CISO의 역할은 무엇인가? 현재는 정립 위한 중간단계
미래부 “많은 현장의 목소리 필요...적극 수렴할 것”
올해의 CISO상, CJ 이찬 상무 수상
[보안뉴스 문가용 기자] 공식 시행된 지 갓 두 돌이 지난 CISO라는 직책은 현재 각종 개념과 역할을 정립하려는 시도로 혼잡하다. 2년이 무슨 2세기였던 것처럼, 벌써 전통의 역할과 현대에 맞는 최신식 역할이 구분되고 있을 정도니, 원해서든 원치 안 해서든, 자발적으로든 얼떨결에서든 CISO라는 타이틀을 달게 된 사람들이 지나고 있는 혼돈이 어느 정도인지 어렴풋이나마 짐작할 수 있다.
11월 14일 삼성 인터콘티넨탈에서 미래창조과학부 주최로 열린 CISO 심포지움은 이러한 혼돈양상을 어느 정도 정리하기 위한 여러 연설과 강연들로 주를 이뤘고, 여기서 나눠준 책자들 역시 이런 맥락에서 제작, 배포되었다. 그리고 이번 행사에서 가장 많이 강조된 가치관은 ‘교류’였다. 너도 혼란스럽고 나도 혼란스러운데, 공격은 끊임없이 일어나고 안전은 숨 돌릴 틈 없이 위협받고 있으니 힘을 합치고 지혜를 나누자는 거다.
먼저 개회사를 맡았던 박정호 KISA 부원장은 얼마전 일어난 야후 해킹 사건을 예로 들며 “정보보안이 곧 기업의 가치를 결정한다”고 설명했으며 미래부 송정수 정보보호정책관은 CISO를 “적의 공격으로부터 성의 모든 약점을 파악하고 정비하는 사람”에 비유했다. 정보보안이 중요하고, 그렇게 하기 위해 CISO는 매일의 꾸준한 책임을 실행해야 한다는 것이었다. 여기에 더해 임종인 한국CISO협회 회장은 “미래부와 KISA, CISO협의회가 CISO의 역할과 그 역할을 수행하기 위한 방법을 공유하고 논의해야 한다”고 말했다.
교류란 크게 외부 CISO들 사이 혹은 CISO와 정부 관련부처와의 교류가 있고, 작게는 한 조직 내에서 CISO와 임원진 및 일반 직원들과의 교류가 있다. 앞서 임종인 회장이 큰 틀에서의 교류가 중요하다고 언급했고, 뒤이어 김기홍 미래부 사무관 역시 ‘CISO 제도, 200% 활용하기’라는 주제 아래 정부의 각종 CISO 역량 강화 추진 방향을 설명하며 이 부분을 강조했다. “솔직히 모든 것을 완벽하게 구비하고 있다고 말하기는 어렵지만, 현재 여러 산업의 CISO 및 협회를 통해 다양한 의견을 받고 적극 수렴하고 있다”며 진솔하게 밝혔다. CISO들이 국가의 표준이나 정책을 필요로 하듯, 미래부 역시 현장의 목소리가 필요하다는 것이다.
이에 비해 작은 틀에서의 교류도 중요하다는 것이 설파되기도 했다. 먼저 올해의 CISO 상을 받은 이찬 CJ 상무는 ‘어떻게 평가하고 어떻게 보고할 것인가’라는 주제의 발표를 하며 CJ라는 거대 그룹사의 CISO가 어떻게 계열사들을 안전하게 보호 관리하는지 공개했다. “ISMS와 글로벌 스탠더드 체크리스트 등을 활용하되, 계열사가 가진 환경과 성격에 맞게 수정 보완한다”는 게 핵심으로 현재는 “개인정보, 고객정보, 내부 정보, 시스템 해킹, 비즈니스 중단의 5개 항목으로 평가하고 보고한다”고 밝혔다.
특히 “직관적인 보고가 중요하다”고 강조한 이찬 상무는 “누구나 이해할 수 있는 보고서를 제출함으로써 현재 CJ 그룹의 보안 팀이 증원되는 등의 실제적인 변화를 가져올 수 있었다”고 말했다. 이에 대해서는 네이버의 이준호 이사도 동의한다. “전문용어를 써봐야 우린 어려운 말만 하는 왕따가 된다”며 “배우자나 부모님도 이해할 수 있는 설명을 할 수 있어야 한다”고 설명했다. 또한 “모든 공격을 다 막을 수 없다는 걸 CEO에게 이해시키고, CISO 스스로도 이해해야 한다”고 강조했다. “너무 자잘한 것까지 다 신경쓰는 분들이 많이 있더라고요. 기업 특성에 따라 리스크의 등급을 정하고, 가장 중요한 것부터 막아야 합니다.”
