정부가 연 매출액 8000억원 이상 기업에 대해서는 CISO를 의무화 하겠다는 발표를 하였다.
http://www.etnews.co.kr/news/detail.html?id=200909170263
CISO(Chief Infomation Security Officer) 의 당위성
여러기업을 가끔씩 다녀보면 보안이나 정보보호에 너무도 안이하게 대처하는 경우가 허다하다. 이런 경우에 대부분 관련 조직정비가 되어 있지 않거나 또는 관련 인력의 부재로 인한 요인이 대부분이다.
이러한 부분에서 보았을때 CISO의 의무화는 반길만한 정책이며 반드시 그렇게 되어야 한다. 너무 부정적으로 보는 시각 보다는 하나라도 한개씩 step by step 으로 이루어 나가야 한다.
어떠한 조직에 가더라도 관련 조직이 형성이 되어 있지 않으면 실제 기업내에서 보안에 대한 정책을 수립 할수가 없다. 설령 있다고 하더라도 형식적으로 운영되는 사례가 많고 실질적인 조직 자체의 실요성에 의문이 들 수 있다.
만약, CISO가 보안정책에 대한 모든 권한을 진두지휘하고 경영진이 회사에 비지니스를 잘 수행할수 있도록 하는 것은 당연한 것이다.,그렇게 함으로 인하여 조직내에 보안에 대한 관리체계를 수립을 하고 그 체계에 따라 실제 보안에 대한 실천이 이루어 졌는지 이행실적을 검토하고 하는 것이다.
이제는 CISO도 경영에 서포트가 아닌 경영 참여자로 위상 정립
정보통신망법에 근거하여 내년부터 CISO 의무화 규정이 삽입이 된다면 연 매출액 8000억원 이상 되는 대기업에선 무조건 CISO를 선임을 해야 한다. 그렇게 함으로 인하여 조직내에서 정보보호조직(부서)가 마련이 되고 기업내에 정보보호활동은 더 탄력을 받을수 있을 것이다.
또한 기존에 있던 정보보호조직도 그냥 전산계열에서 머물러 있어 전산에 대한 하나의 축으로만 인식되는 것을 정보보호의 중요성을 널리 알리는 전도사 역할도 하게 될 것이다.
이러한 측면에서 보았을때 CISO 의무화는 당연한 것이며, 이제는 CISO도 경영에 서포트 개념이 아닌 경영에 참여자로 보안활동을 비지니스와 연관하여 최고의 사업 선택을 할수 있도록 경영자에게 도움을 줄수 있는 경영 참여자로서의 위상을 정립시킬수 있도록 해야 한다.
본인이 ISMS인증심사원으로 활동하면서 해당 부서의 직원들을 인터뷰해 보면 하나 같이 똑 같은 하소연을 하는 경우가 많다. 그 대부분의 하소연은 다음과 같다. 아마 이 포스팅을 구독하고 있는 기업에 담당자들은 공감하리라 생각한다.
-
- 조직내에서 보안부서는 힘이 없다. 쉽게 말해 어떤 업무를 진행하려해도 협조가 잘 안된다.
- 협조가 안되다 보니까 보안부서는 귀찮은 존재로 전락해 버린다.
- 그러다가 보안사고 터지면 모든 화살은 담당자와 상관에게 모든 문책이 온다.
- 또한 보안 강화를 위한 예산 집행에서 우선 순위에서 밀리고 삭감이 된다.
- 보안 부서는 소규모 인원이 전사(社)를 책임지다 보니 전문 인력 양성이 힘들다.
- 외부 감사시(심사시) 보안부서에 힘을 줄수 있는 정책적 조언을 경영자에게 해달라.
등 여러가지 애로 사항들이 많이 있다. 듣고 보면 하나 같이 맞는 말이고 힘든 사정은 실제 현장에 나가서 실무 담당자의 이야기를 들어 보면 현실을 잘 알수 있다.
맺음말
이러한 사항을 해결 해 주어야 하는 사람이 바로 CISO 인 것이다. 이러한 측면에 있었을때 대기업에 보안 활동과 정보보호관리체계 수립은 필수이며 해당 조직이나 기업에서 어떤 물건이 우리의 자산으로 속하고 그 자산에서 어떤 것이 위험요소가 우위에 있으며 어떠한 대응활동과 사업연속성을 이끌어 나가야 하는지를 고민해야 하는 것이다.
그나마 이러한 조직도 없고 열악한 사무실 한 귀퉁이에서 자신의 서버가 해킹을 당해 해커의 놀이터가 되었는지 안되었는지 담당자도 모르고 조직내 개인정보가 관리가 안되어 전부 유출이 되었는데도 또는 사내 외부인이 들어와 대외적인 기밀문서를 이동저장 장치로 뺴어가도 모르는 그런 관리가 허술한 보안활동을 해서는 이제는 조직이 살아 남을수 없다는 사실을 기억 해야만 한다. 무조건 보안이 귀찮고 보안은 그져 관심 있는 담당자만 하는 것이라고 치부해서는 절대 안되는 것이며 이러한 사항은 앞으로 선임될 CISO가 해결해야할 숙제로 안고가야만 한다. 부디 이제 제도가 정착이 되어 우리나라 보안문화 발전과 정보보호 인식제고와 마인드가 한층 성숙되고 정보보호 후진국에서 빨리 벗어 났으면 하는 바램을 가져 본다.
'Lecture&Column' 카테고리의 다른 글
한국CISSP협회 제4회 정보보호리더쉽 세미나 자료 (0) | 2009.10.15 |
---|---|
[칼럼-99] 국정감사에 임하는 국회의원들의 자세 (0) | 2009.10.08 |
[칼럼-97] 내가 블로그를 하는 것은 글쓰기 연습이다. (1) | 2009.09.28 |
[칼럼-96] 침해사고(해킹) 보단 얼마나 잘 대응했느냐가 중요 (0) | 2009.09.25 |
[기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수 (3) | 2009.09.16 |