정보보호!! 2016년 새로운 출발을 위한 3가지 제언

정보보호!! 2016년 새로운 출발을 위한 3가지 제언

   

작년 12월부터 올해 1월까지 기업들의 임원인사를 보면서 착찹한 생각이 밀려든다. 어떤 경우,안부인사를 묻는 전화를 걸기도 미안한 마음이 들었다. 최근 종료된 임원인사와 조직내 거버넌스의 변화를 보면서, 개인정보와 보안을 업으로 살아가는 입장에서 많은 책임감을 느낀다.

   

1.    정보보호 거버넌스의 역행

일반적으로 기업들은 각 업종에 따라 다르지만, 보안담당 임원(CISO), 정보화담당 임원(CIO),개인정보보호담당 임원(CPO) 그리고 신용정보관리인 등을 임명할때 자사 환경과 여러가지 현실적 여건들을 고려하여 다양한 형태로 운영하고 있다. 각 임원을 독립적으로 또는 겸직하여 운영하거나 조직내 강력한 권한이 있는(예:인사팀) 부서 산하로 두어 책임감 있게 운영하고 있다.다만 여기에는 하나의 원칙이 있는데, 그것은 바로 상호간 견제할 수 있도록 역할을 분리하는 것이다.

   

CIO의 IT 기술을 활용한 효율성 추구와 CISO의 통제를 통한 안전성 확보가 하나의 조직 라인상에서 운영된다면, 상호견제가 어렵게 되고 그 결과는 우리가 과거에 충분히 경험한 바 있다.즉, 우리는 경험적으로 충분한 결과값을 얻었기에 두 직책을 독립하도록 사회적 합의를 도출하였던 것이고, 또한 CEO의 강력한 스폰서를 토대로 하나씩 벽돌을 쌓아가며 견실한 건물을 짓고 있었다. 그런데, 2016년 새해벽두부터 들려오는 금융사와 통신사의 정보보호 조직체계 변화를 보면 거버넌스가 거꾸로 가는것 아닌가 하는 우려를 금할 수 없다.

   

관련 지침까지 만들어 강력하게 권고했던 감독기관의 의지와 CISO의 독립적 운영방향에 역행하는 이러한 의사결정이 여타 기업들에게도 영향을 미치지 않을까 우려스럽다. 어렵게 수립해 놓은 정보보호 수준이 과거로 돌아가는 일이 발생해서는 안될 것이다.  정보보호에 대한 낮은 인식으로 인한 대형 사고를 목격한 것이 그리 오래전 일이 아니라는 것을 우리모두 너무나도 잘 알고 있지 않은가.

   

2.    CISO의 Career Path 부재

두번째는 1세대 CISO의 퇴진이후 거취의 문제이다. 풍부한 경험을 토대로 CIO를 역임했던 임원들이 CISO를 마지막 보직으로 명예롭게 퇴진하는 경우는 예외로 두겠다. 그러나, 임기 만료된CISO의 Next Position이 없을때 당사자는 물론 이를 바라보는 동료들 입장에서 실망감은 매우 크다고 할 수 있다.

   

전사적인 비즈니스의 이해를 바탕으로 하지 않은 보안은 이제 더 이상 실효성이 없다는 것은 잘 알려진 사실이다. 기업의 환경에 맞는 보안을 위해 재임중에 많은 시간과 노력으로 얻은 비즈니스의 이해가CISO로서의 임기가 끝남과 동시에 그냥 버려져서는 안될 것이다.  CISO 역할 이후에도 보안이 아닌 다른 역할로서 조직에 기여할 수 있는 기회가 주어진다면 기업의 입장에서도 이익이 될 수 있을 것이다. 이러한 기업의 발상의 전환은 보안의 성과를 정량적으로 보여주는 것이 매우 제한된 현실에서 자신의 능력을 입증하기 어려운 CISO가 주요 임원으로 Long Run 할 수 있는 계기가 될 수도 있지 않을까 생각한다.

   

사회 전체적으로 정보보호의 수준을 끌어 올리기 위해서는 보안전문가를 꿈꾸며 많은 대학에서 공부하는 꿈나무 대학생들과 변호사라도 될 것처럼 개인정보보호법을 공부하며 실제 사례를 연구하는 현장의 전문가들의 롤 모델을 확산시키는 것이 꼭 필요하다.  그러기 위해서는 보안전문가를 자신있게 추천할 수 있는 환경이 마련되어야 한다. 보안이 기업의 생존을 위해 필수적인 요소의 하나로서 자리매김한 상황에서 현장의 전문가를 기업내에서도 육성할 수 있는 환경을 기업 스스로 조성하는게 바람직하지 않을까 생각한다.

   

3.    우리의 반성

마지막으로 보안업계에 종사하는 모든 분들께 권고를 한가지 드리고 마무리 하고자 한다. "시야를 넓히자. 비즈니스를 누구보다도 깊게 이해하고 다른 경영진(부서원)들과 소통하자. 보안 전문가로서 보안이 얼마나 중요한 것인지만 강요 하지 말자."  먼저 회사를 이해하고 설득하는 노력을 끊임없이 해야 된다.  IT(System, DB, Network 등)만을 대상으로 보안(개인정보) 정책을 집행할때 실효성을 확보하기가 매우 어렵다. 더 넓게 공부하고 시대에 알맞은 역량을 확보하기 위해 부단한 노력이 요구된다 하겠다.

   

다시한번 이야기 하지만, 프라이버시를 포함한 정보보호는 이제 기업이 생존하는데 필수 항목이 되었고 전혀 다른 각도로 보안을 바라보는 노력이 필요하다. 서로 반목하고 경쟁하는 구도가 아니라 건강한 상호견제와 함께 지혜를 모아, 기업이 처한 현실적 문제들을 하나씩 풀어나가길 바랄 뿐이다.

   

마지막으로, 기업의 CEO는 사고가 발생하기 전에 보안에 대한 관심을 가지는 것이 기업생존의 기초임을 인식하고, 올바른 거버넌스 조직을 유지할 때에 지속가능한 경영을 이뤄갈 수 있음을 직시하기를 간절히 당부드린다.

   

윤석진 전무 / EY한영