“보안 팀장은 보안만 신경 쓰면 된다. 하지만 정보보호최고책임자(CISO)는 보안만 생각해서는 안 된다. 회사의 목표를 달성할 수 있는 데 기여하는 보안, 이것을 책임지는 분들이 CISO다.”
박종섭 법무법인광장 수석전문위원은 ‘2018 정보보호 최고 책임자(CISO) 교육’에 강연자로 나서 CISO를 이같이 정의했다.
과학기술정보통신부가 주최하는 ‘2018 정보보호 최고 책임자(CISO) 교육’이 16일 을지로 비앤디파트너스 시그니처타워에서 열렸다. CISO 교육은 매년 한국인터넷진흥원(KISA)에서 기업 CISO를 대상으로 주관하는 행사다. 이날 행사에서는 CISO의 기본역량과 역할 등에 대한 교육이 이뤄졌다.
이날 강연을 맡은 박종석 전문위원은 현재 법률사무소 법무법인 광장에서 보안컨설팅을 맡고 있으며, CISO를 겸하고 있다. 그는 2008년 옥션 대규모 개인정보 유출 사건 발생 후, 옥션에 보안 팀장으로 들어가 사고 대응 업무를 맡은 바 있다.
그는 이날 CISO의 기본역량에 대해 교육했다. 그는 CISO를 “보안 쪽 최종 책임을 지는 사람인데, 그 의미가 굉장히 추상적이고 모호하다”며 “결국은 보안을 잘 해서 회사 목표를 달성할 수 있도록 해주는 사람”이라고 정의하며 말문을 열었다.
그는 “CISO는 지난 4월 판문점 선언 때, 대통령의 경호 책임자와 역할이 같다”고 설명했다. “평화회담을 진행하는데, 경호에 열중하다 경호원끼리 싸우고 있으면 안된다”며 “경호를 잘하면서도, 평화로운 분위기를 유지해야 하는 상황에서 어떤 태도를 취해야 하는지 바로 그 부분이 CISO가 고민해야 할 부분”이라고 지적했다.
그는 CISO가 하는 정보보호 거버넌스를 크게 기업 경영과 정보보호, 두 가지로 분류했다. 정보보호 거버넌스는 기업 거버넌스의 일부분으로서, 기업 보안프로그램의 성공과 실패 여부를 감시하고, 전략적 방향을 제시하며, 목표 달성 확인 및 위험 관리 등을 하는 활동을 말한다.
그는 “CEO, CFO, CISO 등 C레벨들은 포괄적인 책임을 지는 사람이기 때문에 기업 경영 측면에서도 생각해야 한다”며 “재무상, 운영상 위험 등에 맞서 기업의 성장, 수익, 지속가능성, 사회적 책임 등을 달성할 수 있도록 위험관리에 신경을 써야 한다”고 말했다.
정보보호 측면에서는 “기술적, 운영상의 위험에서 벗어나 흔히 CIA라 불리는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 유지할 수 있어야 한다”고 소개했다. CIA는 정부 자산에 허가받지 않은 접근은 통제하고, 필요할 때에는 바로 접근이 가능하고, 정부 자산이 변조되거나 위조되는 것은 막는 정보 보호의 3요소를 말한다.
그는 “CISO는 기업경영에 관련된 위험뿐만 아니라 순수하게 정보 보호와 관련된 위험에도 충실해야 한다”고 강조했다. 정보보호의 주요 기술적 위험으로 ▲해킹에 의한 정보 유출 ▲장애로 인한 서비스 중단 ▲해킹에 의한 정보 위·변조를 꼽았다. 그는 “해킹에 의한 정보 유출은 너무 많아 지겨울 정도”라고 말했다.
이어 그는 “과거에는 네트워크나 서버 자원 그 자체를 공격해, 정작 들어와야 할 트래픽을 못 들어오게 하는 공격을 많이 썼는데 요즘에는 랜섬웨어를 이용한다”며 “이런 기술적 위험은 회사의 존폐를 가를 수 있다”고 경고했다.
운영상 위험으로는 ▲임직원의 실수에 의한 서비스 중단 ▲임직원의 고의에 의한 정보 유출 ▲임직원의 실수에 의한 데이터 유실 등을 꼽았다. 그는 “임직원의 실수로 발생하는 서비스 중단은 오히려 해킹보다 훨씬 더 찾기 어렵다”며 “방화벽 변경 등 유지 보수하는 시간에는 방화벽, 시스템 엔지니어뿐만 아니라 개발팀에서도 나와 대기하고 있어야 한다”고 조언했다.
또 그는 CISO는 개인정보 유출로 인한 민사 소송, 임직원에 대한 형사처벌 등도 고려해야 한다고 말했다. “아직 임직원이 해킹당했다고 해서 형사처벌을 당한 사례는 없는 것으로 안다. 하지만 그 외에 정보보호 업무 처리 과정에서 다른 사유로 형사처벌을 받는 경우는 있다”고 설명했다.
“예를 들면, 고의로 정보가 유출되는 것을 막기 위한 솔루션이 있는데 메일, 메신저, 웹하드 모니터링하는 시스템이 이에 해당한다”며 “이는 프라이버시 측면에서 일종의 감시로도 작용하니 주의해야 한다”고 밝혔다. 실제로 담당 부장이 임직원 메일을 무단으로 열람해 형사처벌 받은 사례도 있다고 덧붙였다.
그는 CISO가 수행해야 하는 정보보호 거버넌스는 “조직의 목표와 정보보호의 목표를 연계해야 한다”고 강조했다. “정보보호 전략이 성공하느냐, 실패하느냐가 조직의 궁극적인 목적 달성에 어떤 영향을 줘야 하는지 CISO는 반드시 고려해야 한다”고 덧붙였다.
또 “CISO는 조직의 목표 달성에 영향을 주는 잠재적 위험을 관리해야 한다”며 “잠재적 위험을 직접 관리하는 건 실무자가 하겠지만, CISO는 그 부분까지도 챙겨야 한다”고 설명했다.
관련기사
- 토스 "신용석 CISO, 아태 정보보안전문가상 수상"2018.08.16
- 금융보안원, 금융권CISO 대상 보안 교육 실시2018.08.16
- 4차산업혁명시대 기업 CISO의 역할론2018.08.16
- 네오위즈 최중섭 CISO, '고위 정보 보안 전문가상' 수상2018.08.16
그는 사람, 지식, 인프라, 예산 등 가용 자원을 얼마나 효과적으로 사용할 것인지도 CISO가 항상 생각해야 한다고 언급했다. “가끔 보면 보안 담당자가 대부분의 업무 시간을 보안 솔루션 운영하는데 쓰는 등 보안 솔루션 위주로 돌아가는 회사가 있는데, 그런 상황을 긍정적으로 보진 않는다”며 “보안 솔루션에 너무 의존하지 말고, 솔루션이 제대로 돌아가고 있는지 검증하는 절차만 잘 지키면 된다”고 조언했다.
마지막으로 그는 “연령, 직급을 떠나 CISO 역할을 맡았다면, 보안 사고에 대한 포괄적이고 최종적인 책임을 감수해야 한다”고 강조했다.