이에 더해 국내 현황과 해외 현황에 대한 ‘교류’도 ‘국경이 존재하지 않는 사이버 공간’에서는 중요하다. 이에 정진용 오라클 상무가 ‘글로벌 기업에서 본 국내 정보보호 현황과 전망’이라는 주제로 머신러닝과 클라우드, 바이오메트릭스를 비롯해 각종 보안 사건사고의 현황을 청중들에게 공개했다. 우리나라에서만 일어나는 특수한 보안 상황에 대처하는 것도 중요하지만, 결국 세계의 기술 발전 흐름이라는 더 큰 시야를 확보하는 것도 간과될 수 없다는 맥락의 강연이었다.
그러면서 “해외의 신문물을 들여오라는 의미만은 아니”라고 덧붙였다. “제가 해외에 가서 한국의 정보보안 사례를 얘기해주면, 많이들 놀라워하고 배우고 싶어합니다. 우리가 마냥 해외의 것을 받아들이기만 하는 입장이 아닌 것입니다. ‘교류’란 게 무엇입니까? 주고받는 것이죠. 이제 한국도 세계 보안업계의 일부로서 줄 수도 있는 입장에 놓이게 된 것입니다. 교류를 더 잘 할 수 있게 되었습니다.”
CISO의 역할에 대한 정립 시도가 이처럼 공개적으로 논의되고 있다는 건, CISO의 역할이 늘어나고 있기 때문이다. 애초에 해야 할 일이 많지 않았으면 ‘할 일이 무엇인가?’라는 문제가 제기되지도 않는다. CISO의 역할이 늘어난다는 건, 정보보호라는 분야가 확장되고 있다는 뜻이다. 그 확장의 방향과 구체적인 양상은 현장의 목소리를 들음으로써 알맞게 가늠하고 올바르게 정책화시킬 수 있다.
[문가용 기자(globoan@boannews.com)]
미래부 “많은 현장의 목소리 필요...적극 수렴할 것”
올해의 CISO상, CJ 이찬 상무 수상
[보안뉴스 문가용 기자] 공식 시행된 지 갓 두 돌이 지난 CISO라는 직책은 현재 각종 개념과 역할을 정립하려는 시도로 혼잡하다. 2년이 무슨 2세기였던 것처럼, 벌써 전통의 역할과 현대에 맞는 최신식 역할이 구분되고 있을 정도니, 원해서든 원치 안 해서든, 자발적으로든 얼떨결에서든 CISO라는 타이틀을 달게 된 사람들이 지나고 있는 혼돈이 어느 정도인지 어렴풋이나마 짐작할 수 있다.
11월 14일 삼성 인터콘티넨탈에서 미래창조과학부 주최로 열린 CISO 심포지움은 이러한 혼돈양상을 어느 정도 정리하기 위한 여러 연설과 강연들로 주를 이뤘고, 여기서 나눠준 책자들 역시 이런 맥락에서 제작, 배포되었다. 그리고 이번 행사에서 가장 많이 강조된 가치관은 ‘교류’였다. 너도 혼란스럽고 나도 혼란스러운데, 공격은 끊임없이 일어나고 안전은 숨 돌릴 틈 없이 위협받고 있으니 힘을 합치고 지혜를 나누자는 거다.
먼저 개회사를 맡았던 박정호 KISA 부원장은 얼마전 일어난 야후 해킹 사건을 예로 들며 “정보보안이 곧 기업의 가치를 결정한다”고 설명했으며 미래부 송정수 정보보호정책관은 CISO를 “적의 공격으로부터 성의 모든 약점을 파악하고 정비하는 사람”에 비유했다. 정보보안이 중요하고, 그렇게 하기 위해 CISO는 매일의 꾸준한 책임을 실행해야 한다는 것이었다. 여기에 더해 임종인 한국CISO협회 회장은 “미래부와 KISA, CISO협의회가 CISO의 역할과 그 역할을 수행하기 위한 방법을 공유하고 논의해야 한다”고 말했다.
