기업 CEO, CISO에게 전적으로 힘을 실어줘야 속도감 있는 보안 강화 정책 추진 가능
[보안뉴스 권준 부사장] SK텔레콤의 유심 정보 해킹 사태로 우리나라 인구 절반에 달하는 SKT 이용자들의 불편과 함께 개인정보 유출 불안감이 커졌다. SKT 이용자들뿐만 아니다. 대다수 국민들도 매일 보도되는 이번 사태로 인해 보안사고가 우리 일상생활에 얼마나 큰 영향을 미칠 수 있는지 실감하는 계기가 됐다.
[자료: gettyimagesbank]
이번 SKT 사태로 기업의 정보보호최고책임자(CISO)를 비롯한 보안담당자들도 ‘좌불안석’이긴 마찬가지다. 해킹 공격에 악용된 BPF도어 악성코드 분석과 모니터링, 취약점 점검 등을 위해 5월 초 황금연휴도 반납하고 보안업무에 매진하고 있는 데다가 CEO들의 끊임 없는 질문 공세에 시달릴 것이 불을 보듯 뻔하기 때문이다.
“우리 회사는 보안에 별 문제 없는 거지?”, “경쟁회사랑 비교해서 정보보호 투자는 많이 한 거 맞지?”, “보안 취약점 점검은 철저하게 한 거야?” 등등. 평소에는 보안에 별다른 관심 없다가 오로지 ‘돈’을 쓸 때만 태클을 걸어오던 경영진들이 지금은 눈에 불을 켜고 보안을 외치고 있을 테니 말이다.
기업의 보안 강화를 위해 경영진을 설득하고 정보보호 투자 확대에 최선을 다해온 CISO들은 그간의 노력이 일견 허탈하게 느껴지기도 할 것이다. 그러나 각 기업 CISO들은 이를 오히려 기회로 삼을 필요가 있다. 보안사고를 100% 막는 일은 불가능하다는 점을 전제로 이를 최소화하기 위해 CISO의 역할 확대와 보안조직의 위상 강화는 물론 정보보호 투자를 확대할 수 있는 계기로 삼아야 한다는 얘기다.
▲권준 보안뉴스 부사장
이를 위해 CISO들은 사내 보안조직이 ‘어떤’ 보안 솔루션을 도입해 회사의 ‘무슨’ 자산을 보호해 왔고, 직원들의 보안의식 제고를 위해 보안 활동들을 ‘어떻게’ 펼쳐왔는지, 그리고 이를 통해 어떤 효과를 거둘 수 있었는지 구체적이고 명료하게 경영진에게 보고할 수 있어야 한다.
기업 경영진 역시 CISO들의 보안실태 보고에 귀를 기울이고, 이들에게 전적으로 힘을 실어줘야만 한다. 이번 사태를 계기로 회사의 보안 투자현황과 보안조직 규모 및 역할에 대해 다시 한번 점검하고 과감한 투자와 권한 부여가 이뤄져야 한다. CISO들이 보안정책을 속도감 있게 추진할 수 있도록 전폭 지원해야만 기업의 보안수준이 한 단계 업그레이드되는 기회가 될 것이다.
설사 보안사고를 당했더라도 보안조직이 사고의 책임으로 위축되지 않고 신속하게 사이버 회복력(Cyber Resilience)을 갖출 수 있도록 하는 일이 무엇보다 중요하다. 보안사고의 책임은 전적으로 CEO가 진다는 각오로 CISO 및 보안조직이 사고 조사와 보안 강화에 매진할 수 있게 전사 차원의 지원이 선행돼야 한다. 이번 사태에 대응하는 SK텔레콤의 행보가 주목되는 이유이기도 하다.
[글_ 권준 보안뉴스 부사장(kwonjun@boannews.com)]
[보안뉴스 권준 부사장] SK텔레콤의 유심 정보 해킹 사태로 우리나라 인구 절반에 달하는 SKT 이용자들의 불편과 함께 개인정보 유출 불안감이 커졌다. SKT 이용자들뿐만 아니다. 대다수 국민들도 매일 보도되는 이번 사태로 인해 보안사고가 우리 일상생활에 얼마나 큰 영향을 미칠 수 있는지 실감하는 계기가 됐다.
[자료: gettyimagesbank]
이번 SKT 사태로 기업의 정보보호최고책임자(CISO)를 비롯한 보안담당자들도 ‘좌불안석’이긴 마찬가지다. 해킹 공격에 악용된 BPF도어 악성코드 분석과 모니터링, 취약점 점검 등을 위해 5월 초 황금연휴도 반납하고 보안업무에 매진하고 있는 데다가 CEO들의 끊임 없는 질문 공세에 시달릴 것이 불을 보듯 뻔하기 때문이다.
“우리 회사는 보안에 별 문제 없는 거지?”, “경쟁회사랑 비교해서 정보보호 투자는 많이 한 거 맞지?”, “보안 취약점 점검은 철저하게 한 거야?” 등등. 평소에는 보안에 별다른 관심 없다가 오로지 ‘돈’을 쓸 때만 태클을 걸어오던 경영진들이 지금은 눈에 불을 켜고 보안을 외치고 있을 테니 말이다.
기업의 보안 강화를 위해 경영진을 설득하고 정보보호 투자 확대에 최선을 다해온 CISO들은 그간의 노력이 일견 허탈하게 느껴지기도 할 것이다. 그러나 각 기업 CISO들은 이를 오히려 기회로 삼을 필요가 있다. 보안사고를 100% 막는 일은 불가능하다는 점을 전제로 이를 최소화하기 위해 CISO의 역할 확대와 보안조직의 위상 강화는 물론 정보보호 투자를 확대할 수 있는 계기로 삼아야 한다는 얘기다.
▲권준 보안뉴스 부사장
이를 위해 CISO들은 사내 보안조직이 ‘어떤’ 보안 솔루션을 도입해 회사의 ‘무슨’ 자산을 보호해 왔고, 직원들의 보안의식 제고를 위해 보안 활동들을 ‘어떻게’ 펼쳐왔는지, 그리고 이를 통해 어떤 효과를 거둘 수 있었는지 구체적이고 명료하게 경영진에게 보고할 수 있어야 한다.
기업 경영진 역시 CISO들의 보안실태 보고에 귀를 기울이고, 이들에게 전적으로 힘을 실어줘야만 한다. 이번 사태를 계기로 회사의 보안 투자현황과 보안조직 규모 및 역할에 대해 다시 한번 점검하고 과감한 투자와 권한 부여가 이뤄져야 한다. CISO들이 보안정책을 속도감 있게 추진할 수 있도록 전폭 지원해야만 기업의 보안수준이 한 단계 업그레이드되는 기회가 될 것이다.
설사 보안사고를 당했더라도 보안조직이 사고의 책임으로 위축되지 않고 신속하게 사이버 회복력(Cyber Resilience)을 갖출 수 있도록 하는 일이 무엇보다 중요하다. 보안사고의 책임은 전적으로 CEO가 진다는 각오로 CISO 및 보안조직이 사고 조사와 보안 강화에 매진할 수 있게 전사 차원의 지원이 선행돼야 한다. 이번 사태에 대응하는 SK텔레콤의 행보가 주목되는 이유이기도 하다.
[글_ 권준 보안뉴스 부사장(kwonjun@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
