Column

  • 트위터
  • 페이스북

커리어케어의 전문 컨설턴트들이 정확한 눈으로 채용 시장을 판단하여 말합니다.
현장에서 느끼는 컨설턴트의 생각을 통해 채용시장의 조류와 앞으로의 변화를 미리 알려드립니다.

[정기훈 이사 인터뷰] 금융보안 시대, CISO(정보보호최고책임자)를 찾아라!
Date : 2014-04-28

금융보안 시대, CISO(정보보호최고책임자)를 찾아라!
커리어케어 정기훈이사 인터뷰


연이은 대형 보안사고로 패닉에 빠진 금융권이 보안전문가 영입에 혈안이 되었습니다. 지난 2월 김정훈 국회 정무위원회 위원장이 발의한 전자금융거래법 개정안이 국회 논의를 거쳐 시행에 들어가면, 일정 규모 이상 금융사는 최고정보책임자(CIO)가 정보보호최고 책임자(CISO)를 겸임하지 못하게 되기 때문입니다. 또 금융당국 역시 ‘개인정보 유출 재발방지 종합대책’을 통해 CIO와 CISO를 겸임하지 못하도록 각 금융권에 권고 하였습니다. CIO와 CISO의 업무는 어떻게 구분되며, 겸임 금지의 이유는 무엇인지, 제도의 한계는 없는지에 대하여 금융 및 기업정보사업 전문가인 커리어케어 정기훈 이사의 조언을 들어보았습니다.




최고정보책임자(CIO)와 정보보호최고책임자(CISO)의 차이는 무엇인가요?
CIO는 Chief Information Officer로서 소위 IT분야를 책임지는 총괄 임원이라고 보시면 됩니다. 반면 CISO는 Chief Information Security Officer로서 정보보호 최고 책임자를 지칭합니다. 얼핏 봐서는 유사한 것 같기도 하고, 다소 헷갈리기도 하실 겁니다. 그러나 두 포지션은 정반대의 포지션이라 이해하셔도 무리가 없습니다. CIO가 회사가 보유한 ‘정보를 활용’해 사업전략을 구상하는 역할이라 한다면, CISO는 회사가 보유한 ‘정보의 보안’을 책임지고 관리하는 역할을 통해 CIO를 견제하는 위치라고 보시면 됩니다. 이렇게 보니 두 지위가 서로 대립하는 자리 같네요. 실제로 그렇습니다. CISO는 CIO를 견제하며 정보보호에 취약한 측면을 바로바로 꼬집어 내야하기 때문입니다. 아마도 CIO 입장에서는 CISO가 활발하게 역할을 수행할 수록 많이 불편할 것으로 생각합니다.

CISO의 직무가 조금은 막연하게 들리는데, 이를 좀더 자세히 설명해 주세요.
최근 정보유출 사고를 보면, 보안의 기술적 문제라기 보다는 사람을 제대로 다루지 못한 인재(人災)라고 할 수 있습니다. 즉, 각종 보안을 위한 시스템과 소프트웨어를 갖추고 있음에도 불구하고 사람관리를 잘못하여 엄청난 사고를 낸 것이지요. 그래서 CISO는 단순히 물리적?시스템적 보안 기술상의 역할을 넘어서 법규에 대한 이해, 제도 마련, 인력 관리, 교육 시스템 등을 총체적으로 아우를 수 있는 역량을 필요로 하는 자리인 것입니다. CISO는 CEO에게는 실질적인 Governance 기능을 수행해야 합니다. 최고 경영자에게 직보하면서 조직 내 다양한 보안 이슈를 해결 할 수 있어야 합니다. 이뿐만이 아닙니다. 나아가서는 정보보호에 대한 다양한 민원 대응 경험, 수사기관 등의 사법기관 대응 역량, 마케팅 등 현업에 대한 풍부한 이해도와 경험이 필요한 자리인 것입니다.

