이제 회사에서 2015년 사업계획이 어느 정도 마무리되었을 시기다. 각 회사의 정보보호최고책임자(CISO)들이나 개인정보보호책임자(CPO)들 역시 회사의 사업목표에 연계된 보안위험이나 일반적인 보안위험을 최소화 하기 위한 사업 계획으로 고민을 많이 했을 것 같다. 경영진의 눈에 탁 띄는 키워드를 잡아 내는 일은 언제나 쉽지 않다.

올해는 무엇보다도 정보보안 위험이 기업의 중대한 리스크라는 것을 실감하게 된 한 해였다. 많은 기업에서 보안인력을 채용하고, 보안조직을 강화함에 따라 시장에서 보안인력이 품귀현상을 보이고, 일반기업의 정보보안조직으로 이동한 보안전문업체 인력이 많았다는 점은 이의 한 단면이라 할 수 있다. 정보보안 위험을 대응하는 기업차원의 대응전략은 전사적인 대응구조, 즉 '기업보안 거버넌스'를 구축하는 일에서부터 시작된다. 보안인력을 채용하고 조직을 강화하며 예산을 늘리는 일이 기업보안을 위해 매우 중요한 일임에 틀림없지만, 기업보안 거버넌스를 제대로 구축하고 작동시키는 일은 이 모든 일의 근간이 되기 때문이다.

정보보호 거버넌스의 국제표준인 ISO/IEC 27014 (Governance of Information Security)에서는 거버넌스 프로세스를 다음 그림으로 기술했다.



보통 Governing Body를 이사회로 상정하는데, CEO가 이사회 의장을 겸하거나 이사회의 활동이 활발하지 못한 국내 환경에서는 이사회뿐 아니라 CEO, C레벨 임원을 포함한 최고경영층이라고 보는 게 타당하리라 생각된다. 그에 따라 Executive Management는 실행조직 개념으로 보는 게 현실적이다. 이 그림의 핵심적인 메시지는 최고경영층이 기업의 정보보안 위험을 대응하는 주체라는 것이다. 최고경영층의 지시, 평가, 관찰을 통해 실행조직이 정보보안을 실행(Information Security Management)한다. 이해관계자와의 소통을 책임지고 객관적인 정보보안 수준의 평가ㆍ보증을 받는 주체 또한 최고경영층이다. 정보보호 거버넌스의 요점 정리로 기억해 놓을 만한 그림이다.

정보보호 관리체계(ISMS)와의 비교를 통해 정보보호 거버넌스의 기능을 좀더 명확히 해주는 표가 있어서 여기에 소개한다.



기업의 현실에서 정보보호 거버넌스를 구축하고 실행하기 위한 구체적인 방안으로 다음 2가지 업무를 권해 드리고 싶다.

첫째, CEO를 비롯한 C레벨 임원, 이사회의 정보보호 어젠더를 지원하는 정보보호 경영지원 업무이다.

특히 CEO가 자신의 연간 주요 목표 중에 정보보호 어젠더를 가져 갈 수 있도록 건의하고 지원하면 전사적으로 그 영향이 크다. 최근 사회적 분위기도 있고 법적인 리스크도 있으므로 내년에 시도해 봄직하다. 이러한 틀은 전사적으로 최고경영층이 정보보안의 주체가 된다는 메시지를 줄 수 있고 실제로도 그렇게 작동할 수 있는 기반이 된다. 그 밖에도 주기적으로 열리는 임원회의에서 보안을 의제로 보고와 협의, 의사결정을 하고 1년에 한두 번은 이사회에 정보보안 의제를 상정하는 것 역시 기업보안 거버넌스를 수립, 운용하는 데에 필요한 요소이다.

둘째, 전사적인 정보보호 협업관리 업무이다.

전사적 협업체계의 기본 틀은 전사적인 정보보호 의제를 협의, 조정, 의결하는 정보보호위원회이다. 전자금융감독규정과 ISMS 인증기준에서 규정하고 있는 이 위원회는 보통 CISO가 의장을 맡고 관련 부서장들이 참여한다. CISO의 직급이 낮고 권한이 약하여 위원회의 위상이 낮게 인식되고 형식적인 기구가 될 가능성이 있는 회사에서는 CEO가 주관하는 임원회의의 일부를 정보보호위원회 회의로 갈음하는 것을 고려해 볼 수 있다. 아무래도 CEO가 참석하면 참석자들의 직급이 올라가고 조정이나 의사결정, 후속조치도 명확하게 이뤄질 수 있기 때문이다.

부서 간 협업 또한 CISO가 관리해야 할 대상이다. 실질적으로 정보보호 수준을 높이기 위해서는 이 협업이 특히 중요하다. CISO가 협업관리를 자신의 업무로 설정하고 추진하면 산하 팀장이나 팀원들이 타 부서와의 협업을 해 나가는 데 든든한 배경이 된다.

이 두 가지는 어느 정도 정보보안 조직이 있는 회사에게는 새롭지 않다. 다만 이것을 CISO의 업무로 설정하고 경영진의 지원도 받으면서 계획적으로 추진했으면 좋겠다.

며칠 전 한국침해사고대응팀협의회(CONCERT)에서 주최한 해킹방지워크숍2014에서 참석하여 흥미로운 이야기를 들었다. (아직 완료되지는 않았지만) 참석자 대상의 설문조사에서 경영진의 보안에 대한 지원 수준이 높으면 직무만족도가 떨어진다고 했다. 참석자의 대부분이 보안실무자라서 언뜻 이상해 보이는 이 설문 결과는 한 꺼풀 벗겨보면 이해되지 않는 바는 아니다. 경영진의 지원이 많다는 것은 경영진의 요구사항이 많다는 것과 통하기 때문이다. 게다가 전문성이 떨어지는 경영진이 상세한 업무까지 챙기면 보안실무자들은 더 괴로울 수 있다. 거버넌스가 잘못 작동할 때 발생할 수 있는 어려움이다. 여기에서 CISO들의 역할이 중요하다. 보안 거버넌스 측면에서 경영진의 주문사항을 (선제적으로) 지원하면서 보안실무자들이 해 나갈 보안실무를 지시하고 지원하는 것이 바로 CISO의 업무이기 때문이다.

법이 바뀌면서 내년도 조직개편에서 처음 CISO로 지정된 분들도 꽤 있으실 것 같다. CISO의 세계로 들어오신 것을 환영한다. 처음 선임되어 할 일들이 쌓여 있을 텐데 정보보안 조직의 구축과 같은 실무적인 업무도 추진하시되 기업보안 거버넌스와 같은 전사적인 구도도 함께 챙겨 보기를 권한다.

강은성 CISO Lab 대표 소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.