[3줄 요약]
1. CISO의 ‘외로운 투쟁’ 끝내야
2. “개발만 잘하면 된다는 건 위험한 생각” 여론 확산
3. IT 부서에도 보안 역할 부여하고 KPI 반영 검토해야
[보안뉴스 강현주 기자] IT 시스템의 실질적 설계와 운영을 담당하는 최고정보책임자(CIO)와 최고기술책임자(CTO)의 보안 책임을 대폭 강화해야 한다는 ‘공동 책임론’이 급격히 확산되는 추세다.
대부분의 기업에서는 보안 정책을 수립 하는 CISO 부서가 IT 시스템을 실제 이행하는 CIO·CTO 부서가 분리돼 서로 대척되는 인사고과(KPI)를 가지는 게 일반적이다.
이 때문에 IT 부서는 개발 속도와 운영 효율에만 치중하는 구조로 흘러가기 십상이다. CISO가 아무리 강력한 보안 가이드라인을 세워도, 실제 서버를 구축하고 코드를 짜는 IT 부서가 이를 무시하거나 후순위로 미루면 보안은 무용지물이 된다.
▲쿠팡 사고로 IT 조직의 보안 책임 강화론이 재점화됐다. [자료: 연합]
실질적인 예산 집행권과 인력 운영권은 CIO나 CTO가 쥐고 있는 경우가 많아, 보안 부서의 요구사항이 비즈니스 우선순위에 밀리기 일쑤다. CISO는 조직 내에서 잔소리꾼으로 치부되는 구조적 한계를 지적한다.
하지만 단 한순간의 소홀이나 실수가 돌이킬 수 없는 큰 사고로 이어질 수 있다.
IT 조직이 보안을 소홀히 해서 난 사고 조차도 그 책임은 보안 부서만 져야하는 구조는 수많은 우수한 보안 인재들을 떠나게 만든다.
이제는 보안을 별개의 것이 아닌 IT 인프라의 기본 속성으로 정의하고, 이를 주도하는 CIO와 CTO에게 실질적인 보안 책임을 부여해야 한다는 목소리가 높다.
최근 발생한 쿠팡 개인정보 유출 사고는 이러한 책임 강화론에 불을 지폈다. 당시 사고 원인으로 추정된 인증 프로세스의 허점은 보안 정책이 실제 시스템에서 제대로 구현됐는지 의문을 남긴다.
내부통제 문제와 함께 인증 프로세스 관리 미흡 문제가 이번 사고가 던진 화두다. 시스템 내부에 접근할 수 있는 인증 업무는 IT 조직의 주요 업무라는 면에서 IT 조직 보안 책임 강화론이 다시금 부상하는 것이다.
보안 부서가 정책을 전달했음에도 실제 시스템 운영단에서 이를 누락하거나 취약하게 구현했다면 그 책임은 실무 총괄자인 CIO와 CTO가 져야 한다는 여론이 높아진다.
CIO와 CTO가 보안을 등한시하는 근본적인 원인은 기업의 성과 지표(KPI)에 있다. 대부분의 기업에서 IT 부서는 서비스의 빠른 출시, 시스템 가동률, 비용 절감 등으로 평가받는다.
보안 전문가들은 “보안을 챙기느라 개발 속도가 늦어지면 오히려 무능한 부서로 낙인찍히는 구조가 개선되지 않는 한 IT 부서에서 보안을 소홀히 하는 악순환은 끝나지 않을 것”이라며 “이러한 모순을 해결하기 위해 IT 부서의 KPI에 보안 이행 수준을 반영하는 것을 적극 도입해야 한다”고 제언했다.
보안이 IT 부서의 성과를 갉아먹는 방해 요소가 아니라, 성과를 완성하는 필수 요건이 되어야 한다는 지적이다.
[강현주 기자(jjoo@boannews.com)]
1. CISO의 ‘외로운 투쟁’ 끝내야
2. “개발만 잘하면 된다는 건 위험한 생각” 여론 확산
3. IT 부서에도 보안 역할 부여하고 KPI 반영 검토해야
[보안뉴스 강현주 기자] IT 시스템의 실질적 설계와 운영을 담당하는 최고정보책임자(CIO)와 최고기술책임자(CTO)의 보안 책임을 대폭 강화해야 한다는 ‘공동 책임론’이 급격히 확산되는 추세다.
대부분의 기업에서는 보안 정책을 수립 하는 CISO 부서가 IT 시스템을 실제 이행하는 CIO·CTO 부서가 분리돼 서로 대척되는 인사고과(KPI)를 가지는 게 일반적이다.
이 때문에 IT 부서는 개발 속도와 운영 효율에만 치중하는 구조로 흘러가기 십상이다. CISO가 아무리 강력한 보안 가이드라인을 세워도, 실제 서버를 구축하고 코드를 짜는 IT 부서가 이를 무시하거나 후순위로 미루면 보안은 무용지물이 된다.
▲쿠팡 사고로 IT 조직의 보안 책임 강화론이 재점화됐다. [자료: 연합]
실질적인 예산 집행권과 인력 운영권은 CIO나 CTO가 쥐고 있는 경우가 많아, 보안 부서의 요구사항이 비즈니스 우선순위에 밀리기 일쑤다. CISO는 조직 내에서 잔소리꾼으로 치부되는 구조적 한계를 지적한다.
하지만 단 한순간의 소홀이나 실수가 돌이킬 수 없는 큰 사고로 이어질 수 있다.
IT 조직이 보안을 소홀히 해서 난 사고 조차도 그 책임은 보안 부서만 져야하는 구조는 수많은 우수한 보안 인재들을 떠나게 만든다.
이제는 보안을 별개의 것이 아닌 IT 인프라의 기본 속성으로 정의하고, 이를 주도하는 CIO와 CTO에게 실질적인 보안 책임을 부여해야 한다는 목소리가 높다.
최근 발생한 쿠팡 개인정보 유출 사고는 이러한 책임 강화론에 불을 지폈다. 당시 사고 원인으로 추정된 인증 프로세스의 허점은 보안 정책이 실제 시스템에서 제대로 구현됐는지 의문을 남긴다.
내부통제 문제와 함께 인증 프로세스 관리 미흡 문제가 이번 사고가 던진 화두다. 시스템 내부에 접근할 수 있는 인증 업무는 IT 조직의 주요 업무라는 면에서 IT 조직 보안 책임 강화론이 다시금 부상하는 것이다.
보안 부서가 정책을 전달했음에도 실제 시스템 운영단에서 이를 누락하거나 취약하게 구현했다면 그 책임은 실무 총괄자인 CIO와 CTO가 져야 한다는 여론이 높아진다.
CIO와 CTO가 보안을 등한시하는 근본적인 원인은 기업의 성과 지표(KPI)에 있다. 대부분의 기업에서 IT 부서는 서비스의 빠른 출시, 시스템 가동률, 비용 절감 등으로 평가받는다.
보안 전문가들은 “보안을 챙기느라 개발 속도가 늦어지면 오히려 무능한 부서로 낙인찍히는 구조가 개선되지 않는 한 IT 부서에서 보안을 소홀히 하는 악순환은 끝나지 않을 것”이라며 “이러한 모순을 해결하기 위해 IT 부서의 KPI에 보안 이행 수준을 반영하는 것을 적극 도입해야 한다”고 제언했다.
보안이 IT 부서의 성과를 갉아먹는 방해 요소가 아니라, 성과를 완성하는 필수 요건이 되어야 한다는 지적이다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=spacer}
.jpg){kind=spacer}
.jpg)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