정책당국에서 양 포지션의 겸직 금지를 추진하는 이유를 좀 더 자세히 말씀해 주세요.
두 포지션이 서로 견제해야 하는 역할인데, 이를 한 사람이 겸직하고 있다면 이건 완전히 모순이죠. 본인이 추진하는 일을 본인 스스로 견제할 순 없을 테니까요. 작년 7월 금융위원회가 발표한 ‘금융전산 보안강화 종합대책’을 보면 이 부분을 매우 강조하고 있습니다. 즉, 양 포지션을 겸직함에 따라 CISO의 독립적인 활동을 저해하고 업무상 경계가 모호해졌으며, 나아가 전산사고 발생 시 책임이 불분명해졌다는 것입니다. 또한 겸임 시 업무가 상충될 경우, IT보안보다는 IT효율성이 우선되어 전자금융거래의 안전성 악화가 우려된다는 것이죠. 이러한 이유로 CIO와의 겸직을 금지하는 ‘CISO 전임제도’를 추진하게 된 것이지요.

‘금융전산 보안강화 종합대책’이 제대로 실행되었나요?
아닙니다. 아직까지도 전임제도는 시행되고 있지 않고 있습니다. 최근 몇 년 간의 사례에서 알 수 있듯이 항상 세간을 시끄럽게 하는 정보유출 사고가 발생하고 난 후, 정책당국이 부랴부랴 이러한 제도들을 내놓고 있습니다. 하지만 시간이 지나면 다시 흐지부지 되는 경향이 있어요. 잠깐 반짝했다가 쏙 들어가는 거죠. 그런데 최근 분위기는 조금 다른 것 같습니다. 금년 초 카드사 정보유출 사고가 큰 영향을 끼쳤죠. 대통령까지 나서고, 관련 금융회사 CEO들이 자리를 내놓게 되었으며, 모든 정치권이 이 이슈를 거론하고 있습니다. 드디어 국회 정무위원장인 김정훈 의원의 발의에 의해 올해 초 2월 6일, 일정규모 이상의 대형 금융회사 및 전자금융업자의 경우 CIO와 CISO의 겸직을 제한하는 개정안을 추진하고 있습니다. 예상하시겠지만, 본 안건에 대하여 여야, 정부당국을 통틀어 그 어느 누구도 이견을 내놓을 수 없을 겁니다. 즉, 특별한 사유가 없는 한 국회를 통과할 것이라 보고 있습니다.

단순히 겸직만 금지하면 여러 문제가 해결될 수 있는 것인가요?
그렇게 생각하지 않습니다. 오히려 더 큰 문제는 조직도상의 CISO 위치라고 봅니다. 현재 많은 수의 금융회사가 CISO를 전담으로 두고 있더라도, CIO를 견제할 수 있는 대등한 위치에 배치하지 않고 실제로는 CIO 아래의 부속기관처럼 운영하는 경우가 대부분 입니다. 어떻게 CIO의 지휘를 받으면서 자기 상급자를 견제할 수 있겠습니까? 아무리 전담 CISO를 둔 들, 제대로 기능할 수 없다면 무의미한 것이지요. 그래서 겸직 금지와 함께 조직도상의 지휘 체계에 있어서도 CIO와 대등하면서 CEO와 바로 소통할 수 있는 포지션으로 강제화하는 것이 반드시 필요하다고 생각합니다.

금융권 외, CISO 포지션을 많이 필요로 하는 업계는 어디인가요?
소위 최근 몇 년간 정보유출 사고가 많이 났던 업계를 떠올리시면 될 겁니다. 구체적으로 회사명은 언급 하지 않겠지만, 인터넷 쇼핑몰(오픈마켓), 온라인 게임회사, 인터넷 포털 등 개인 고객들의 정보가 유출되어 아직까지도 수년째 각종 민·형사 소송이 진행 중인 회사들 입니다. 그러나 아이러니 하게도 이러한 업계에서 오히려 제대로 된 CISO들이 양성되고 있는 것으로 보입니다. 소 잃고 외양간 고치는 꼴이긴 하지만, 사고에 대한 대응과 재발 방지를 위해 나름의 시스템과 인력을 보강 중인 셈이지요. 금융권도 이번 사태를 교훈 삼아, 우수한 인재를 영입하고 육성할 것이 절실히 요구되고 있습니다.

게시판 다른 글 보기
2014-04-29
2014-04-29
[정기훈 이사 인터뷰] 금융보안 시대, CISO(정보보호최고책임자)를 찾아라!
2014-04-28
2014-04-14
2014-04-08