[보안뉴스 문가용] 형을 형이라 못 부르던 서자처럼, 중요한 경영 회의 자리에서 늘 구석자리를 겨우 차지하거나 아예 끼지도 못하던 보안 담당자들에게 드디어 햇빛이 비추려는 듯 하다. 지난 3년 동안 운영회의에 참석하는 수가 2배로 늘었고 포스브가 선정한 2000대 기업들에선 이미 사이버 보안과 리스크 관리에 대한 투자를 늘리고 있다는 소식이다.
최근 조지아 기술 정보 센터(Georgia Tech Information Security Center, GTISC)와 포브스가 후원하고 파이낸셜 서비스 라운드테이블(Financial Services Roundtable, FSR)과 팔로알토 네트웍스(Palo Alto Networks)가 기업들의 최고운영진들을 대상으로 7년에 걸쳐 네 차례에 걸쳐 실시한 연구결과가 ‘사이버 보안의 거버넌스 : 2015년 보고서(Governance of Cybersecurity : 2015 Report)’라는 이름으로 세상에 나왔다. 그리고 결과부터 말해 정보보안의 미래는 가히 희망적이라고 할 수 있다. 드디어 업계에서 보안을 진지하게 받아들이기 시작한 징후들이 포착된 것. 그 징후들이란 다음과 같다.
1. 운영진들의 우선순위 1위가 보안
불과 3년전만 해도 운영회의 때 보안이 높은 우선순위를 가진 안건이라고 답한 응답자는 1/3에 그쳤다. 지금은 63%가 ‘보안이 최고 우선순위’라고 답하고 있으며 컴퓨터 및 정보보안에 많은 신경을 쓰고 있다.
2. 최고 경영회의에서 리스크를 평가한다
그뿐이 아니다. 실존하는 리스크를 진지하게 평가하고 이에 대해 격론을 벌이고 있다. 무려 응답자의 93%가 리스크 평가에 관한 보고서를 주기적으로 요청하고 꼼꼼하게 읽는다고 답했다. 그것도 모자라 외부 전문가의 도움을 받는 경우도 상당수였다.
3. 독립적인 리스크 위원회 운영
2008년 당시 자체 감사단 외에 ‘리스크 위원회’를 따로 마련해 운영하고 있는 기업은 8%에 불과했다. 그 수가 지금은 크게 늘어 53%나 되어 있다. 또한 이 ‘리스크 위원회’는 CEO나 최고운영진들의 입김에 의해 좌지우지 되는 게 아니라 독립적으로 운영되는 게 대다수라는 소식도 희망적이다. 최근까지는 보안 관련 부서가 철저히 IT 및 CEO에 종속되어 있었다.
4. 새로운 경험자 요구하는 최고 경영자들
사이버 보안에 대한 인식이 높아지고 있다는 또 다른 증거로 최고 경영자들이 ‘많은 경험이 있는 보안 인재 모시기’에 발 벗고 나섰다는 것이다. 여태까지 이런 ‘모시기’의 대상이 되었던 건 금융 전문가, 관리 전문가, 법률 전문가 등이었다. 그런데 이번 설문에서 응답자의 64%가 보안 전문가를 드디어 찾기 시작했다고 답한 것. 그러나 필요한 인재를 찾았다고 답한 응답자는 1/4에 그쳤다.
5. 풀타임 CISO의 급증
처음 설문을 시작했을 때만 하더라도 풀타임 CISO를 고용한 기업은 1/3도 되지 않았다. 지금은 이 수가 역전되어 오히려 CISO가 없는 기업이 1/3 수준도 되지 않는다. 73%가 풀타임 CISO를 고용해 기업 보안을 담당하게 하고 있다는 것. CISO는 아니지만 풀타임 CSO를 고용했다는 기업이 나머지의 절반 정도를 차지했다.
다만 CISO와의 업무 체계는 여전히 정립되지 않은 채 각각의 기업마다 전혀 다른 방식을 취하고 있었다. 어떤 곳에서는 CISO가 CEO의 직속이고, 대부분의 회사에서는 CIO의 직속이었는데, 이런 구조의 차이가 근무환경을 상당히 어렵게 만들고 있다는 게 대부분 CISO의 생각이었다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>