속보
[강은성의 CISO 스토리]정보보호최고책임자(CISO), CEO의 경영의 동반자2015.02.05 18:33
[강은성의 CISO 스토리]
아시안컵 축구에서 한국 국가대표 축구팀의 활약이 화제다. 불과 여섯 달 전 월드컵에서 실망스러운 모습을 보였던 한국 축구가 다시 일어난 중심에는 슈틸리케 국가대표팀 감독이 있다. 독일 축구 황제 베켄바우어의 후계자로 불릴 만큼 탁월한 수비수였던 그는 한국 대표팀을 맡으면서 수비의 중요성을 역설했다. 2014년 월드컵에서 메시(아르헨티나), 호날두(포르투갈), 네이마르(브라질) 등 세계 최고의 공격수들이 화려한 플레이를 자랑했지만 그들 중 아무도 우승컵을 들어 올리지 못했다. 특히 영원한 우승 후보이자 주최국이었던 브라질이 수비가 무너지면서 독일에게 7대 1의 충격적인 패배를 당한 것은 현대 축구에서 수비의 중요성을 다시 한번 일깨워 주었다.

기업에도 공격수와 수비수가 있다. 영업, 마케팅, 개발 등 기업의 성장을 이끄는 부서를 공격수라고 한다면 재무, 경영지원, 보안 등 기업 리스크를 관리하는 부서를 수비수라고 할 수 있다. 위험을 잘 관리하는 것이 기업의 안정적 성장을 위해 얼마나 중요한지 기업을 조금이라도 아는 사람이라면 고개를 끄덕일 것이다. 성장가도를 달리던 기업이 위험 관리를 제대로 하지 못해 순식간에 나락으로 떨어지는 것을 우리는 많이 봐 왔기 때문이다.

기업의 안정적 성장에 걸림돌이 되는 위험에는 재무 위험, 법규 위험, 평판 위험 등이 있다. 재무 위험은, 매출, 영업이익, 당기순이익, 현금 흐름 등의 문제로 기업이 겪을 수 있는 위험이고, 평판 위험은 최근 한 항공사의 항공기 회항 사건처럼 사회적 평판이 나빠짐으로써 발생하는 위험이다. 고객 이탈, 브랜드 훼손, 기업 신뢰도 하락 등 단기적 또는 중장기적으로 기업에 큰 위험이 된다. 법규 위험은 기업이 법과 규제를 위반함으로써 겪을 수 있는 위험이다. 기업의 주요 책임자가 형사처벌을 받을 수도 있고, 회사가 과징금이나 과태료 등의 행정처분을 받기도 한다. 이러한 법규 위험은 거액의 과징금이나 민사소송에 대한 부정적 영향으로 재무 위험에 영향을 미치기도 하고, 평판 위험의 원인이 되기도 한다.

최근 2~3년 동안 발생한 보안 사고는 보안 위험이 기업 차원의 위험임을 보여 줬다. 금융회사의 대규모 전산망 마비 사태나 고객정보 대량유출 사태와 같은 보안 위험이 평판 위험으로 이어졌고, 영업정지와 대규모 민사소송으로 인해 재무 위험이 커졌다. 작년 개인정보 유출 사건으로 금융회사 CEO들이 사임함으로써 CEO의 직책 위험으로까지 번졌다. 게다가 작년 8월에 시행된 개인정보보호법으로 인해 책임 있는 기업 임원의 직책 위험은 금융부문이 아닌 민간 기업에게까지 확산될 전망이다. 작년 11월에 시행된 정보통신망법에서 개인정보 유출에 따른 과징금이 크게 오르고, 법정 손해배상제가 도입되어 회사의 법규 위험이 훨씬 커졌다. 여전히 산업기밀 유출과 같은 전통적인 보안 위험 역시 기업의 경쟁력을 약화시키는 기업 성장의 주요 장애 요인이다.

기업의 안정적 성장을 위해서는 이러한 위험을 조기에 식별하여 최소화해야 한다. 결국 CEO를 비롯한 최고경영층(CxO)이 대처해야 할 일이다. 따라서 이 업무를 핵심적으로 담당하는 정보보호최고책임자(CISO)는 기업 차원의 보안 위험을 관리하고 최소화함으로써 기업의 안정적 성장을 지원하는 비즈니스 리더로 간주되어야 한다. 또한 전사적 위험을 책임져야 할 최고경영층 관점에서 보면 CISO는 그들의 직책 위험을 보완해 주는 경영의 중요한 동반자이다. 재무 위험을 관리하는 CFO나 법규 위험을 담당하는 준법감시인 못지 않게 회사와 CxO를 위해 기업 차원의 위험을 관리하는 주요 임원인 것이다. 물론 CISO 역시 기업 경영에서 자신의 그러한 위치와 역할을 충분히 이해하고 업무를 수행해야 할 것이다.

2014년은 기업 CISO 측면에서 보면 매우 중요한 해다. CISO가 CIO(최고정보책임자)를 비롯한 IT부문의 업무를 겸직하지 못하게 한 전자금융거래법 개정안이 작년 10월에 통과되어 올해 4월 시행을 앞두고 있고, 기존 정보보호 관리체계(ISMS) 인증 대상 업체 이외에도 상시 종업원 수가 1천명 이상인 정보통신서비스 사업자가 반드시 임원 CISO를 선임하도록 한 정보통신망법 개정안이 작년 11월 말부터 시행되었기 때문이다.

다만 해당 기업에서는 법에서 규정했으니 억지로 CISO를 임명하는 수준을 뛰어 넘었으면 좋겠다. 최고경영층이 책임지고 관리해야 할 보안 위험과 그것으로 야기되는 재무ㆍ평판ㆍ법규 위험을 최소화하는 CISO의 필요성과 역할을 깊이 이해하고 전문성과 리더십을 갖춘 CISO의 선임과 실질적인 통제 권한 부여, 역량 있는 정보보호 조직 구성, 충분한 예산 확보, 독자적인 업무 영역 보장, 최고경영층의 지원 등 업무를 수행할 수 있는 환경을 마련해 줘야 한다. 그럴 때만이 CISO가 기업의 안정적 성장을 지원하는 비즈니스 리더, CEO의 경영의 동반자 역할을 제대로 수행할 수 있을 것이다.

강은성 CISO Lab 대표

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.


관련기사

FASHION LOOK

강은성의 CISO 스토리 많이 본 오피니언