침해사고/위협동향

보안은 전적으로 CEO의 책임… CISO 의사결정에 한계있어

이상일 기자

- “망분리는 보안 입장에서 공격 주체에 졌다고 인정한 것

 

[디지털데일리 이상일기자] 정부가 내놓는 보안관련 가이드라인이 오히려 기업의 보안정책 수립의 폭을 좁힐 수 있다는 주장이 제기됐다. 또 보안 관리 및 운영책임은 CEO가 전적으로 책임져야 한다는 지적이다. 

 

최근 ‘3.20’, ‘6.25’ 사이버테러 등 보안 위협이 증가하고 있는 가운데 정부의 공공 및 민간의 정보보호 및 보안성 강화를 위한 다양한 대책이 나오고 있다.

 

일례로 금융당국은 금융전산보안 강화대책을 최근 내놓은 바 있다. 이 중 금융조직 측면에서 강화 대책에서는 최고정보책임자(CIO)의 최고보안책임자(CISO) 겸직 금지 및 권한 강화, 보안부서에 대한 사기증진 등의 내용이 포함됐다.

 

하지만 기업의 보안정책 및 운영은 처음부터 끝까지 CEO가 책임져야 할 문제라는 지적이다.

 

지난 17일 종로구 SK서린빌딩에서 개최된 SK C&C IT현안설명회에서 인포섹 윤명훈 상무<사진>는 “보안은 CEO의 이슈지 보안팀의 이슈가 아니다”라며 “개인정보보 활동 등 기업 보안에 대해 보안팀에서 자의적으로 판단하고 대응하는데 한계가 있기 때문”이라고 지적했다.

 

윤 상무는 “보안의 수준을 결정할 때 CIO나 CISO 선에서 결정할 수 없는 경우가 있다. 예를 들어 보안이 생산성을 저해할 경우 CEO의 판단이 절대적이다”고 덧붙였다. 

 

최근 금융권의 보안사고가 이어지면서 보안부서는 물론 IT부서의 사기가 저하되고 있다는 지적이 이어지고 있다. 이에 따라 금융당국은 금융보안 전담부서의 사기 진작을 위한 다양한 정책을 내놓고 있다.

 

해외연수, 성과평가 가점, 금융보안 석사과정 학비 지원 등 CEO 책임 하에 보안인력 사기진작 방안을 마련·시행토록 권고하고 있는 것. 하지만 보안에 대한 책임 부분에 있어서 CEO가 책임감을 가지는 것이 무엇보다 중요하다는 것이 윤 상무의 지적이다.

 

윤 상무는 “실제로 개인정보 유출을 겪었던 한 캐피탈사의 경우 보안팀이 감사조직으로 업그레이드되고, CEO가 전면에 나서 보안정책을 수립하는 등 보안정책을 변화시킨 가운데 최고수준의 보안을 가질 수 있었다”고 밝혔다. 

 

한편 보안에 대한 정부의 가이드라인이 오히려 기업의 정보보호 정책에 있어 위협이 될 수 있다는 견해도 내놓았다.

 

그는 “규제가 생기면 기업들은 규제에 따라가게  마련”이라며 “규제가 고도화되고 정밀화될수록 오히려 그것만 지키려 하는 습성이 있다”고 밝혔다.

 

실제로 금융권의 경우 올 초부터 진행하던 망분리 사업을 올 스톱 시키고 오는 8월 나올 예정인 금융당국의 망분리 가이드라인을 기다리고 있는 형편이다. 서둘러 망분리 사업을 진행하기 보다는 금융당국의 가이드라인에 맞춰 사업을 진행하는 것이 오히려 부담을 덜 수 있다는 판단에서다. 

 

한편 연이은 개인정보유출 등 기업내 핵심 정보의 외부 유출에 따라 이를 막고자 진행되고 있는 인터넷과 내부망을 분리하는 ‘망분리’ 사업에 대해서도 보안 측면에서는 일보 후퇴한 것이란 의견을 내놨다.

 

윤 상무는 “망분리가 안전하긴 하지만 인터넷이 주는 큰 효용을 무시하고 오히려 후퇴하는 꼴”이라며 “망분리는 보안 측면에서 위협의 주체에 대해 지고 있다는 것을 인정하는 것”이라고 말했다.

 

다만 윤 상무는 “아직까지 망분리를 대체할만한 보안기술이 없다는 것이 문제”라며 “이처럼 최근의 보안 패러다임은 급격하게 변하고 있는 상황”이라고 강조했다.

 

<이상일 기자>2401@ddaily.co.kr

이상일 기자
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널