 이행에 필요한 투자 예산이 효과적으로 목적 달성에 기여했는지도 중요하다.
대다수 산업군에서는 성공적인 정보보호 거버넌스를 위해서는 구체적이고 명확한 정보보호의 목표가 수립돼야 하며 그에 따른 세부 활동 역시 최고 경영진과 이사회, 전 임직원의 책임이라는 의견이 강하다.
이번 호에서는 각 산업군의 정보보호 거버넌스 전략 수립 배경과 현황에 대해 살펴본다.

Contents
PART I. 금융권 정보보호 거버넌스 :
              정보보호 거버넌스, CEO 주도 관건
 
PART II. 공공·일반산업군 정보보호 거버넌스 : 
               공공기관, 정보보호 의무 강화
               일반 산업군 정보보호, 더디지만 체계 갖춰

 

Part I ● 금융권 정보보호 거버넌스 :

정보보호 거버넌스, CEO 주도 관건

대외평가 위한 임시방편 ’NO’·BCP 고려한 안착 ‘YES’

금융권이 정보보호 거버넌스를 수립해 체계적인 대응방안을 마련하는 데 고심하고 있다. 정보보호 성숙도가 점차 거버넌스 수준으로 발돋움하면서 이는 기업전략의 달성 도구로 기업의 사업 연속성이 유지되는 발판이 되기 때문이다.
현재 CIO와 CISO를 주축으로 수립되고 있는 정보보호 거버넌스는 대외기간의 평가 때문에 ‘눈 가리고 아웅’식의 구조가 대부분이라는 지적이 이는 가운데, 각 금융사들은 전사임직원의 참여, CEO 교육 병행과 Top-Down 형식의 보고 체계, 정보운영위원회 구성, 보안 예상 비용을 수립하는데 적극적인 움직임을 보이고 있다.
특히 정보보호 거버넌스의 성공적 안착을 위해서는 CEO또는 현업 C레벨들과의 주기적인 협의를 통해 각 업무 영역들에 대한 각종 법규·기술에 대한 정기적인 체크 항목들을 지정해 관련 지침과 프로세스를 수립하는 것이 우선이라는 의견이다.
정밀한 체크포인트를 기반으로 세부지표를 점검한 후 위(Top)에서 아래(Down)로의 보고체계가 확립돼야 한다는 것이다. 각 금융권들은 보안 문제 발생 시 사전 예방을 위한 가이드 프레임웍으로서 활용될 수 있는 정보보호 거버넌스로 최소한의 피해와 책임, 고객 신뢰 경감을 줄인다는 방침이다.

이지혜 팀장 jh_lee@ciociso.com

전 임직원 참여하는 Top Down 정보보호 거버넌스 필요

“거버넌스란 책임감을 갖고 자기 본연의 업무를 객관적으로 평가받고자 함이다.”
한 금융업 CIO는 이와 같이 말하며 거버넌스는 기업 SLA(Service Level Agreement) 유지평가지표로 활용돼, CEO와 IT가 SLA 협약을 맺고 각 C레벨 임원들이 CEO와 밀접한 관계를 유지해야 할 필요성이 있다고 말했다.
또한 작년부터 바뀐 전자금융법 시행령으로 인해 전사 차원의 보안대응이 논리적으로 진행되고 있는지 여부를 하나의 프렘웍(Framework)을 통해 체크하려는 움직임이 일고 있으며 만약의 사태에 대비해 책임유지와 고객·비즈니스 신뢰성 경감을 막자는 취지이다.
이러한 정보보호 거버넌스는 전략에 의해 체계적으로 수립돼야 하며 전사 임직원 모두가 참여해야 한다는 과제를 안고 있기 때문에, 임직원들의 이해와 공유노력이 기반이 된 보안 가이드라인으로 사용된다.
즉 정보보호 거버넌스는 조직과 인력에 대한 관리부분과 내부 체계들이 정책 부분 등과 연계돼 하나의 절차를 이루어 나가려는 움직임이라는 것이다.
하지만 문제는 현업에서의 우선적 요구가 미비하다는 것이며, 특히 현재 정보보호 거버넌스가 전사 차원이 CIO와 CISO 위주로 형성돼 있다는 점이다.
이에 대해 유용환 KTB투자증권 전무는 “정보보호 거버넌스는 해당 규정에 따라 투자가 이뤄져야 하지만 현재 사내 대외평가의 이목 때문에 거버넌스 차제가 수립된 곳이 그렇게 많지 않다”며 “결국 CEO와 타 C레벨 임원들의 적극적인 참여가 이뤄져야 하며 CEO에 대한 교육 활동 등을 통해 보안 리스크를 인지할 수 있게 하는 것이 중요하다”고 말했다.
또한 보안 체크리스트와 세부 지침사항을 구성해 CEO에게 수시로 진행상황을 보고하고 자체 평가를 수행함으로써, 사고 발생 위험인식을 심어줌과 이를 위해 탑다운 방식의 보고체계가 필요하다는 의견이다.
박대원 신한은행 실장 역시 “탑다운 형태의 공유뿐 아니라 사내 게시판 등을 통한 보안인식 변화가 요구되며 조직 환경에 맞게 커스터마이징해서 적절히 관리해야 할 필요가 있다”며 “성공적인 정보보호 거버넌스를 위해서는 전체 관점에서 균형을 이룬 소통이 필요하다”고 밝혔다.
한편 보안유지에 대한 CEO와의 소통 시 공감을 위한 노력도 요구된다. 이근교 동부화재해상보험 상무는 “보안 유사 사고사례가 발생하거나 새로운 제도가 바뀔 때마다 이것이 기업에 미치는 영향을 정의해 CEO 및 C레벨들에게 수시로 보고하는 방안이 필요하다”며 “보안 예산을 확보하는 과정에서도 CEO보다는 재무부 등 회계 관련 부서들의 협조가 적극적으로 필요한 만큼 관련 협업 부서 및 CFO와도 충분한 소통을 이뤄야 한다”고 강조했다.
이 상무는 정보보호 거버넌스는 보안/법무/감사/홍보/기획/CS 부서 등 많은 부서들과 연계돼야 하며, 사전에 이러한 부서들이 보안에 대해 어떻게 관심을 갖게 하고 사고 발생 시 유기적인 해결 대응책을 강구하는 작업이 우선돼야 한다고 전했다.

