[CIO BIZ+]CISO조직, 내부 감사·리스크관리 조직으로 확대해야

관련 통계자료 다운로드 CISO가 갖춰야 할 역량

사상 초유의 고객정보 유출사고를 겪은 금융권이 뒤늦게나마 정보보호 체계를 강화하는 방안을 앞다퉈 내놓고 있다. 금융사들은 정보보호 사고가 일어날 때마다 항상 내놓는 정책 중 빠지지 않는 것은 임원급 최고정보보호책임자(CISO) 선임과 조직 분리다. 실제로 국민은행 등 일부 금융사는 CISO를 선임, 조직을 분리하기도 했다. 그러나 여전히 금융사 정보보호 사고가 끊이지 않는 것은 CISO 제도 도입이 형식적인 수준에 그치기 때문이다.

금융사 CISO 조직은 정보시스템 보안 체계는 물론이고 내부통제 전체를 관장하는 감사조직으로 강화해야 한다는 목소리가 높아지고 있다. CISO는 정보기술(IT)에 대한 전문지식보다는 전사 조직 감사와 통제를 수행할 수 있는 리더십을 갖춘 임원이 적격이라고 제기됐다. 장기적으로 금융사 정보보호 체계를 회계감사처럼 외부 기관으로부터 감사를 받는 제도 도입 검토도 필요하다.

◇감사·리스크관리 조직 수장이 CISO 적합

국민은행을 제외한 시중은행 등 상당수 금융사는 CISO를 최고정보책임자(CIO)가 겸직하거나 CIO 조직 아래 두고 있어 정보보호 독립성을 확보하지 못했다. 대표적 이유 중 하나가 정보보호만을 위한 별도 임원급 본부 조직을 구성하는 것이 경영진 입장에서 부담스럽기 때문이다. 은행 관계자는 “많아야 30명 수준인 정보보호 인력만으로 본부 조직을 만들고 임원을 선임한다는 것은 쉬운 일이 아니다”고 전했다.

최근 정보보호컨설팅 전문가들은 이에 대한 해법으로 산재된 감사·리스크관리·정보보호 조직을 본부급으로 통합, 임원급 본부장이 CISO를 겸직하게 하는 방안을 제시한다.

송기정 딜로이트컨설팅 정보보호담당 상무는 “정보보호를 포함해 컴플라이언스 등 전사 위험을 진단, 감시하는 기능을 포괄적으로 CISO가 관리하는 조직구조가 필요하다”고 강조했다.

CISO가 내부 통제 기능을 수행함으로써 최근 발생한 카드사 정보유출 사고처럼 인력에 의한 정보보호 사고도 차단할 수 있을 것으로 보고 있다. 정보유출 사고가 발생한 카드사들은 모두 최선의 정보보호 시스템을 구축, 보안 체계를 갖췄지만 사람의 인위적인 조작까지는 막지 못했다.

◇CISO 역량, 기술보다는 리더십 우선

CISO의 역량으로는 기술보다는 리더십이 강조됐다. 최근 딜로이트컨설팅이 북미와 유럽의 CISO를 대상으로 설문조사를 실시한 결과, CISO로서 가장 중요한 역량으로 리더십(35%)을 꼽았다. 이어 의사소통과 관계관리(25%), 비즈니스 이해(20%) 순으로 나타났다. 정보보호 기술 전문성은 10%에 불과했다.

CISO는 최고경영진(CEO)과 현업 임원들에게 정보보호가 기업 경쟁력을 어떻게 높일 수 있는지, 현업의 업무를 어떻게 도울 수 있는지를 설명할 수 있어야 한다. 정보보호 기술·전문가에게는 어느 정도의 수준이 기업에게 필요한 것인지, 현업 근무자에게 정보보호에 대한 책임을 알 수 있도록 의사소통이 가능해야 한다. 송기정 상무는 “CISO는 기업 내 다양한 관련자와 계층들 간 이해할 수 있는 공동언어를 개발해야 한다”고 충고했다.

특정 사건이나 법규에 대응하기 위해 급조된 정보보호기술 투자나 계획보다는 궁극적인 해법을 찾아야 한다. 비즈니스와 위험관리 관점에서의 전략적 사고, 지금까지와는 다른 혁신적 정보보호 전략, 비즈니스와 고객의 가치를 어떻게 보호할 것인가에 대한 논의가 필요하다.

◇정보보호 외부감사 제도 도입 논의

회계감사처럼 객관성과 전문성을 갖춘 기관이 해당 기업과 협력업체 대상으로 정보보호 체계 운영에 대한 외부감사를 받도록 하는 `정보보호 감사제도` 도입 논의도 시작됐다. 감사 결과를 이해 관계자들이 쉽게 열람할 수 있도록 기업들이 공시하는 방안도 거론된다. 정보보호 감사 제도는 기업에 초기 부담이 되지만 장기적으로는 기업 신뢰도를 높여주는 효과가 있을 것으로 보고 있다.

정보보호 감사 제도 도입을 위해 해결해야 할 과제도 있다. 무엇보다 회계감사처럼 외부 공인된 기관이 없다는 점이다. 제도 도입을 위해 외부 감사기관 선임 기준과 절차 등을 마련, 적격업체를 선정해야 한다. 외부감사법처럼 정보보호감사 관련 법률도 제정해야 한다. 전문가들은 “잇단 금융권 정보보호 사고에 대해 장기적이고 큰 관점에서 기업의 보안 운영 효과성을 확보할 수 있을지 고민해야 하는 시점”이라고 입을 모은다.


CISO가 갖춰야 할 역량

자료:딜로이트컨설팅

*2013년 3분기 북미와 유럽의 CISO 대상 조사

[CIO BIZ+]CISO조직, 내부 감사·리스크관리 조직으로 확대해야


신혜권기자 hkshin@etnews.com