[CIO BIZ] 비즈IT칼럼- CISO<최고정보보호책임자> 임명과 정보보호 프로세스 선진화

　아이폰으로 촉발된 스마트폰의 급속한 대중화는 정보보안에 새로운 도전을 제시하고 있다. 즉, 정보 접근에 더 이상 조직 안팎의 구별과 이에 기반한 통제가 불가능해지고 있으며, 지원해야 하는 단말 장비의 다양성은 정보보안을 더욱 어렵게 만들고 있다. 더욱이 가상화, 클라우드화 추세는 도대체 어디를 기준으로 정보를 지키고 통제해야 하는지에 대해 새로운 과제를 던지고 있다.

　하지만 유감스럽게도 세계적 IT 강국인 한국에서 기업과 정부기관들은 정보보안에 대해 자신 없어 하고 있고 그 불안감은 갈수록 커져가고 있다.

　실제 방송통신위원회와 한국인터넷진흥원(KISA)이 국내 2300개 사업체를 대상으로 조사한 2009년 기업 정보보호 실태에 따르면, 정보보호 지출이 전혀 없는 기업이 63.6%, 정보화 투자 대비 5% 미만인 기업이 94%로 기업 대부분의 정보보호 투자가 미흡했다.

　악성코드로 인한 정보유출을 막을 백신 소프트웨어를 갖춘 비율은 50.4%에 그쳤으며, 웹 방화벽은 30.9%, 침입방지시스템은 8.8%, 기업의 고객정보 등을 보호하기 위한 데이터베이스 보안을 갖춘 비율은 24.2%에 불과했다. 또 비상 상황에 대비한 재해복구 계획이 없는 기업도 78.6%로 나타났다.

　더 심각한 문제는 국내 기업의 보안에 대한 인식이 열악하다는 점이다. 조사 기업의 65%는 정보보호 지출을 하지 않는 이유를 ‘보안 사고가 없기 때문’이라고 밝혔다. 16.2%는 ‘관심 없다’ 5.5%는 ‘방법을 모른다’ 4.3%는 ‘예산이 없다’고 답했다.

　하지만 일단 고객정보 유출 등의 보안 사고가 터지면 기업의 신뢰도 하락에 큰 영향을 미칠 뿐만 아니라 회사의 영업 실적에도 상당한 손실을 준다. 특히 기업 내 핵심기술을 비롯한 주요 정보자산을 제대로 지키지 못하는 기업은 존립조차 위협받을 만큼 치명타를 입게 된다.

　이 때문에 해외 선진 기업들은 역사상 최악의 경기침체에도 불구하고 정보보안에 대한 우선순위를 계속 높이고 있다. 특히 최고정보보호책임자(CISO)를 보유하고 있는 기업이 증가하는 추세다. 컨설팅 업체인 프라이스워터하우스쿠퍼스(PwC)가 올해 조사한 결과에 따르면 2009년 현재 해외 기업의 44%가 CISO를 채용했다. 이는 2008년 29%보다 증가한 수치다.

　CISO 채용에 따른 혜택도 분명해지고 있다. 포네몬인스티튜트의 ‘2009년 데이터 유출 비용 보고서’에 따르면 데이터 유출을 경험한 회사 중 CISO를 둔 기업은 유출된 기록 당 평균 157달러의 손실을 입은 반면, CISO가 없는 회사는 손실비용이 236달러에 이르렀다. 이는 데이터 유출 사고 해결 시 CISO가 없는 기업은 CISO를 둔 기업보다 비용을 50% 이상 더 지출해야 한다는 뜻이다. 시만텍의 IT정책 컴플라이언스 그룹이 실시한 최근 연구결과에서도 CISO 보유 기업은 고객 데이터의 손실이나 도난 가능성이 10분의 1 수준으로 낮았다.

　국내 기업들은 대부분 최고정보책임자(CIO)가 CISO를 겸하고 있으며, 보안 전담부서가 별도로 설치된 경우는 매우 드물다. 보안 담당자가 있더라도 IT부서의 팀장 혹은 과장급 직책인 경우가 많아 조직 전체의 정보보안 정책을 제안하고 결정에 참여할 수 있는 권한을 갖기 어려운 실정이다.

　CISO를 활성화하는 데 가장 큰 걸림돌은 바로 기업 자신이다. 기업은 해킹 등의 피해를 입지 않는 이상 보안에 예산을 들여야 할 절실한 이유를 찾지 못하기 쉬우며, 보안 전담 인력을 별도로 두는 것이 불필요하다는 게 기업 정책 결정자 대부분의 생각이다.

　현실이 이렇다 보니 국내 기업의 보안은 체계적인 정책 없이 필요에 따라 보안 장비를 구입하는 선에 머무르고 있다. 당연히 보안 기기들이 제 역할을 다 해내지 못하는 것은 물론, 보안 장비 간의 시너지 효과도 기대할 수 없다.

　국내 보안 산업의 구조상 CISO 역할을 해낼 만한 인력이 부족한 것도 문제다. CISO는 보안 기술을 포함해 IT 전반을 섭렵한 사람이어야 하지만 영세적인 국내 보안 업계의 분위기에선 제대로 된 인력을 키워 CISO로 제공하는 등의 선순환 고리를 엮어나가기 어렵다.

　이 같은 상황을 타개하기 위해서는 무엇보다 보안을 단순한 IT 문제가 아닌 비즈니스 프로세스의 일부로 바라보는 인식의 전환이 필요하다. 이를 위해서는 정보가 어떻게 유통되는지, 누구에 의해서 접근되는지, IT 리스크와 비즈니스의 우선순위는 무엇인지, IT 환경은 어떻게 구성되어 있는지, 보안사고 발생 시 대응체계는 갖추고 있는지 다각적으로 분석하고, 이를 바탕으로 기술과 사람, 그리고 프로세스를 유기적으로 운영하는 포괄적인 보안 프레임워크를 마련해야 한다.

　이와 함께 이러한 보안 프레임워크가 성공적으로 운영되기 위해서는 개인, 기업, 정부 모두 정보보안에 능동적으로 참여하는 것이 중요하다. 아무리 뛰어난 보안 기술과 합리적인 프로세스를 갖췄다 해도, 이를 잘 활용하고 지켜가지 않는다면 안전한 정보화 사회는 요원한 일이 될 것이기 때문이다. 우리가 이룩한 IT 강국. 이제는 정보보안 강국이라는 자랑스러운 이름을 가질 수 있도록 모두가 노력할 때다.

　정경원 시만텍코리아 대표 Kyung-Won_Chong@symantec.com