금융권, 거버넌스 업그레이드 및 CEO 적극적 참여 유도

CEO 인식변화·교육 반드시 병행돼야
유용환 KTB투자증권 전무는 “정보보호 거버넌스가 IT의 제안으로 시작되기 전에 먼저 현업이나 C레벨들의 요청이 우선돼야 한다”며 “IT 서비스를 양 쪽이 주고받으며 평가지표를 수립해야 하는데 아직 사용자가 먼저 나서지 않는다는 점은 안타까운 일”이라고 지적했다.
또한 운영평가 결과를 위해 대다수의 CIO가 CISO를 겸직하는 상황 역시 장기적 관점에서는 분리체제로 가는 것이 올바르다고 말하며 CEO들의 실질 업무에 적용할 수 있는 보안 교육 유지도 병행돼야 할 점이라는 의견이다.
현재 KTB투자증권은 ‘보안 운영위원회’ 구성을 위한 적극적인 움직임을 보이고 있다. 유 전무는 “현재 유지되고 있는 운영위원회가 공식협의체가 아닌 만큼 CEO 중심의 보안 운영위원회를 만들어 하부에 CISO, CPO, CSO, CRO를 구성하고자 한다”며 “결국 CEO가 4개 조직을 총괄 책임지는 형태로 CEO가 해당 본부장 및 CIO, 기타 현업 경영위원 본부장들의 리포팅을 받아 이슈를 관리하게 하려는 목적이다”라고 설명했다.
또한 세부조직으로 팩스/전화/개인정보/출입 보안 등을 관리하는 담당자를 배치해 궁극적으로 매트릭스 조직을 통한 인사 평가 체계를 확고히 한다는 전략이다.
최근 보안 컨설팅을 받은 KTB투자증권은 자체평가 지표를 업그레이드해 CEO 및 금융위원회에 보완점을 보고하고 있다.
유 전무는 “이 부분에서 보안 예산 확보 노력도 간과할 수 없다”며 “컨설팅 결과에 따른 객관적인 지표를 통해 그중 시급한 사항을 우선으로 CEO에게 보고하는 절차를 밟고 있다”고 말했다.
현재 KTB투자증권은 매 월·분기·년마다 체크하는 ‘IT 운영 지침 프로세스’ 중에서 ‘보안’만을 따로 분리해 CISO가 분기별로 체크를 하도록 전환시켰으며, 관련 하단 부서에서 역시  매일 업그레이드를 진행하도록 권고하는 등 탑다운 형식의 체계를 갖춰가고 있다.
또한 보안담당자 관리의 중요성에 따라 무한권한을 부여하는 대신 일부 제한을 유지하고 있다. 유 전무는 “일회용 어드민(Admin) 패스워드를 제공해 보안 담당자의 작업과 작업에 대한 리뷰가 끝나면 다시 패스워드를 변경하도록 하고 있다”며 “기업 CIO 역시 각종 내부 지침을 재검토해 대비 정책들을 마련하려는 노력이 필요하다”고 말했다.

보안 거버넌스 업그레이드 통해 개선과제 도출
동부화재해상보험 역시 최근 정보보호 거버넌스를 준비 중이다. 기존 프레임웍은 있었지만 초보적 수준이라는 자체 진단 하에 지난달 정보보안 담당자들이 프레임웍을 정리하는 웍샵을 진행하기도 했다.
이근교 동부화재해상보험 상무는 “선진 사례들과 전자금융법에 의한 규제 및 기타 기준 등을 체크해 최상의 보안 수준을 유지하고자 위함”이라며 “IT에서 보안에 대한 관리·물리적 지원과 성공적인 보안투자를 위해서는 CEO와 관련 멤버들과의 의견교환이 우선적”이라고 말했다.
이에 따라 동부화재해상보험은 작년 TFT를 구성해 취약점 분석 보강 작업을 마쳤으며 전자금융법 개정 초안에 대비해 버전 2로 업그레이드 했다.
이 상무는 “버전 업 결과 업그레이드 또는 신규 모델 창출 등 58개의 과제들이 도출됐으며 이는 오는 2013년 까지 매월 체크를 통해 완료될 예정이다”라고 전했다.
현재 동부화재해상보헙은 보안에 대한 현업과의 설득을 위해 준법감시 산하에 IT, 고객정보, 물리적 보안 파트를 나눠 운영 중이다.
IT는 시스템을 담당하며, 고객정보는 전략마케팅부서, 물리적 보안은 총무부에서 일괄하고 있으며 결과적으로 CSO가 준법감시인의 역할을 담당하는 것이다.
이 상무는 “세 개 부서는 IT와 관련된 부분이 대다수인 만큼 상호간 많은 의견을 공휴하고 있으며 작년 11월부터 이러한 체계로 전환됐다”고 설명했다.
동부화재해상보험의 정보보호 운영위원회는 위원장인 CEO를 비롯해 10여 명으로 구성돼 있다. 이 역시 작년 11월 조직개편 이후부터 운영되고 있으며, 기존 IT부서에만 정보보호 위원회가 있었던데 반해 한 단계 발전된 수준이다.
이 상무는 “보안 교육 역시 전 직원의 보안각서를 받아 진행 중이며, 특히 고객 개인정보를 취급하는 직원의 경우 강제적 물리사항을 강화하고 있다”고 말했다.

보안·퍼포먼스 측면 유연성 고려해야
신한은행은 정보보호 거버넌스를 ‘정보보호 아키텍처’라는 명칭으로 정의하고 있다. 이미 6-7년 전 ‘ISO-27001’을 기반으로 전사 보안정책에 대한 세부지침 및 절차들을 수립한 바 있으며, 2006년 차세대 프로젝트 당시 조흥은행과의 통합 이슈에 따른 보안 전체 기술 요소 들을 체계적으로 관리하는 방안을 마련했다.
박대원 신한은행 실장은 “2006년 도입한 정보보호 아키텍처는 보안 기술을 보강하는 부분이 주력이었으며 이러한 기술요소들을 정책과 맞물려 일정한 수준으로 끌어올리는 작업을 진행하는 것이 주된 과제였다”고 말했다.
신한은행은 최근 역시 개인정보보호법 시행과 관련해 고객정보의 보관·활용에 대한 관리 요소에 대한 방안들을 업그레이드 하고 있으며 보다 체계적인 관리 툴을 도입할 예정이다.
박 실장은 “출력물 관리나 암호화 등을 통한 정보 유출방지는 기본이며, 보안관제와 같이 통합적으로 관리할 수 있는 툴을 셋업하려 하고 있다”며 “보안이 퍼포먼스와는 상반된 개념을 갖는 만큼 사용자들의 시행착오나 반발을 해결하기 위한 노력도 지속중이다”라고 설명했다. 또한 신한은행은 ‘내부 통제 협의회’를 통해 관련 부서장들이 보안에 대한 이슈를 공유하고 단계별로 접근하게 하려는 시도를 하고 있다.  
박 실장은 “보안문화가 성공적으로 안착하기 위해서는 관련 직원들이 안심하고 일할 수 있는 환경이 만들어져야 하며, 이러한 문화를 일정 전체 수준으로 올리기 위해서는 보안책임에 대한 공감과 인력 양성을 통한 선순환 구조가 이뤄져야 한다”고 강조했다.
한편 최근 금융감독원의 CEO에 대한 보안 권고사항 마련과 관련해서는 인력·예산·기술 요소들을 아우르는 모든 방면에서 검토돼야 하며 타사의 성공사례 들을 통해 내실을 기하는 기간이 필요하다는 입장이다.
박 실장은 “보안에 있어 기존의 것과 새로운 환경 사이에서의 차이를 줄여가야 하는 것이 정보보호 거버넌스와 관련 책임자들이 해결해야 할 업무이며, 이에 대한 책임 역시 CEO를 비롯해 전 임직원의 몫이라는 것을 명심해야 한다”고 조언했다.