[3줄 요약]
1. ‘모든 IT 자산 통제권 부여’ 취지 실현에 CIO 역할 개선도 필요
2. IT 부서가 보안 뒷전이라면 실효성 없고 CISO 부담만 증폭
3. OT 부문에서도 CISO 보안 진단 적극 반영될 토대 필요
[보안뉴스 강현주 기자] ‘범부처 정보보호 종합대책’이 약속한 정보보호최고책임자(CISO) 권한 강화를 실현하기 위해 IT 부서 수장인 최고정보책임자(CIO)도 보안을 중요하게 고려할 수 있는 구조가 마련돼야 한다는 목소리가 커지고 있다.
4일 <보안뉴스>는 지난 10월 22일 정부가 발표한 정보보호 종합대책 중 ‘CISO 권한강화’에 대해서 다양한 산업분야의 CISO들의 의견을 들어봤다.
종합대책은 CISO 권한 강화를 위해 △모든 IT 자산에 대한 통제권 부여 △이사회 정기 보고 의무화 △정보보호 인력·예산 편성·집행 등을 제시했다.
이 중 ‘모든 IT 자산에 대한 통제권 부여’는 공격 타깃이 되고 있는 주요 IT 자산에 대한 CISO들의 보안 점검 권한을 강화하려는 취지라는 게 CISO들의 설명이다. CISO들은 이 같은 취지에는 대체로 공감하지만, 세심한 전제들이 보강되지 않는다면 자칫 실효성은 없이 CISO들의 부담만 높일 수 있다고 우려한다.
▲범부처 정보보호 종합대책 발표 현장 [자료: 과기정통부]
CISO 임원화 도움되지만...CIO 보안 책임 강화 뒷받침돼야
실제로 최근 주요 기업 해킹 사고들은 노후 장비(EOS) 미교체, 설정 오류 등 IT 운영 홀(Hole) 때문에 발생했다. 하지만 IT 자산 관리와 운영은 CIO 조직의 영역이다보니 CISO 조직에서 보안 점검 및 조치를 할 권한이 없거나 제한적인 거버먼스 이슈가 불거졌다.
각 기업의 규모와 상황, CISO 조직의 규모 등에 따라 조금씩 이견이 있다. 하지만 △CISO의 위상이 강화돼야 점검 권한이 실효하다는 점 △점검에 따른 진단이 CIO 조직에서 적극 반영하는 구조가 돼야한다는 점에 의견이 모아진다.
IT 분야 한 CISO는 “CISO 조직에서 IT와 OT 자산들을 들여다보고자 할 때 자유롭고 원활하지 못한 기업들이 다수”라며 “CISO가 타이틀만이 아닌 실제로 임원 직급이 돼야 CIO 조직 관할의 IT 자산에 대한 점검이 원활하게 이뤄질 것”이라고 말했다.
다만, CISO의 직급과 관계없이 IT 자산을 담당하는 부서에서도 보안에 대한 책임을 가지는 구조가 돼야 점검과 진단이 유효하다는 지적이 나온다.
한 대기업 계열 CISO는 “기업의 IT 자산에 대한 실무 인력과 권한은 IT 조직(CIO·CTO)에 머물러 있는데, 세심한 전제 조건 없이 ‘모든 IT 자산 통제권 부여’라고만 하면 자칫 관리와 운영 권한, 인력은 IT 조직에 있는 상태에서 더 큰 책임만 CISO에게 모두 가져가라는 얘기가 될 수 있다”고 지적했다.
다수의 기업에서 CIO 산하의 IT 부서의 성과 지표는 주로 개발 결과물과 새로운 서비스 발굴 등이 주를 이룬다. 이들에게 IT 운영에 있어서 보안 이슈는 티가 안 나고 우선순위가 낮은 경향이있다. 이로 인해 CISO에게 보안 점검과 조치 진단 권한이 있어도 실질적인 작업은 이행되지 않는 악순환이 반복되는 실정이라는 설명이다.
이 CISO는 “정부가 CIO나 CTO에게 노후 장비 교체, DR 백업 등 보안 측면의 역할과 책임을 명확히 부여하는 등 체계 마련의 정책적 그림이 전혀 없는 상태에서 CISO에게 자산 통제 권한을 준다고만 하면 CIO나 CTO가 이를 적극적으로 따라주지 않을 가능성이 높다”며 “CISO가 모든 자산에 대한 점검 권한을 갖는다 해도, 그 권한을 통한 진단을 CIO나 CTO가 반영해주지 않는다면 보안 향상에 효과를 거두기 어렵다”고 설명했다.
