법제도/정책

[취재수첩] 보안 리스크 줄이고 싶다면, CISO·CPO 위상 키워라

최민지 기자
데이터 해킹 이미지 [ⓒ픽사베이]
데이터 해킹 이미지 [ⓒ픽사베이]

[디지털데일리 최민지기자] 국내외를 막론하고, 수많은 기업들이 보안 리스크에 시달린다. 고객정보 탈취부터 내부 기밀 유출, 사이버공격에 따른 전산망 마비 등은 기업 신뢰도와 평판을 심각하게 저해한다. 피해 강도가 심할 수록, 주가와 매출·자산까지 영향을 미친다.

예를 들어, 내부 직원이 기업의 신사업이나 주요 계약 관련 기밀 정보를 경쟁기업에 넘기거나, 해커가 사이버공격으로 모든 사내외 업무망과 대고객 서비스를 마비시킨다는 시나리오를 가정해보자. 만약, 스타트업이라면 사실상 생존까지 담보하기 어렵다. 규모가 있는 기업이라도 막대한 손해를 감수해야 한다. 규제당국 제재나 법적 소송 비용도 고려하지 않을 수 없다.

이같은 보안 위협이 곳곳에 도사리는 것을 기업 내 최고경영자(CEO)를 비롯해 주요 의사결정자들이 모르는 것은 아니다. 하지만, 사고가 나기 전까지는 당장 해결해야 할 시급함으로 여겨지지 않다 보니 자꾸만 뒷전으로 미뤄지게 된다.

보안은 기업에서 가장 중요한 매출 상승을 위한 부서가 아닌, 리스크 방어 부서 소관이기 때문에 비용 집행이 늦어지는 경우가 많아서다. 이러한 안일함이 결국 침입자들이 들어올 수 있는 구멍을 키우게 된다.

그렇다면, 보안 리스크를 줄이면서도 보안 투자 비용을 효율적으로 집행하기 위해 기업은 어떤 선택을 해야 할까?

바로 보안 내재화다. 문제가 발생할 때마다 땜질 식으로 여러 보안 솔루션들을 구매해 적용하는 것만으로는 한계가 있다. 처음부터 보안을 고려한 설계가 필요하다.

건물이나 집을 지을 때도, 디자인과 기능만 고려하지는 않는다. 지진과 태풍 등 여러 위험에도 안심하고 지낼 수 있으려면 '안전 설계'가 선행돼야 한다. 안전이 빠진 건물에 누가 들어가고 싶겠는가. 그러려면, 안전을 책임질 수 있는 최고책임자가 설계부터 함께 참여해야 한다.

기업도 마찬가지다. 제품이나 서비스, 인프라 등을 설계할 때 안전을 담당하는 보안 최고책임자가 최초 단계부터 참여해야만, 보안 리스크를 획기적으로 감소시킬 수 있다. 이를 위해서는 다양한 유관부서 동의가 필요하다. 당장 제품을 빨리 개발해 시장에 선보이고 싶어하는 부서에서는 이를 달가워하지 않을 수 있다.

실제, 개발·사업부서에선 보안정책 때문에 빠르게 업무가 진행되지 않는다고 탓하는 일이 비일비재하다. 그러나 설계단부터 보안내재화가 이뤄져야만, 제품 개발도 빨라진다. 최종 출시 단계에서 보안 취약점이 발견된다면, 사실상 첫 단계로 다시 돌아가야 하기 때문이다.

궁극적으로, 보안내재화를 위해선 최고 정보보호책임자(CISO)와 개인정보보호책임자(CPO) 위상이 제고돼야 한다. 그래야만 기업 전반적인 인식 전환이 빠르게 이뤄질 수 있다. 이를 위해 CEO와 이사회가 CISO와 CPO를 주요 C레벨 임원진으로 인식하고, 주요 비즈니스를 고려할 때 필수적으로 동석해야 할 직무로 봐야 한다.

정부에서도 CISO와 CPO 위상 제고를 말하고 있지만, 실상 현업에선 여전히 책임만 져야 하는 곳이라는 애로사항을 호소하고 있다. CISO와 CPO 중요성을 알지 못하는 기업일 수록, 보안 위험에 노출될 가능성이 크고 결국 기업 비즈니스와 직결되는 문제로 번질 수밖에 없다.

최민지 기자
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널