로고

한국 CPO 포럼
회원가입 로그인
  • Let’s Privacy
  • Privacy Column
  • Let’s Privacy

    Privacy Column

    Leader's Opinion

    회원사들의 개인정보보호 관련 컬럼 으로 구성됩니다.


    ICT로부터 진정한 보안부서의 독립이란…?

    페이지 정보

    profile_image
    작성자 신희정
    작성일Date 21-02-24 11:20

    본문

    신한은행 신희정 상무


    요즘 코로나19 핑계로 집에서 OTT서비스를 통해 철 지난 드라마를 한꺼번에 몰아서 보고 있다. 입소문으로 택한 “이태원클라스”는 사실 실망을 했지만, 지인 추천으로 보게 된 “나의 아저씨”는 나의 몰입감을 최대로 이끌어 준 훌륭한 드라마이다. 지금은 “비밀의 숲”을 보고 있는데, 검찰과 경찰의 영역 다툼이 주된 내용이고, 치열하게 전개되는 상황 논리가 흥미진진하여, 보는 재미가 쏠쏠하다.  


    드라마처럼 치열하지는 않겠지만, 모든 회사에는 Gray Zone이 있어서 책임과 권한의 문제로 조직개편 시즌 때마다 고민이 많아진다. 우리가 몸담고 있는 ICT, 정보보호, 개인정보보호 분야도 끊임없이 발전하고 조직도 진화하고 있다. 우리 회사는 CPO와 CISO 역할을 겸직하고 있다. 이 칼럼을 보시는 분들 중에도 대부분 그러하실 것이라 생각된다.


    지난 해 CPO로서는 데이터3법 통과에 따른 사전 준비와 대응, CISO로서는 코로나로 인해 활성화된 재택근무 환경구축, 다시 기승을 부리는 RDoS 대응이었다. 그리고, 또 한가지 고민은 CISO 업무의 독립이었다. 


    보안부서는 ICT로부터 독립되어 있는가?


    우리 회사는 정보보안 업무를 ICT그룹 내에서 하나의 파트로 운영해 오다가, 1단계 : ICT그룹내 ‘정보보호본부’로 확대·개편 되었으며, 2단계 : ICT그룹에서 他 그룹으로 분리·독립 되었다. 개인(신용)정보보호 업무와는 달리, Cyber Security 분야가 시스템 운영 분야와 상당부분 협업이 필요했기에, 업무 효율상 오랜 기간 함께 해온 것으로 이해된다. 아마도 많은 회사들이 아직까지도 ICT와 동일 그룹으로 묶여 있을 것으로 추측된다. 


    업무 효율성만 따지면 ICT그룹과 Cyber Security가 함께 하는 것이 좋겠지만, 보안업무는 서버, 데이터베이스, 단말, 네트워크 등 보안통제 목적에 맞게 규정하고 감시하는 역할이 필요하기에 CIO 소속의 위치에서 독립하는 것이 옳은 방향이고, 감독기관의 정책도 그에 맞게 지도되어 왔다. 하지만, 조직이 독립되었다고 해서 모든 것이 해결되는 것은 아니었다. 조직을 운영하는 행위도 완전히 독립되어야 하고, 직원들의 일하는 사고도 바뀌어야 한다

    예를 들면, 인프라의 관리, 인력의 채용, 예산의 독립 등이 그것이다. 


    ICT장비는 안정적인 업무처리가 가능하도록 최적의 환경과 용량을 제공하는 것에 목적이 있지만, 보안장비는 언제 어디서 침해 받을지 모르는 위협을 방어하기 위해 존재하는 것으로 성격이 다르기에 관리 기준도 당연히 달라야 한다. 


    예를 들면 거래량의 증가와 이중화 등을 고려하여 가용량을 산정하고 부족할 것으로 예상되면 장비와 License를 증설 하고, 장비의 내용연수를 관리하여 교체시기가 되면 새로운 장비, 새로운 버전을 들여오곤 했다. 정보보안 장비도 ICT장비와 동일한 기준으로 ‘관리되어 왔다’


    하지만, 급속도로 진화하고 있는 침해위협에 능동적으로 대응하기 위해서는 정보보안 인프라의 내용연수, 감가상각, 잔존가를 고려할 수 없다. 최신-최고의 보안 솔루션을 상시적으로 탐색하고 검증하는 과정을 거쳐, 최적의 보안 솔루션을 선택하고 세팅하여, 새로운 위협으로부터 회사의 자산과 고객의 정보를 보호해야 한다고 생각한다. 물론 예산 확보 등 여러 난관이 없진 않겠으나, 그 또한 독립한 부서의 보안담당자로서 감내해야 할 몫이고 노력해야 할 부분이다. 


    보안인력의 채용이나 예산의 확보 등 부서 운영에 필요한 부분도 세밀히 분석해 보면 ICT그룹으로부터 독립된 것인지 생각해 봐야 할 부분이 있을 것이다. 지금 정보보호본부 인력의 대부분은 기존 ICT그룹 인력으로부터 ‘이전’되어 왔고, 신입 직원들도 채용 과정에서부터 ICT그룹에서 선발 후 ‘배정’받아온 것이 사실이다. 요즘 인기가 많은 디지털과 글로벌 부문에 지원하거나 빼앗기는 게 다반사이다. 


    우리 회사의 인재육성계획에 따르면 정보보호분야는 ICT그룹과 분리되어 있어서 차별화 되고 전문적인 인재를 선발, 육성할 책임을 진다. 하지만 안타깝게도 현실은 ICT그룹, 디지털그룹과 함께 선발하고 있다. 공고를 하는 행정적인 절차 보다는 정보보안에 특화된 인재, 원하는 인재를 정보보안의 기준으로 선발하고 함께 일하고, 육성할 수 있도록 자체적인 프로그램을 준비한 다음, 채용부서와 깊이 고민해 봐야 할 시점이다. 


    예산의 독립은 정말 쉽지 않은 주제이다. 재무·회계 부서의 시각에서 ICT와 정보보안에서 구매하는 것은 모두 ‘ICT’로 인식하고 있기 때문이다. 앞서 언급한 정보보안 솔루션의 도입과 결을 같이하는 고민이다. 


    올해도 벌써 한 달이 훌쩍 지나갔다. 인간사회의 동반자가 되어버린 듯한 ‘코로나19’가 빨리 종식되어 2020년 이전으로 돌아갔으면 하는 마음이 간절하다. 그 때까지 모두 건강하게 준비하고 새 시대를 맞이하시기 바란다.