산업용 장비 운영(OT)에서도 CISO 진단 반영 토대 필요
이 같은 구조는 IT 자산뿐 아니라 산업용 장비 운영(OT) 관련 보안 부분에서도 유사하다. OT 책임자 또는 관련 외주사의 경우 CISO 조직과 달리 보안 책임에서 거리가 있는 경향이 있다.
그러다보니, 설령 CISO가 OT 시스템을 점검하고 필요한 보안 조치를 요구한다 해도 반영되지 않는 경우가 많다는 게 CISO들의 설명이다. 결국 그렇게 사고가 나면 CISO에게만 또 그 책임이 전가된다는 것이다.
또 다른 대기업 계열 CISO는 “정부가 말한 ‘모든 IT 자산에 대한 통제권’의 범위가 산업용 장비까지 포함하는지 현재로써는 모호한 면이 있다”며 “산업용 장비의 취약점을 통한 보안 사고가 많이 발생하는 만큼, OT 담당 책임자나 외주사도 보안 측면을 고려해야만 하게끔 정책적인 뒷받침이 있어야 CISO의 점검 권한에도 실효성이 붙을 수 있을 것”이라고 밝혔다.
CISO가 내부 직급상 실제 임원이어야 힘을 받는데 유리하다는 데에는 큰 틀에서는 이견이 없는 편이다. 다만, 직급이나 지위에만 의존해 점검과 진단 권한을 갖는 것은 반쪽짜리가 될 수 있다는 우려다.
“CISO가 높은 직급에 있다는 점은 분명히 보안 활동 및 사고 대응의 추진력과 실행력 면에서 도움이 된다”며 “하지만 CIO와 CTO 산하의 IT 조직을 움직이게 만드는 정부의 바람직한 가이드가 없다면, CISO가 임원 위치에 있다 해도 조직 내 힘의 논리에 따라 불안정할 수 있다”고 CISO들은 입을 모은다.
한편, 모든 IT 자산에 대한 ‘통제권’이라는 단어가 자칫 IT 자산 운영과 관리를 담당하는 CIO 조직의 영역을 침범한다는 의미로 해석될 수 있다는 우려도 제기된다. 이에 통제권 보다는 점검 권한, 점검 및 진단 권한 등 좀 더 구체적인 단어로 보강이 필요하다는 의견도 나오고 있다.
[강현주 기자(jjoo@boannews.com)]
1. ‘모든 IT 자산 통제권 부여’ 취지 실현에 CIO 역할 개선도 필요
2. IT 부서가 보안 뒷전이라면 실효성 없고 CISO 부담만 증폭
3. OT 부문에서도 CISO 보안 진단 적극 반영될 토대 필요
[보안뉴스 강현주 기자] ‘범부처 정보보호 종합대책’이 약속한 정보보호최고책임자(CISO) 권한 강화를 실현하기 위해 IT 부서 수장인 최고정보책임자(CIO)도 보안을 중요하게 고려할 수 있는 구조가 마련돼야 한다는 목소리가 커지고 있다.
4일 <보안뉴스>는 지난 10월 22일 정부가 발표한 정보보호 종합대책 중 ‘CISO 권한강화’에 대해서 다양한 산업분야의 CISO들의 의견을 들어봤다.
종합대책은 CISO 권한 강화를 위해 △모든 IT 자산에 대한 통제권 부여 △이사회 정기 보고 의무화 △정보보호 인력·예산 편성·집행 등을 제시했다.
이 중 ‘모든 IT 자산에 대한 통제권 부여’는 공격 타깃이 되고 있는 주요 IT 자산에 대한 CISO들의 보안 점검 권한을 강화하려는 취지라는 게 CISO들의 설명이다. CISO들은 이 같은 취지에는 대체로 공감하지만, 세심한 전제들이 보강되지 않는다면 자칫 실효성은 없이 CISO들의 부담만 높일 수 있다고 우려한다.
▲범부처 정보보호 종합대책 발표 현장 [자료: 과기정통부]
CISO 임원화 도움되지만...CIO 보안 책임 강화 뒷받침돼야
실제로 최근 주요 기업 해킹 사고들은 노후 장비(EOS) 미교체, 설정 오류 등 IT 운영 홀(Hole) 때문에 발생했다. 하지만 IT 자산 관리와 운영은 CIO 조직의 영역이다보니 CISO 조직에서 보안 점검 및 조치를 할 권한이 없거나 제한적인 거버먼스 이슈가 불거졌다.
각 기업의 규모와 상황, CISO 조직의 규모 등에 따라 조금씩 이견이 있다. 하지만 △CISO의 위상이 강화돼야 점검 권한이 실효하다는 점 △점검에 따른 진단이 CIO 조직에서 적극 반영하는 구조가 돼야한다는 점에 의견이 모아진다.
