이준호 네이버 이사는 지난 14일 인터컨티넨탈 서울 코엑스에서 열린 ‘2016 정보보호최고책임자 심포지엄’에서 CISO가 나아가야 할 방향에 대해 발표했다.

이준호 이사는 보안 담당자들이 주로 사용하는 전문용어에 대해 질타했다. 최고경영자(CEO)를 비롯해 주요 경영진과 다른 부서원들이 쉽게 이해할 수 있도록 문서를 작성해야 한다는 것이다. 어려운 단어를 사용하면 경영진들은 쉽게 회피하게 된다는 지적이다.

이와 관련 이 이사는 “CISO와 보안팀이 주로 간과하는 것 중 하나가 전문용어를 사용하는 것”이라며 “어려운 용어로 작성한 보고서를 이해하지 못한 상태로 CEO에게 대화할 수밖에 없다”고 말했다.

예를 들어, 비정형 데이터 암호화 솔루션이 있다. 보안부서 소속이 아닌 직원들은 이 용어에 대해 이해하기 어렵다. 이를 동영상, 사진 유출을 방지하도록 암호화해주는 솔루션이라고 쉽게 풀어서 표현해야 한다.

이런 경우도 있다. 보안팀에서 ‘전사 SSID 변경’이라고 공지를 내렸다. IT 부서 외에는 어떤 뜻인지 유추하기 어렵다. 무선랜이 바뀌었다고 단순하게 표현할 수 있는데 그들에게만 익숙한 전문용어를 고집한 사례다.

또한, 이 이사는 보안 조직이 회사의 사업 특성을 이해하고 다양한 부서와 협업해야 한다고 조언했다. 무조건적으로 보안만 강조하면 다른 부서와 마찰이 생길 수밖에 없다. 서로의 이해관계를 파악한 후 원활히 협업하면서도 최후의 병목에서는 주도권을 잡아야 한다는 것.

이 이사는 “네이버 ID가 북한이나 중국에 도용되는 경우가 많아 지문인식 시스템으로 바꾸자는 의견이 있었다”며 “네이버 ID는 어머니도, 어린이도 사용해야 하기 때문에 알면서도 바꾸지 않는 경우가 있다”고 설명했다.

이어 “회사의 이익·특성과 상관없이 보안만 강조하면 왕따가 된다”며 “보안 지식도 중요하지만 회사 내 전반적인 업무 흐름을 파악해야 한다”고 덧붙였다.

또한, 이 이사는 “마지막 구간의 병목구간을 보안부서가 잡아야 한다”며 “네이버의 서비스는 출시 직전에 보안부서에서 검증을 받아야 하며, 이를 통과하지 못하면 서비스는 출시되지 못한다”고 강조했다.

이날 이 이사는 회사 내에서 우선순위를 정한 후 보안정책을 수립해야 한다고 밝혔다. 온라인 서비스 기업인 네이버는 고객정보가 중요하며, 자동차 제조기업은 신차 설계도 등이 중요할 것이다. 이에 모든 보안을 100% 지키려 하는 대신, 회사에서 가장 중요하게 생각하는 부분에서 집중도를 발휘해야 한다는 것.

이 이사는 “모든 보안 위협 요소를 100% 막을 수 없기 때문에 중요한 것과 중요하지 않은 것에 대한 우선순위를 확실히 해야 한다”며 “공격의 타깃이 되는 가장 중요한 2%를 구분해 무조건 지킨다고 생각해야 한다”고 제언했다.

마지막으로 이 이사는 “임직원들의 보안 의식 수준이 곧 그 회사의 보안 수준”이라며 “회사 전체 정보보호 수준을 높이기 위한 보안 교육이 중요하다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr