침해사고/위협동향

“CISO, 기술중심에서 기업전략 리더십으로 위상 변화”…IBM 조사

이민형 기자
- IBM, 2012 정보보안 최고책임자(CISO) 대상 연구 조사 결과 발표
 
[디지털데일리 이민형기자] 정보보안 기업 및 기업의 보안 담당 경영진의 역할이 과거의 기술 중심 업무에서 기업 전략 리더십 업무 영역으로 위상이 변화하고 있는 것으로 나타났다.

10일 IBM은 ‘2012 정보보안 최고책임자(CISO) 대상 연구 조사 보고서’를 통해 이같이 밝혔다. 보고서에 따르면 연구 결과 조사에 응한 보안 담당 임원(CISO)의 25%가 이에 동의했다.
 
이번 조사는 IBM의 응용 지식 센터(Center for Applied Insight)에서 전 세계 약130명의 보안 분야 경영자들을 대상으로 한 첫 번째 조사다. 조사 결과 보안 사고에 대한 준비 정도와 전반적 보안 성숙도(security maturity)를 기준으로 3가지 범주의 경영자 타입이 존재하는 것으로 나타났다.

응답자의 약 1/4 은 기업의 경영 전략에 통상적으로 영향력을 행사하는 ‘영향력 타입(influencer)’이다. 이들은 ‘보호형 타입(Protectors)’과 ‘대응형(Responders) 타입’에 비해 자신감 및 준비성 측면에서 우위를 점하고 있다.
 
오늘날의 보안 분야 경영자들 중 대다수는 대내외적으로 심각한 압력에 직면하고 있다. 이들은 자금, 고객 데이터, 지적 재산권, 브랜드 등 기업이 보유한 핵심 자산을 보호할 책임을 지고 있다.

이번 조사에 응한 CISO의 약 2/3는 2년 전에 비해 오늘날 기업 대표 경영자들이 보안 문제에 더욱 많은 관심을 나타내고 있다고 답했다. 이는 대규모 해킹 사례 및 데이터 보안 유출 사례로 인해 부각된 결과다.

또 응답자의 절반 이상은 모바일 보안이야 말로 향후 2년간 핵심적인 문제로 대두될 것으로 전망하고 있었다. 응답자의 2/3 가량은 향후 2년간 정보 보안 분야 투자가 증가할 것으로 예상하고 있었으며, 이들 중 87%는 두 자릿수 이상 증가할 것으로 전망했다.
 
보안 위협에 수동적으로 대처하는 대신 CISO들은 지능적이고 종합적인 위기 관리 전략으로 전환하고 있다. 기존의 방식이 일어난 불을 끄는 수준이었다면, 지금은 불이 나기 전에 미리 이를 예측해 위험을 감소시키는 방향으로 나아가고 있다.

다양한 기업 내에 존재하는 ‘영향력 타입(influencer)’의 CISO들이 도입하고 있는 종합적인 보안 전략을 살펴보면 몇 가지 주목할 만한 특성을 발견할 수 있다.

◆보안을 (기술 측면이 아닌) 기업 경영 차원의 핵심 과제로 인식=선도 진영의 기업들이 보여주고 있는 가장 중요한 특성 중의 하나는 기업 경영진과 이사회가 이러한 문제에 관심을 기울이고 있다는 점이다.

보안은 기업 경영 회의 과정에서 규칙적으로 제시되는 화두일 뿐 아니라 기업의 문화 측면에서도 차지하는 비중이 점점 확고해 지고 있는 추세다. 실제로 선도 진영 기업의 60%가 이사회에서 정기적으로 보안 문제에 대해 논의하고 있다고 답했다.

이는 하위 진영에 있는 기업의 22%에 비해 훨씬 높은 수치다. 이들은 회사 차원에서 리스크 관리의 중요성에 대한 인식을 더욱 널리 확산 시킬 필요가 있다는 점에 공감하고 있다.

특히 전사 차원의 교육, 협업, 커뮤니케이션 측면에 있어 훨씬 높은 관심을 보이고 있다. 그 중에서도 사전 대비가 철저한 보안 기업들은 보안 실무 위원회를 구성해 보안 문제에 대한 체계적인 접근법을 장려하고 있다.

이들이 다루고 있는 보안 문제는 법률에서부터 시작하여 기업 경영, 재무, 인사까지 다양한 범위를 아우른다. 선도 진영 기업 68%는 위험 관리 위원회를 두고 있었다. 반면 하위 진영은 26%에 그쳤다.
 
◆데이터 기반 의사 결정 및 평가=선도 진영 기업은 그렇지 않은 기업보다 2 배 이상 보안 프로그램의 진행 정도를 모니터링 하기 위해 성과 지표를 사용하고 있는 것으로 나타났다 (59 대 26%).

사용자 인지도 추적, 임직원 교육, 향후 미래의 위험에 대한 대처 능력, 그리고 신기술과의 기술적 통합을 통해 높은 위험 인식을 지닌 기업 문화를 만들어 갈 수 있게 된다. 또 표준화된 성과지표에 대한 자동 점검 기법을 사용해 CISO로 하여금 더욱 광범위하고 체계적 위험에 대처하는 데에 더 많은 시간을 할애 할 수 있도록 한다.
 
◆최고 경영진 간의 예산 책임 공유=대부분의 기업에서 정보 위험 관련 예산의 통제권은 최고정보책임자(CIO)에 집중되어 있는 것으로 나타났다. 그러나 상위 기업들을 살펴보면 투자 책임은 최고 경영진이 지고 있는 경우가 많다.

이보다 더 상위권의 기업들을 살펴보면 CIO 차원이 아니라 CEO 가 직접 정보 보안 관련 예산을 챙기는 경우가 많은 것으로 드러났다. 하위 기업들은 별도 예산 항목이 존재 하지 않았으며, 보안에 대한 접근 자세가 전술적이고 단편적인 성향이 강했다. 선도 진영 기업 약 71%는 별도의 예산 항목을 지니고 있는 대 반해, 하위 기업군은 27%에 그쳤다.
 
이번 보고서의 저자인 데이비드 자르비스 IBM 선임 컨설턴트는 “기존과는 다른 새로운 범주의 CISO리더들이 대두되고 있다. 이들은 경영 전략 부문에서 영향력을 강화하고 있으며 정보 보안에 좀 더 적극적이고 종합적인 태세를 갖출 수 있도록 박차를 가하고 있다”고 말했다.

이어 “오늘날 CISO의 입지는 과거 70년대 CFO, 80년대 CIO의 입지가 강화돼 가던 과정을 그대로 반복하고 있다고 볼 수 있다”며 “이것은 기업에 IT 보안이 차지하는 위치가 얼마나 중요해 졌는지를 시사 하는 대목”이라고 덧붙였다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널