.gif)
[3줄 요약]
1. 범부처 정보보호 종합대책, CISO 이사회 보고 의무화 추진
2. “이사회 보고로 보안을 주요 아젠다로 격상”
3. 기업 상황따라 자칫 중복 업무 우려...유연성 필요
[보안뉴스 강현주 기자] ‘범부처 정보보호 종합대책’이 약속한 ‘정보보호최고책임자(CISO) 권한 강화’ 방안 중 ‘이사회 정기 보고 의무화’는 보안을 기업 주요 아젠다로 격상시킬 것이란 기대가 높다. 반면, 기업 상황에 따라 자칫 중복 업무가 될 수 있어 유연한 적용이 필요하다는 지적도 나온다.
5일 <보안뉴스>는 지난 10월 22일 정부가 발표한 정보보호 종합대책 중 ‘CISO 권한강화’에 대해서 다양한 산업 분야 CISO들의 의견을 들어봤다.
종합대책은 CISO 권한 강화를 위해 △모든 IT 자산에 대한 통제권 부여 △이사회 정기 보고 의무화 △정보보호 인력·예산 편성·집행 등의 방안을 제시했다.
이 중 ‘이사회 정기 보고 의무화’는 기업 최고경영자(CEO) 포함 경영진과 이사진이 보안을 가장 중요한 업무라고 인식을 전환하게 만들려는 취지라는 설명이다.
경영진과 이사진이 보안에 더 큰 관심을 갖게 해야 한다는 점에는 CISO들 사이에서 이견이 없다. 다만, 이사회 정기 보고 의무화의 실효성에 대한 생각은 기업이 처한 상황에 따라 CISO들 간에도 견해가 나뉜다.
▲10월 22일 배경훈 장관이 범부처 정보보호 종합대책을 발표하고 있다. [자료: 과기정통부]
“이사회 보고로 경영진 보안 관심 환기할 것”
이사회 정기 보고 의무화가 효과를 발휘할 것이라 기대하는 다수 CISO들은 “이사회 보고가 이뤄지면 보안이라는 안건이 경영진과 이사진이 관심을 갖는 주요 안건들과 동등한 수준으로 격상될 것”이라고 의견을 모은다.
아직도 CEO 등 주요 경영진들이 보안에 관심이 낮고, 최고재무책임자(CFO)는 보안을 비용으로만 인식하는 문화가 기업들에 만연하다. 때문에 이사회 보고에 보안이 주요 안건이 돼야 한다는 것이다.
IT 분야 A사 CISO는 “지금까지 민간 기업에서 CISO가 CEO나 이사회에 정기적으로 보고하는 경우가 많지 않았다”라며 “이사회 보고는 기록으로 남고, CEO와 CFO가 자연스레 보안에 관심을 갖게 돼 연간 보안 예산 확보 등에 큰 도움이 될 것”이라고 말했다.
그는 “금융권에서 과거 카드 3사 개인정보 유출 사태 이후 CISO 임원화와 CEO 정기 보고가 정착되면서 보안의 위상이 강화된 것과 일맥상통한다”며 “특히 상장사에서는 이사회 보고가 강력하고 의미있다”고 설명했다.
대기업 계열 B사 CISO는 “CISO가 임원회의에도 들어가지 못하는 기업들은 CEO가 일부러 시간 내서 CISO를 만나 보고를 받는 게 녹록치 못한 경우가 다반사”라며 “이사회 보고가 의무화 된다면 CEO가 보안에 관심을 갖고 CISO와의 소통에 시간을 더 할당하게 된다는 면에서 꼭 필요하다”고 내다봤다.
“CEO 보고 원활한 기업에겐 중복 업무...회의체 형태 유연해야”
다만 기업의 현황을 고려하지 않은 획일적 적용은 부작용을 초래할 수 있다는 지적이 나왔다. 특히 이미 경영진에게 CISO 보고가 원활히 이뤄지는 기업들에겐 중복 업무가 될 수 있다는 우려다.
또 다른 대기업 계열 C사 CISO는 “이미 CEO 보고나 임원 회의를 통해 보안 관련 안건을 보고하고 있는 기업의 경우, 이사회 정기보고 의무화는 비효율적 중복 업무가 될 수 있다”고 견해를 밝혔다.
유연성 없이 일괄적으로 이사회 정기 보고를 의무화할 경우, ‘일을 위한 일’, ‘보고를 위한 보고서’ 작성 부담만 가중될 수 있다는 설명이다.
이 CISO는 “제도 취지가 보안 현안 공유와 협조에 있다면, 각 기업에 맞는 다양한 ‘의사결정 회의체’를 운영하도록 하고, 반드시 ‘이사회’로 강제할 필요는 없다”며 “이사회든 CEO 보고든, 임원 회의 등 각 사 상황에 따른 자율성과 유연성을 보장할 필요가 있다”고 설명했다.
