실시간 뉴스



[강은성의 CISO 스토리]CISO의 정보 취득


정보보호최고책임자(CISO)나 개인정보보호책임자(CPO)가 되면 정보에 목마르게 된다. 규제가 어떻게 변화하는지, 다른 회사에서 사고가 났을 때 사고의 원인은 무엇인지, 우리는 뭘 해야 하는지, 요즘 남들은 (개인) 정보보호를 위해 어떤 일을 하는지, 나는 제대로 하고 있는 건지 걱정도 되고 궁금하기도 하다.

나 역시 그런 점에 관심이 많아서 다양한 경로를 통해 정보를 취득했고, 필요하면 내가 직접 알아 보기도 했다. 내가 했던 방식이 전부도 아니고 특별한 것이 아닐 수도 있지만 여러 정보보호최고책임자(CISO)나 개인정보보호책임자(CPO)들께 도움이 되기를 바라며 몇 가지 방안을 공유드린다.

가장 손쉬운 방법은 언론을 통한 정보 취득이다. 언론에서는 보안 관련 사고소식, 사고원인에 대한 나름의 분석, 규제 변화 등에 대해 끊임없이 기사가 나온다. 그 기사만 읽어도 상당히 도움이 된다. 하지만 언론에는 오보도 있고, 기자의 관점이 강하게 들어간 기사도 있다. 언론은 또 자신의 입장에 따라 일부만을 강조하기도 한다. 객관적인 전체를 파악하는 것이 중요한 CISO로서는 이럴 때 뉴스를 생성한 기관의 보도자료를 찾아 보는 것이 좋다. 예를 들어 올해 지속적인 개인정보 유출 사건에 대한 대책으로 지난 3월 10일 금융위원회가  ‘금융분야 개인정보 유출 재발방지 종합대책’을 냈고 많은 언론이 이를 보도했다.

하지만 기사를 쭉 읽어 본 결과 대부분 부분적인 요약이었다. 금융위원회 홈페이지에 가 보니 보도자료가 올라가 있었다. 마찬가지로 해킹 기사에서도 경찰이나 검찰의 보도자료를 찾아 보면 상세한 현황을 파악할 수 있다. 이렇게 하면 정보보호책임자나 개인정보보호책임자들이 경영진에 정확한 보고도 할 수 있고, 대책을 수립하는 데 큰 도움이 된다.

보안 관련 협회에 참여하는 것도 좋은 방법이다. 보안 관련 협회는 대부분 회사 단위로 가입하는 폐쇄그룹이다. 폐쇄그룹이기 때문에 외부에 공개적으로 말하기 힘든 깊숙한 이야기가 오간다. 정부 당국자들이 참석해 규제 변화의 방향과 내용을 설명하고 의견을 구하기도 한다. 협회는 정부 당국과 민간 사이에 있기 때문이다. 따라서 언론에 나오지 않는 고급 정보를 얻기 위해서는 협회에 참여하는 것이 좋다. CPO들이 참여한 한국CPO포럼, CISO들이 참여하는 정보보호최고책임자협의회, 보안 실무팀들이 참여하는 한국침해사고대응팀협의회(CONCERT)가 활발하게 활동하고 있다.

솔루션에 관한 정보를 얻기 위해서는 전시회에 가 보는 것이 좋다. 전시회는 짧은 시간에 여러 회사의 보안제품에 관한 심도 있는 정보를 취득할 수 있는 매우 좋은 자리다. 전시회 중에서도 대규모로 열리는 것보다는 컨퍼런스와 함께 소규모로 열리는 전시회가 좋다. 이러한 전시회에서는 보통 같은 종류의 보안제품을 전시하기 때문에 보안제품의 비교 검토에 매우 유익하다. 한 가지 강조하고 싶은 것은 전시회 관람의 핵심은 질문이라는 점이다.

질문한 만큼 정보를 얻을 수 있다. 특히 CISO가 가서 물어 보면 매우 친절하고 깊은 설명까지 해 준다. 실무자가 나와 있는 곳에 가서 제품의 특징, 핵심 경쟁력, 타사 대비 장점, 사용성 등을 물어 보고, 옆에 전시관에 가서 같은 기능의 다른 회사 제품에 관해 물어 보면, 서로 장단점을 확실하게 알 수 있다. 반나절만 투자하면 검토하고자 했던 제품을 다 볼 수 있다. 컨퍼런스 참석보다 더 중요한 것이 함께 열리는 전시회임을 잊지 말자.

해외 흐름을 보기 위해서는, 언어의 장벽이 있긴 하지만 해외 사이트를 찾아 볼 필요가 있다. 시만텍 등 주요한 글로벌 보안업체의 블로그나 해외 보안전문 언론의 기사를 보면 글로벌 이슈를 읽을 수 있다. 그러면 우리나라의 규제나 기술적 보안의 방향성을 가늠해 볼 수 있고, 회사 내부 의사결정 과정에서도 해외 사례를 근거로 설득력 있는 보고를 할 수 있다.

한발 더 나아가면 IT트렌드를 살펴 보는 것도 필요하다. 최근 IT트렌드에 빅데이터와 클라우드가 있는데, 그에 따라 보안에서도 빅데이터 보안, 클라우드 보안이 나온다. 모바일의 시대가 되자 MDM(Mobile Device Management)과 같은 보안 트렌드가 나왔다. 앞으로 IoT(Internet of Things, 사물인터넷, 만물인터넷)의 시대가 올 텐데, 그에 대한 보안 이슈 역시 나올 것이다.  이러한 트렌드를 알면 어떤 보안 이슈가 생길지 예측할 수 있고, 사내 IT부서와도 잘 소통할 수 있다.

쓰고 보니 할 일이 너무 많아 보인다. 이걸 다 할 필요도 없고 다 하기 어려울 수도 있겠다. 다만 회사의 처지나 개인의 특성과 장점에 기반하여 CISO나 CPO들이 다양한 경로를 통해 정보를 입수하고, 우리 회사에 적용할 만한 게 있는지 늘 살펴 보기를 바란다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.







alert

댓글 쓰기 제목 [강은성의 CISO 스토리]CISO의 정보 취득

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스