세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
속앓이 하는 CISO들의 말못할 고민들은 뭘까
  |  입력 : 2017-09-05 22:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정보보호 투자 미흡, 개인정보보호법 적용의 모호함, 형사처벌 문제 개선 필요

[보안뉴스 김경애 기자] # 보안 시스템만 도입하면 IT 보안은 끝이다. 보안 시스템을 도입했으니 보안사고는 없어야 한다. CISO는 보안사고 나면 책임지고 옷 벗는 사람이다. 보안 취약점을 개선했으니 보안사고는 없어져야 한다. 정보보안은 IT 부서가 제공하는 서비스 중 일부다. 정보보안 인력은 IT 보안만 하니 계약직으로 채용하면 된다. 정보보안 인력 규모는 정보기술부문 인력에 비례한다 등.


앞서 나열한 이야기들은 CEO의 잘못된 고정관념에서 비롯되는 게 대부분이다. 씁쓸하지만 많은 기업에서 CISO를 이렇게 바라보는 시각이기도 하다. 이렇다 보니 정보보호최고책임자를 뜻하는 CISO의 포지션은 아직도 안정적이지 못하다. 더욱이 기업에서 CEO를 비롯한 임직원들의 보안에 대한 관심은 아직 턱없이 부족한 실정이다.

이와 관련 코스콤 강 신 전무는 5일 개최된 ‘제4회 CISO 워크숍’에서 “금융권을 중심으로 CISO에 대해 조사한 결과 현재 CISO중 33%는 현직 임원이 아니”라며 “82%가 겸직을 맡고 있으며, 이중 32%는 견제 대상임에도 불구하고 CIO와 겸직을 맡고 있다. 다른 업종으로 확대하면 더욱 열악한 조사결과가 나올 것”이라고 지적했다.

이러한 조사결과에서도 보듯 CISO들은 어려운 여건 하에서 보안 강화를 위한 투자 설득을 어떻게 해야 할지, 그리고 사내에서 CISO의 책임과 역할을 어떻게 정립해야 할지 많은 고민에 빠져 있다.

이날 워크숍에 참석한 CISO들의 현실적인 고민과 중점적인 논의사항으로 기업의 정보보호 투자 미흡과 CEO와의 소통 부재, 개인정보보호, 사기진작과 형사처벌 책임 등의 문제가 제기됐다.

먼저 공공기관과 공기업, 연구소의 CISO들은 “다양한 보안위협 상황에 대비한 역량 강화가 필수임에도 정보보호담당자들에 대한 투자가 미흡하다”고 지적했다.

더욱이 CISO와 CPO를 동시에 맡고 있는 겸직자들이 많거나 정보보호 조직이 별도로 있지 않은 중소기업의 경우 보안조직을 체계화하는 부분에 대한 고민이 많았다. 이에 해당 기업들은 다른 기업들은 어떻게 정보보호를 하고 있는지 좀더 활발한 정보공유가 이뤄졌으면 좋겠다는 의견을 제시했다. 또한, 일부 기업 CISO의 경우 비용 문제 등의 이유로 논리적 망분리와 물리적 망분리를 놓고 고민하는 사례도 털어놓았다.

이어 CEO와의 소통 미흡 문제도 CISO들의 공통적인 고민으로 나타났다. 한 CISO는 “보안정책을 수립하고 이를 집행하기 위해 CEO를 이해시키는 과정이 어렵다”며 소통의 어려움을 호소했다. 또한, CEO가 정보보안과 관련해 직접 지시하는 경우 진행이 수월하지만 그렇지 않은 경우 작은 정책 하나도 집행하기가 쉽지 않다고 토로했다.

개인정보보호와 관련해서는 법적용 문제, 개인정보 수집 및 관리의 어려움, 클라우드 이슈 등이 언급됐다. 이와 관련 건설사의 한 CISO는 건설사의 경우 업무 특성상 분양시기에 맞춰 수집되는 개인정보의 관리 및 보호의 어려움을 애로사항으로 꼽았다.

법적인 문제와 관련해 제조사의 한 CISO는 “제조업 특성상 어느 계열사는 개인정보보호법이 적용되고 어느 계열사는 정보통신망법이 적용된다”며 “법률상 보안기준이 명확하게 정의되지 않았다”고 지적했다.

또 다른 CISO는 “이제는 보안담당자가 단순히 서버, 네트워크 단에서 대응하는 수준이 아니라 4차 산업혁명에 따른 융복합의 사이버 보안 이슈를 맡고 있다. 따라서 기술적 조치 미흡에 따른 개인정보보호법의 형사처벌 규정은 개선·보완이 필요하다”고 강조했다.

클라우드 보안이슈와 관련해 한 CISO는 “클라우드 서비스를 이용하는 기업의 경우 개인정보가 외국에 위치한 서버에 저장되는 경우가 있는데, 이런 경우 어떤 규제가 있는지를 비롯해서 보다 다양한 정보가 효과적으로 공유됐으면 좋겠다”는 의견이 제시됐다.

이외에 마케팅 목적으로 활용하기 위한 빅데이터 정보가 높은 규제로 제대로 활용할 수 없는 문제가 발생한다는 애로사항도 나왔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)