한국CISO협의회 ‘제149차 CISO 포럼’
오 차장 “CEO에게 경영적 리스크 관점으로 소통해 달라”
[보안뉴스 강현주 기자] “보안은 기술이 아닌 경영이며, 기업 지속 가능성과 관련된 투자로 인식해야 합니다. CEO에게 기술 용어가 아닌 경영 리스크의 관점으로 이야기해 주십시오.”
오현주 국가안보실 3차장은 18일 서울 중구 더 플라자 호텔 서울에서 한국CISO협의회 개최로 열린 ‘제149차 CISO 포럼’에서 CISO들에게 이 같이 말했다.
▲오현주 국가안보실 3차장이 ‘제149차 CISO 포럼’에서 인사말을 하고 있다. [자료: 보안뉴스]
이날 오 차장은 국가안보실 3차장 취임 4개월 간 대한민국 보안을 바라본 소회를 기본, 투자, 경영이라는 세가지 관점으로 정리해 밝혔다. 특히 기업 최고경영자(CEO)가 “보안이 곧 경영이라 인식해야 한다”고 강조했다. 이를 위해 CISO가 보안을 기술이 아닌 경영적 리스크로서 소통해야 한다고 말했다.
오 차장은 “저도 비서관실 직원들에게 정책을 했던 사람이 이해하는 언어로 소통해 달라 하는데, 우리 CISO들도 기술자 마인드로 이야기한다면 CEO가 이해할 수 있을까 생각해 봤다”며 “기술이 아닌 경영 리스크라고 생각하고 경영의 관점에서 이야기하면 CEO도 보안 문제에 관한 인식이 달라지지 않을까 한다”고 말했다.
그는 “대부분 기업이 보안 투자가 적고 이를 비용으로 생각하고 있는데, 비용이 아니라 기업 성패와 지속 가능성과 관련된 것”이라며 “기업이 보안을 비용이 아닌 투자로 여기도록 인식하게끔 하는 팀을 정부가 만들어야겠다고 생각했다”고 밝혔다.
오 차장은 “통신, 금융, 정부까지 보안 사고들이 있었고, 처음엔 아주 고도화된 공격을 통해 사고가 난 것이라 생각했는데, 의외로 계정관리, 보안관제, 백업 같은 ‘기본’으로 인해 사고가 난 경우가 많았다”며 “그래서 보안은 깨끗할 때는 모르다가 오염되고 나서야 중요성을 아는 공기와 같은 것”이라고 말했다.
최근 범정부 정보보호 종합대책에 해킹 사고를 당한 기업에 징벌적 과징금을 강화하는 내용이 포함된 것도 “보안을 투자로 인식하게끔 하려는 것”이라고 설명했다.
이어 “보안 기본을 위한 투자는 기술 문제가 아닌 경영 과제라는 인식을 바탕으로한 정책을 이행할 수 있는 골격을 정부가 만들겠다”고 말했다.
이 날 포럼에선 최우혁 과학기술정보통신부 네트워크정책실장이 범부처 정보보호 종합대책 핵심 내용을 소개하면서 CISO 의견을 수렴했다. 이 자리에서 ISMS 인증 실효성 개선, CISO 권한 강화, CIO 역할과 책임 강화, 정부의 기업 해킹 사고 직권조사, 운영기술(OT)보안, 파편화된 조사체계 등에 대한 논의가 이뤄졌다.
최 실장은 “CEO의 보안 책임을 강화하다 보면 CIO와 CISO의 역할 분담도 이뤄질 수 있을 것으로 기대한다”며 “CISO가 선망 받는 직업이 되도록 노력하겠다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
오 차장 “CEO에게 경영적 리스크 관점으로 소통해 달라”
[보안뉴스 강현주 기자] “보안은 기술이 아닌 경영이며, 기업 지속 가능성과 관련된 투자로 인식해야 합니다. CEO에게 기술 용어가 아닌 경영 리스크의 관점으로 이야기해 주십시오.”
오현주 국가안보실 3차장은 18일 서울 중구 더 플라자 호텔 서울에서 한국CISO협의회 개최로 열린 ‘제149차 CISO 포럼’에서 CISO들에게 이 같이 말했다.
▲오현주 국가안보실 3차장이 ‘제149차 CISO 포럼’에서 인사말을 하고 있다. [자료: 보안뉴스]
이날 오 차장은 국가안보실 3차장 취임 4개월 간 대한민국 보안을 바라본 소회를 기본, 투자, 경영이라는 세가지 관점으로 정리해 밝혔다. 특히 기업 최고경영자(CEO)가 “보안이 곧 경영이라 인식해야 한다”고 강조했다. 이를 위해 CISO가 보안을 기술이 아닌 경영적 리스크로서 소통해야 한다고 말했다.
오 차장은 “저도 비서관실 직원들에게 정책을 했던 사람이 이해하는 언어로 소통해 달라 하는데, 우리 CISO들도 기술자 마인드로 이야기한다면 CEO가 이해할 수 있을까 생각해 봤다”며 “기술이 아닌 경영 리스크라고 생각하고 경영의 관점에서 이야기하면 CEO도 보안 문제에 관한 인식이 달라지지 않을까 한다”고 말했다.
그는 “대부분 기업이 보안 투자가 적고 이를 비용으로 생각하고 있는데, 비용이 아니라 기업 성패와 지속 가능성과 관련된 것”이라며 “기업이 보안을 비용이 아닌 투자로 여기도록 인식하게끔 하는 팀을 정부가 만들어야겠다고 생각했다”고 밝혔다.
오 차장은 “통신, 금융, 정부까지 보안 사고들이 있었고, 처음엔 아주 고도화된 공격을 통해 사고가 난 것이라 생각했는데, 의외로 계정관리, 보안관제, 백업 같은 ‘기본’으로 인해 사고가 난 경우가 많았다”며 “그래서 보안은 깨끗할 때는 모르다가 오염되고 나서야 중요성을 아는 공기와 같은 것”이라고 말했다.
최근 범정부 정보보호 종합대책에 해킹 사고를 당한 기업에 징벌적 과징금을 강화하는 내용이 포함된 것도 “보안을 투자로 인식하게끔 하려는 것”이라고 설명했다.
이어 “보안 기본을 위한 투자는 기술 문제가 아닌 경영 과제라는 인식을 바탕으로한 정책을 이행할 수 있는 골격을 정부가 만들겠다”고 말했다.
이 날 포럼에선 최우혁 과학기술정보통신부 네트워크정책실장이 범부처 정보보호 종합대책 핵심 내용을 소개하면서 CISO 의견을 수렴했다. 이 자리에서 ISMS 인증 실효성 개선, CISO 권한 강화, CIO 역할과 책임 강화, 정부의 기업 해킹 사고 직권조사, 운영기술(OT)보안, 파편화된 조사체계 등에 대한 논의가 이뤄졌다.
최 실장은 “CEO의 보안 책임을 강화하다 보면 CIO와 CISO의 역할 분담도 이뤄질 수 있을 것으로 기대한다”며 “CISO가 선망 받는 직업이 되도록 노력하겠다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