또 다른 기업 D사 CISO는 “이사회 보고가 경영진의 관심을 유도하는 긍정적 측면도 있지만, 획일적 적용보다는 산업군별 상황이나 기업 특성에 맞게 각 사에서 가장 영향력 있는 의사결정권자에게 보고하며 운영하는 것이 중요하다”며 “특히 CEO의 보안 책임 강화가 논의되는 회의체가 되는 게 바람직하다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
1. 범부처 정보보호 종합대책, CISO 이사회 보고 의무화 추진
2. “이사회 보고로 보안을 주요 아젠다로 격상”
3. 기업 상황따라 자칫 중복 업무 우려...유연성 필요
[보안뉴스 강현주 기자] ‘범부처 정보보호 종합대책’이 약속한 ‘정보보호최고책임자(CISO) 권한 강화’ 방안 중 ‘이사회 정기 보고 의무화’는 보안을 기업 주요 아젠다로 격상시킬 것이란 기대가 높다. 반면, 기업 상황에 따라 자칫 중복 업무가 될 수 있어 유연한 적용이 필요하다는 지적도 나온다.
5일 <보안뉴스>는 지난 10월 22일 정부가 발표한 정보보호 종합대책 중 ‘CISO 권한강화’에 대해서 다양한 산업 분야 CISO들의 의견을 들어봤다.
종합대책은 CISO 권한 강화를 위해 △모든 IT 자산에 대한 통제권 부여 △이사회 정기 보고 의무화 △정보보호 인력·예산 편성·집행 등의 방안을 제시했다.
이 중 ‘이사회 정기 보고 의무화’는 기업 최고경영자(CEO) 포함 경영진과 이사진이 보안을 가장 중요한 업무라고 인식을 전환하게 만들려는 취지라는 설명이다.
경영진과 이사진이 보안에 더 큰 관심을 갖게 해야 한다는 점에는 CISO들 사이에서 이견이 없다. 다만, 이사회 정기 보고 의무화의 실효성에 대한 생각은 기업이 처한 상황에 따라 CISO들 간에도 견해가 나뉜다.
▲10월 22일 배경훈 장관이 범부처 정보보호 종합대책을 발표하고 있다. [자료: 과기정통부]
“이사회 보고로 경영진 보안 관심 환기할 것”
이사회 정기 보고 의무화가 효과를 발휘할 것이라 기대하는 다수 CISO들은 “이사회 보고가 이뤄지면 보안이라는 안건이 경영진과 이사진이 관심을 갖는 주요 안건들과 동등한 수준으로 격상될 것”이라고 의견을 모은다.
아직도 CEO 등 주요 경영진들이 보안에 관심이 낮고, 최고재무책임자(CFO)는 보안을 비용으로만 인식하는 문화가 기업들에 만연하다. 때문에 이사회 보고에 보안이 주요 안건이 돼야 한다는 것이다.
IT 분야 A사 CISO는 “지금까지 민간 기업에서 CISO가 CEO나 이사회에 정기적으로 보고하는 경우가 많지 않았다”라며 “이사회 보고는 기록으로 남고, CEO와 CFO가 자연스레 보안에 관심을 갖게 돼 연간 보안 예산 확보 등에 큰 도움이 될 것”이라고 말했다.
그는 “금융권에서 과거 카드 3사 개인정보 유출 사태 이후 CISO 임원화와 CEO 정기 보고가 정착되면서 보안의 위상이 강화된 것과 일맥상통한다”며 “특히 상장사에서는 이사회 보고가 강력하고 의미있다”고 설명했다.
대기업 계열 B사 CISO는 “CISO가 임원회의에도 들어가지 못하는 기업들은 CEO가 일부러 시간 내서 CISO를 만나 보고를 받는 게 녹록치 못한 경우가 다반사”라며 “이사회 보고가 의무화 된다면 CEO가 보안에 관심을 갖고 CISO와의 소통에 시간을 더 할당하게 된다는 면에서 꼭 필요하다”고 내다봤다.
“CEO 보고 원활한 기업에겐 중복 업무...회의체 형태 유연해야”
다만 기업의 현황을 고려하지 않은 획일적 적용은 부작용을 초래할 수 있다는 지적이 나왔다. 특히 이미 경영진에게 CISO 보고가 원활히 이뤄지는 기업들에겐 중복 업무가 될 수 있다는 우려다.
또 다른 대기업 계열 C사 CISO는 “이미 CEO 보고나 임원 회의를 통해 보안 관련 안건을 보고하고 있는 기업의 경우, 이사회 정기보고 의무화는 비효율적 중복 업무가 될 수 있다”고 견해를 밝혔다.
유연성 없이 일괄적으로 이사회 정기 보고를 의무화할 경우, ‘일을 위한 일’, ‘보고를 위한 보고서’ 작성 부담만 가중될 수 있다는 설명이다.
이 CISO는 “제도 취지가 보안 현안 공유와 협조에 있다면, 각 기업에 맞는 다양한 ‘의사결정 회의체’를 운영하도록 하고, 반드시 ‘이사회’로 강제할 필요는 없다”며 “이사회든 CEO 보고든, 임원 회의 등 각 사 상황에 따른 자율성과 유연성을 보장할 필요가 있다”고 설명했다.
또 다른 기업 D사 CISO는 “이사회 보고가 경영진의 관심을 유도하는 긍정적 측면도 있지만, 획일적 적용보다는 산업군별 상황이나 기업 특성에 맞게 각 사에서 가장 영향력 있는 의사결정권자에게 보고하며 운영하는 것이 중요하다”며 “특히 CEO의 보안 책임 강화가 논의되는 회의체가 되는 게 바람직하다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