IT 분야 한 CISO는 “CISO 조직에서 IT와 OT 자산들을 들여다보고자 할 때 자유롭고 원활하지 못한 기업들이 다수”라며 “CISO가 타이틀만이 아닌 실제로 임원 직급이 돼야 CIO 조직 관할의 IT 자산에 대한 점검이 원활하게 이뤄질 것”이라고 말했다.
다만, CISO의 직급과 관계없이 IT 자산을 담당하는 부서에서도 보안에 대한 책임을 가지는 구조가 돼야 점검과 진단이 유효하다는 지적이 나온다.
한 대기업 계열 CISO는 “기업의 IT 자산에 대한 실무 인력과 권한은 IT 조직(CIO·CTO)에 머물러 있는데, 세심한 전제 조건 없이 ‘모든 IT 자산 통제권 부여’라고만 하면 자칫 관리와 운영 권한, 인력은 IT 조직에 있는 상태에서 더 큰 책임만 CISO에게 모두 가져가라는 얘기가 될 수 있다”고 지적했다.
다수의 기업에서 CIO 산하의 IT 부서의 성과 지표는 주로 개발 결과물과 새로운 서비스 발굴 등이 주를 이룬다. 이들에게 IT 운영에 있어서 보안 이슈는 티가 안 나고 우선순위가 낮은 경향이있다. 이로 인해 CISO에게 보안 점검과 조치 진단 권한이 있어도 실질적인 작업은 이행되지 않는 악순환이 반복되는 실정이라는 설명이다.
이 CISO는 “정부가 CIO나 CTO에게 노후 장비 교체, DR 백업 등 보안 측면의 역할과 책임을 명확히 부여하는 등 체계 마련의 정책적 그림이 전혀 없는 상태에서 CISO에게 자산 통제 권한을 준다고만 하면 CIO나 CTO가 이를 적극적으로 따라주지 않을 가능성이 높다”며 “CISO가 모든 자산에 대한 점검 권한을 갖는다 해도, 그 권한을 통한 진단을 CIO나 CTO가 반영해주지 않는다면 보안 향상에 효과를 거두기 어렵다”고 설명했다.
산업용 장비 운영(OT)에서도 CISO 진단 반영 토대 필요
이 같은 구조는 IT 자산뿐 아니라 산업용 장비 운영(OT) 관련 보안 부분에서도 유사하다. OT 책임자 또는 관련 외주사의 경우 CISO 조직과 달리 보안 책임에서 거리가 있는 경향이 있다.
그러다보니, 설령 CISO가 OT 시스템을 점검하고 필요한 보안 조치를 요구한다 해도 반영되지 않는 경우가 많다는 게 CISO들의 설명이다. 결국 그렇게 사고가 나면 CISO에게만 또 그 책임이 전가된다는 것이다.
또 다른 대기업 계열 CISO는 “정부가 말한 ‘모든 IT 자산에 대한 통제권’의 범위가 산업용 장비까지 포함하는지 현재로써는 모호한 면이 있다”며 “산업용 장비의 취약점을 통한 보안 사고가 많이 발생하는 만큼, OT 담당 책임자나 외주사도 보안 측면을 고려해야만 하게끔 정책적인 뒷받침이 있어야 CISO의 점검 권한에도 실효성이 붙을 수 있을 것”이라고 밝혔다.
CISO가 내부 직급상 실제 임원이어야 힘을 받는데 유리하다는 데에는 큰 틀에서는 이견이 없는 편이다. 다만, 직급이나 지위에만 의존해 점검과 진단 권한을 갖는 것은 반쪽짜리가 될 수 있다는 우려다.
“CISO가 높은 직급에 있다는 점은 분명히 보안 활동 및 사고 대응의 추진력과 실행력 면에서 도움이 된다”며 “하지만 CIO와 CTO 산하의 IT 조직을 움직이게 만드는 정부의 바람직한 가이드가 없다면, CISO가 임원 위치에 있다 해도 조직 내 힘의 논리에 따라 불안정할 수 있다”고 CISO들은 입을 모은다.
한편, 모든 IT 자산에 대한 ‘통제권’이라는 단어가 자칫 IT 자산 운영과 관리를 담당하는 CIO 조직의 영역을 침범한다는 의미로 해석될 수 있다는 우려도 제기된다. 이에 통제권 보다는 점검 권한, 점검 및 진단 권한 등 좀 더 구체적인 단어로 보강이 필요하다는 의견도 나오고 있다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
