얼마 전 40명 정도의 정보보호최고책임자(CISO, Chief Information Security Officer)를 대상으로 교육을 할 기회가 있었다. 수요자 중심의 CISO 교육이 아쉬웠던 터라 오랫동안 준비했던 내용을 주어진 4시간에 맞춰 교육을 진행했다.

‘기업경영과 CISO의 과제’를 주제로 하여, '기업경영과 정보보호', 'CISO와 정보보호조직', '정보보호 법규 및 규제 대응', '정보보호 위기관리'를 각 1시간씩 강의했다. 중반을 넘어서면서 다양한 질문과 의견이 나오고 쉬는 시간에도 참석자들 사이에 서로 토론하는 것을 보니 참석한 분들께 어느 정도 도움이 되지 않았나 싶다.

참석자의 과반수가 CISO를 맡은 지 2년 이하이고, CISO업무가 자신의 업무의 50% 이상을 차지하는 분은 5명 안팎에불과했다. 대부분이 IT출신이었고 현재 업무도 IT를 겸임하는 참석자가 70%쯤 됐다. 임원은 반이 조금 넘어 보였다.

상시 종업원 수 1천명 이상의 정보통신서비스 사업자 등에게 CISO 지정 의무를 부여한 개정 정보통신망법(제45조의3)이 시행된 2014년 11월 이후에 임명된 분들이 많은 것 같았다.

기업의 정보보호에 CISO의 역할이 중요한데, 이것은 CISO를 임명한 CEO의 역할이 전제된다. 사실 CISO의 C가 Chief의 약자이긴 하지만 이번 조사에서도 나타났듯 임원 아닌 분들이 상당히 많고, 임원 중에서도 실제 C레벨 임원인 경우는 거의 없기 때문이다.

무엇보다도 먼저 CEO가 정보보호를 기업경영 관점에서 바라보고, 기업 거버넌스 차원에서 대응해야 한다는 점을 강조하고 싶다. 기업의 경영위험 중 하나로 정보보안 위험이 들어왔기 때문이다. 회사를 경영하다 보면 여러 가지 경영위험에 직면하게 된다.

대표적인 것이 매출, 현금흐름, 환율 등의 문제로 발생하는 재무위험, 최근 2-3년 사이에 여러 회사에서 경험한 평판위험, 그리고 '오너 리스크'의 주요 요인인 법규위험, 그리고 9.11 테러 당시 세계무역센터 빌딩의 파괴로 대표되는 재난위험 등이다.

기업에서는 CEO를 비롯한 C레벨 임원이나 이사회(이하 최고경영층)에서 이러한 경영위험을 다뤄왔다. 얼마 전 브렉시트로 인해 금융시장이 출렁였는데, 관련이 있는 기업에서는 브렉시트의 투표 결정 이전부터 재무위험에 관해 분석하여 대책을 마련해 놓고 상황을 모니터링했을 것이다. 그런데 이제 보안위험이 경영위험의 원인 중의 하나로 떠올랐다는 말이다. 정보보안 위험이란 단순화하면 "비인가된 행위에 의해 중요 정보가 열람, 유출, 변경, 삭제될 위험"이다.

2014년 초 카드사 고객정보 유출사태에서 영업 정지, 고객 대응, 수사기관 및 규제기관 대응, 민사소송 대응으로 인해 많은 비용을 지출하고, 민사소송의 결과에 따라 더 큰 비용이 나갈 수도 있는 재무위험이 발생하였고, 평판에도 영향을 미쳤다. 한꺼번에 3명의 CEO가 그만둔 것은 법규(규제)위험에 노출되었기 때문이다.

우리나라 개인정보 관련 법규는 세세한 규제와 강력한 제재를 담고 있는데, 과징금 적용 대상의 확대와 상한액의 대폭 증대, 법정손해배상제 도입을 통한 정신적 피해 인정근거 마련, 관련 법 위반 시 CEO와 개인정보보호책임자(CPO, Chief Privacy Officer) 징계가능 조항 등을 통해 법규위험이 재무위험과 평판위험으로도 확대될 수 있어 경영위험은 더 커질 전망이다. 또한 산업기밀 유출 같은 전통적인 보안위험은 기업의 경쟁력 약화로 이어질 수 있다.

그러나 대다수 CEO들에게는 정보보안 위험이 낯설다. 보고받을 때 이해하기 어려운 기술용어가 많고, 우선순위 없이 다 위험하다고 하니 자주 듣는 것도 편하지 않다. CISO를 비롯한 보고자의 직급이 낮고, 임원도 기술출신들이 많아서 기업경영과 떨어져 있는 것이 주요 원인이다. CISO나 팀장급을 대상으로 하는 교육에서 CEO의 머리에는 경영목표와 경영전략, 경영위험으로 꽉 차 있으니 보안을 경영의 관점에서 경영의 용어로 설명할 것을 강조하지만 실행하기에는 시간이 걸릴 수밖에 없다.

필자 역시 보안을 기업경영 관점에서 이해하고, 경영의 용어로 설명한 지 3~4년밖에 되지 않았다. 어쨌든 알면 관리할 수 있지만, 모르는 사이에 커지는 것이 위험의 속성이므로 CEO 입장에서는 대응이 필요하다.