교류란 크게 외부 CISO들 사이 혹은 CISO와 정부 관련부처와의 교류가 있고, 작게는 한 조직 내에서 CISO와 임원진 및 일반 직원들과의 교류가 있다. 앞서 임종인 회장이 큰 틀에서의 교류가 중요하다고 언급했고, 뒤이어 김기홍 미래부 사무관 역시 ‘CISO 제도, 200% 활용하기’라는 주제 아래 정부의 각종 CISO 역량 강화 추진 방향을 설명하며 이 부분을 강조했다. “솔직히 모든 것을 완벽하게 구비하고 있다고 말하기는 어렵지만, 현재 여러 산업의 CISO 및 협회를 통해 다양한 의견을 받고 적극 수렴하고 있다”며 진솔하게 밝혔다. CISO들이 국가의 표준이나 정책을 필요로 하듯, 미래부 역시 현장의 목소리가 필요하다는 것이다.
이에 비해 작은 틀에서의 교류도 중요하다는 것이 설파되기도 했다. 먼저 올해의 CISO 상을 받은 이찬 CJ 상무는 ‘어떻게 평가하고 어떻게 보고할 것인가’라는 주제의 발표를 하며 CJ라는 거대 그룹사의 CISO가 어떻게 계열사들을 안전하게 보호 관리하는지 공개했다. “ISMS와 글로벌 스탠더드 체크리스트 등을 활용하되, 계열사가 가진 환경과 성격에 맞게 수정 보완한다”는 게 핵심으로 현재는 “개인정보, 고객정보, 내부 정보, 시스템 해킹, 비즈니스 중단의 5개 항목으로 평가하고 보고한다”고 밝혔다.
특히 “직관적인 보고가 중요하다”고 강조한 이찬 상무는 “누구나 이해할 수 있는 보고서를 제출함으로써 현재 CJ 그룹의 보안 팀이 증원되는 등의 실제적인 변화를 가져올 수 있었다”고 말했다. 이에 대해서는 네이버의 이준호 이사도 동의한다. “전문용어를 써봐야 우린 어려운 말만 하는 왕따가 된다”며 “배우자나 부모님도 이해할 수 있는 설명을 할 수 있어야 한다”고 설명했다. 또한 “모든 공격을 다 막을 수 없다는 걸 CEO에게 이해시키고, CISO 스스로도 이해해야 한다”고 강조했다. “너무 자잘한 것까지 다 신경쓰는 분들이 많이 있더라고요. 기업 특성에 따라 리스크의 등급을 정하고, 가장 중요한 것부터 막아야 합니다.”
이에 더해 국내 현황과 해외 현황에 대한 ‘교류’도 ‘국경이 존재하지 않는 사이버 공간’에서는 중요하다. 이에 정진용 오라클 상무가 ‘글로벌 기업에서 본 국내 정보보호 현황과 전망’이라는 주제로 머신러닝과 클라우드, 바이오메트릭스를 비롯해 각종 보안 사건사고의 현황을 청중들에게 공개했다. 우리나라에서만 일어나는 특수한 보안 상황에 대처하는 것도 중요하지만, 결국 세계의 기술 발전 흐름이라는 더 큰 시야를 확보하는 것도 간과될 수 없다는 맥락의 강연이었다.
그러면서 “해외의 신문물을 들여오라는 의미만은 아니”라고 덧붙였다. “제가 해외에 가서 한국의 정보보안 사례를 얘기해주면, 많이들 놀라워하고 배우고 싶어합니다. 우리가 마냥 해외의 것을 받아들이기만 하는 입장이 아닌 것입니다. ‘교류’란 게 무엇입니까? 주고받는 것이죠. 이제 한국도 세계 보안업계의 일부로서 줄 수도 있는 입장에 놓이게 된 것입니다. 교류를 더 잘 할 수 있게 되었습니다.”
CISO의 역할에 대한 정립 시도가 이처럼 공개적으로 논의되고 있다는 건, CISO의 역할이 늘어나고 있기 때문이다. 애초에 해야 할 일이 많지 않았으면 ‘할 일이 무엇인가?’라는 문제가 제기되지도 않는다. CISO의 역할이 늘어난다는 건, 정보보호라는 분야가 확장되고 있다는 뜻이다. 그 확장의 방향과 구체적인 양상은 현장의 목소리를 들음으로써 알맞게 가늠하고 올바르게 정책화시킬 수 있다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
