[디지털데일리 이민형기자] “기업들이 최고보안책임자(CSO)나 정보보호최고책임자(CISO)를 채용하지 않는 것도 문제이지만, CSO·CISO가 있음에도 불구하고 그들의 목소리와 의견을 제대로 듣지 않는 것이 더 큰 문제입니다. 기업 정보보호를 위해서는 그들의 목소리에 귀를 기울여야 합니다.”

그의 발언은 현재 우리나라 기업들의 보안인식 현실을 적나라하게 꼬집고 있다. 국내 금융회사를 비롯해 대부분의 기업들의 최고정보책임자(CIO)는 보안업무를 겸직하고 있는 경우가 많으며, CISO가 따로 선임돼 있더라도 CIO의 그늘에서 벗어나지 못하는 경우가 대부분이다.

데이비슨 CSO는 최근 발생한 타깃(Target)과 홈디포(Home Depot)의 해킹사고를 예로들며 CISO 역할의 중요성을 설명했다.

그는 “최근 해킹사고로 곤혹을 치르고 있는 타깃과 홈디포는 보안이라는 기본적인 요소를 고민하지 않았다. IT와 보안은 떼어놓을 수 없다는 것을 그들은 모르고 있었던 것 같다”며 “보안을 책임질 수 있는 CISO의 역할과 권한이 중요한 이유가 바로 여기에 있다”고 말했다.

CISO는 홈디포나 타깃의 사례처럼 해킹 사고가 발생하지 않도록 하는 것이 본연의 업무다. 물론 침해사고가 발생하면 그에 따른 책임을 지는 것도 CISO가 돼야 한다.

결국 최고경영자(CEO)가 CISO를 선임해 기업의 보안을 맡겼다면, 기업 보안을 위한 예산이 책정과 더불어 CISO의 권한도 보장해줘야 한다는 것이 가장 이상적인 형태가 된다.

하지만 이는 아직까지 이상에 불과해 보인다. 데이비슨 CSO는 “어떤 기업의 CISO는 기업 정보보호를 위한 체계를 수립하기 위해 임원진에게 보안 투자를 요구했다. 하지만 이는 묵살됐고 결국 보안사고로 이어졌으며, 이는 CISO의 해임으로 돌아왔다”고 전했다.

국내에도 이런 사례는 흔히 발견 할 수 있다. 이와 관련 국내 모 기업의 CISO는 “의무에 걸맞는 권한을 부여하는 것이 당연한데, CISO에게는 이것이 적용되지 않는 것 같다”며 “예산 책정이나 기업 보안 프레임워크 구성 등에 대한 권한을 부여받는 것이 절실하다”고 귀뜸했다.

또 데이비슨 CSO는 기업이 스스로를 지킬 수 있는 힘을 키워야한다는 지적도 했다. 나무가 해충으로부터 자신을 스스로 지키는 것처럼 기업도 다른 사람의 개입없이 지켜낼 수 있어야한다는 주장이다.

그는 “기업의 네트워크는 자체적으로 방어가 가능해야 한다. 외부의 공격을 받았을 때, 개발자의 개입없이도 보호할 수 있는 능력을 갖춰야 한다. 이를 위해서는 보안의 내재화가 필요하다”고 강조했다.

이외에도 데이비슨 CSO는 기업 내부보안 강화, 보안을 기초로 한 개발·디자인, 모든 임직원을 대상으로 한 지속적인 보안교육 등을 권고했다.

<이민형 기자>kiku@ddaily.co.kr