그래서 CEO를 비롯한 최고경영층께 다음 몇 가지를 권해 드린다.

첫째, 적절한 조직 구성을 하고 권한을 부여해야 한다. 기업 거버넌스의 일부로서 기업 정보보호 거버넌스를 위해 최우선적으로 할 일이다. 이를 위해 CISO를 임명하고, 필요한 권한을 부여한다. 상당수 CISO들이 책임에 걸맞은 조직과 권한을 갖고 있지 못한 게 현실이다. CEO가 기업보안에서 자신의 역할을 충분히 하지 못하고 있다는 반증이다.

CISO는 한 마디로 하면 기업과 사업의 보안위험을 최소화하고, 최고경영층의 위험을 줄여주는 비즈니스 리더다. 가능한 한 임원으로 뽑고 충분히 활동할 수 있도록 권한을 부여해야 한다.

CISO가 꼭 기술 출신일 필요는 없다. 보안팀장이나 고참 팀원들이 기술을 잘 알면 보완할 수 있다. 전문성 있는 인력으로 보안조직을 구성할 수 있도록 지원하는 것 역시 CEO가 할 일이다. 보안조직은 규모가 작기 때문에 한 사람 한 사람의 역할이 중요하다. 좋은 인력으로 뽑아야 나중에 CEO가 감당해야 할 보안위험을 줄일 수 있다.

둘째, 정보보호 사업 계획 및 투자의 승인과 지원이다. 정보보호 사업계획은 기업의 경영목표와 잘 연계될 수 있도록 한다. 회사에서 신규 사업을 추진할 때에는 그것의 보안대책 예산을 포함하여 이익을 추정하도록 하고, 기존 사업에서는 보안투자가 어떤 사업(또는 사업 공통)의 보안위험에 대한 대책인지 검토한다. CEO들은 이걸 투자하면 더 이상 보안문제는 발생하지 않느냐는 질문을 하곤 한다. 늘 불안한 게 있으니 나올 수 있는 질문이다.

경쟁자가 있는 영업이나 제품개발에서도 항상 이기는 게 아닌데, 우리 회사를 상대로 범행하려는 적대자가 있는 상황에서 어떤 투자로 인해 우리가 항상 이기리라고 가정하는 것은 무리가 있다. 게다가 그 적대자의 정체와 공격 무기, 경로를 우리가 알지 못하고 심지어는 우리 내부에 그 적대자가 있는 경우도 있다. 그렇다고 해서 항상 지는 것은 아니다.

카드사 사태 때 사전에 잘 준비해서 사고를 당하지 않은 카드사도 있었다. 회사와 사업에서 반드시 지켜야 할 정보를 정의하고, 그것을 보호하는 데 필요한 투자를 하는 것이 핵심이다. 고객의 개인정보, CEO와 임원들의 PC, 개발제품의 설계도면, 저작권 있는 컨텐츠 등 기업에 따라 중요 정보가 다를 수 있고, 그에 따라 지키는 방법이 다를 수 있다. 투자한 시스템은 목적에 맞게 운용되는지 점검할 필요도 있다.

셋째, 소통과 협업 지원이다. 정보보호의 주체는 기본적으로 각 현업이다. HR팀에서 인사 평가를 주관하지만 각 라인 매니지먼트에서 인사 평가를 수행하는 것과 마찬가지다. HR팀에서 평가하는 부분이 있는 것처럼 보안조직이 직접 하는 일들도 적지 않다. 따라서 정보보안 조직과 현업 조직 사이의 협업이 중요하다. 목표 숫자를 가진 영업이나 마케팅, 이를 뒷받침하는 IT개발 및 운영 조직은 특히 보안을 불편해 하는 경우가 많다. 이해되지 않는 바가 아니지만 수비가 뚫린 상태에서 공격만 해서는 경기에서 이길 수 없듯이 정보보안 위험을 경영위험 중의 하나로 관리하지 않고는 기업의 지속적 성장이 어려울 수 있다는 점 또한 이해해야 한다.

기업에서 역할이 다른 조직 사이의 상충은 자연스럽다. 이를 조정하고 결정하는 것이 바로 최고경영층의 역할이다. 다만 각 조직이 자신의 이해관계에 따라 사실이 왜곡된 상태에서 보안 문제를 에스컬레이션 하는 경우에 전사 이슈인 보안문제를 잘못 판단할 수도 있다는 점에 유의한다. 또한 CEO가 회사의 경영목표나 자신의 연간 주요 어젠더 중 하나로서 보안을 챙긴다면 전사 구성원들이 보안활동에 대한 수용성이 크게 높아진다. H카드사, S통신사, W사 등이 CEO의 강력한 의지를 통해 보안이 잘 이뤄지는 경우다.

급변하는 환경에 기업경영에 고려해야 할 사항이 많아졌다. 게다가 정보보안 위험이란 낯선 분야까지 경영위험으로 등장하니 CEO들이 어려운 점이 많을 것이다. 올해 벌써 반이 지났다. 보안위험을 포함한 경영위험을 잘 대응하면서 경영목표를 달성하시는 한 해가 되길 바란다.

글 강은성 CISO Lab대표, 정보보호포럼 부의장