[시큐리티톱뷰]<119> 윤석진 EY한영 전무

“‘정보보안 감사제도’ 도입을 제안합니다. 기업이 매년 회계 감사를 받는 것과 같은 맥락입니다.”

윤석진 EY한영 전무는 ‘보안으로 경영하라’를 강조한다. 윤 전무는 EY한영에서 지식정보보안 컨설팅을 이끈다.

그는 “매년 회계감사보고서 발행하는 것처럼 기업 스스로 사이버보안 거버넌스와 프로세스를 세우고 외부 감사보고서 발행 기관이 객관적으로 검증해야 한다”며 “이렇게 하면 기업은 물론 국가 정보보호 수준이 대폭 강화될 것”이라고 설명했다.

“최고책임자(CEO)로 부터 시작된 정보보호 인식이 전 임직원에게 동일하게 공유돼 조직 문화로 정착해야 합니다. 정보보호가 귀찮고, 불필요한 통제라고 여기는 인식을 바꿔야 합니다.”

그는 “정보보호 활동은 마치 자동차를 만들 때 엑셀레이터(정보활용)와 브레이크(정보보호)를 동시에 고안하는 것과 마찬가지”라고 설명했다.

신차를 디자인할 때 안전을 최우선적으로 고려해 성능이 우수한 브레이크를 기본 장착하는 것처럼 대고객 비즈니스를 시작할 때 반드시 정보보호는 기본이라는 인식이 필요하다고 강조했다.

“자동차를 타면 즉시 안전벨트를 매는 것과 같습니다. 지키지 않았을 때 범칙금을 받습니다. 안전벨트를 착용하면 교통사고 발생 시 생존율이 높습니다. 우리는 이런 두 가지 교육을 병행해 안전벨트 문화를 정착시켰습니다.”

윤 전무는 “CEO 의제에 보안성과를 측정할 수 있는 대시보드를 만들어 지속적으로 관리하는 내용이 들어가야 한다”며 “최고정보보호책임자(CISO)를 임명할 때 자격과 경험을 갖춘 사람을 뽑아 실질적인 권한을 부여하고 지속활동을 보장해야 한다”고 덧붙였다.

보안업무를 담당하는 직원이 근무의욕과 사기를 높일 수 있는 방안도 필요하다. “결국 기업이나 기관 정보보호를 강화하는 것은 사람을 어떻게 교육하고 관리하느냐에 달려 있습니다. 인식 문제이며 문화로써 조직에 체화되도록 지속적인 비즈니스 사이클에서 모니터링 되도록 자동화해야 합니다.”

윤 전무는 “보안은 제품이 아니라 프로세스(Security is not Product but Process)”라고 강조했다. 그는 “과거 미국에서 내부통제 기준인 사베인스-옥슬리 법안(SOX) 준수를 위해 특정 정보보안 솔루션을 도입하면 즉시 SOX 컴플라이언스를 만족하는 것처럼 영업해 사회적 이슈를 일으켰다”며 “최근 소개되는 솔루션을 포함해 정보보호관리체계(ISMS) 관리도구를 도입하면 마치 프로세스가 갖춰지는 것처럼 호도하는 것은 경계해야 한다”고 지적했다.

김인순기자 insoon@etnews.com