#지금 100G급 분산서비스거부(DDoS) 공격이 들어오고 있어 빨리 대응해야 합니다.
#개인정보가 유출되지 않도록 DB암호화 솔루션 도입이 필수입니다.
#제로데이 취약점을 악용한 익스플로잇이 발견돼 이를 탐지하고, 조치할 수 있는 시스템을 갖춰야 합니다.
보안책임자 혹은 정보보호최고책임자(CISO)가 회사 최고경영자(CEO)에게 이렇게 말한다고 한들 돌아오는 답변은 하나다.
그래서 뭐 어쩌라는 것이냐?
보안사고가 끊이지 않는 와중에 금융권에서는 CISO를 IT시스템 구축 관리 업무를 담당하는 최고정보책임자(CIO)와 분리해 기업 내 보안 전문성을 살리기 위한 노력이 한창이다.
문제는 정작 최종 의사결정권자인 최고경영책임자(CEO) 입장에서는 보안적인 조치나 관련 분야에 대한 투자가 제품이나 서비스를 팔아 수익을 내는 것보다 왜 중요한지에 대해 논리적으로 이해가 되지 않는 경우가 많다는 점이다.
CEO가 잘 몰라서 그런 것이지만, 모르는 걸 CEO 탓만으로 돌리는 것도 바람직한 건 아니라는 지적이 많다. 경영 관점에서 이슈를 보는 CEO에게 기술 용어를 많이 쓰는 보안 담당자들의 관행도 문제가 있을 수 있다는 것이다.
서울여대 클라우드컴퓨팅연구센터 정보보호학과 박춘식 교수는 CISO들도 이제는 MBA를 이수해야한다고 말한다.
어려운 기술적인 용어가 아니라 경영적인 차원에서 CEO가 보안에 투자해야하는 근거를 제시할 수 있어야 한다는 것이다. 예를 들어 CISO가 보안 솔루션이나 서비스 도입을 위한 투자를 제안한다고 했을 때 객관화된 수치나 시각적으로 내용을 표현해 CEO들에게 핵심적인 내용을 판단할 수 있도록 설명해 줄 수 있어야 한다는 것이다.
권치중 안랩 대표도 최근 연례 보안컨퍼런스인 '안랩 ISF 2014'에 참석한 자리에서 보안이 기술에만 초점이 맞춰져 있다보니 하나의 조직에서 다른 말들이 나오는 경우를 많이 봤다며 CEO, CISO, 보안회사들 간에 이해의 폭을 넓히기 위해 보다 쉬운 언어로 대화할 필요가 있다고 말했다.
CEO에게는 위험 평가 기준에 따라 우리 회사 위험 수준은 100% 중 몇 %인지, 전체 경쟁사들 중 어떤 보안위협이 도사리고 있고, 이로 인한 예상되는 피해규모는 어느 정도인지를 산정해 알려줄 수 있도록 하는 것이 바람직하다는 설명이다.
관련기사
- "지능형 보안 위협 막는 키워드는 인텔리전스"2014.10.17
- 공인인증서 안써도 인터넷뱅킹 가능해진다2014.10.17
- IT담당자만 보안 외치는 기업은 위험하다2014.10.17
- 국내 보안 시장이 제자리 걸음만 하는 이유2014.10.17
CISO가 노력한다고 한들 전문경영인(CEO) 입장에서는 실적에 대한 압박이 보안 문제보다 훨씬 더 크게 작용할 수 있다. 오랫동안 보안 컨설팅을 맡았던 한 전문가는 전문경영인들이 재직하는 기간은 상대적으로 짧은 시간인데 자기가 있는 동안에 사고가 나지 않기만을 바라는 것이 현실이라고 말했다. 때문에 차라리 어떤 식으로든 룰을 밀어부치는 것이 무식해 보여도 제일 효과적이라고 조언했다.
실제로 금융권의 경우 한 해 IT예산의 7%를 의무적으로 보안에 투자하도록 의무화됐다. 주요 정보통신사업자에게 보안에 대한 최소한의 프로세스를 갖출 것을 요구하는 정보보호관리체계(ISMS) 인증을 의무화한 것이나 금융권에서 ISMS를 기반으로한 전자금융거래법상 '금융보안 인증제도'가 도입되는 것도 이런 맥락에서다. 기존 금융권에만 적용돼 있는 7% 룰을 다른 기업, 기관들에게까지 확대하는 것도 하나의 방법이라고 전문가들은 권고했다.