[출처:보안뉴스 / 2014.11.15]
Q. 아직도 국내에서는 보안조직을 바라볼 때 투자가 아닌 소모의 시선이 강합니다. 소모에서 투자로 생각의 전환이 시급한데요. 좋은 사례가 있는지 궁금합니다.

A-1. CEO와 투자가들의 입장에서 보면 매년 조직 평가에 따른 신분과 투자금의 변동을 감안해야 합니다. 따라서 지출된 비용에 대한 효율성과 우선순위를 계산해야 합니다. 따라서 보안조직에 투자된 예산이 소모성이 아닌 투자로서의 효과가 나타나는지 증명해야 합니다. 보안담당자는 CEO와 투자가들에게 답변해야 합니다. 2014년 카드3사의 개인정보 유출사고로 인한 CEO와 관련 임원들은 사표를 내고 교체되었습니다. 물론 카드3사의 3개월간 영업정지와 탈회한 고객의 건수는 약 100만명이 되고, 조직의 기회비용까지 감안하면 손실 규모는 수천억을 상회합니다. 즉 그 동안의 카드3사의 막대한 영업투자금과 비용을 한번에 까먹는 경제적인 피해를 가져왔으며 보안조직에 더 투자를 했더라면 사고는 막을 수 있었을 거라는 점을 상기해야 합니다. 2014년 카드 3사의 사고 이후, 수습뿐만 아니라 보안조직에 대한 예산비율과 예산에 대한 적절한 법과 제도의 뒷받침이 필요합니다. CEO의 보안에 대한 전문성 결여와 우선순위를 지적하기 위한 외부의 전문가 집단의 지적이 필요합니다. 제일 중요한 것은 “보안사고가 난 기업의 서비스와 제품을 믿을 수 없다”는 고객과 소비자들의 사회적인 인식변화와 행동들이 고객의 이탈과 영업손실로 이루어지면, 국내 조직들도 소모성 비용이 아닌 보안조직에 대한 투자를 할 것입니다. (호서대학교 교수/prof1@hoseo.edu)

A-2. 몇 개월전 통신사에서는 고객정보의 보안 강화를 위해 보안조직을 확대 개편했다는 소식이 전해졌습니다. 이 통신사 같은 경우는 올해 구조조정을 단행하며 개혁을 추진하였는데, 고객정보에 대한 보안 강화도 이러한 개혁 추진에 하나 였습니다. 고객정보가 유출될 경우, 이는 자사 신뢰도 하락과 점유율 하락으로 이어진다는 판단 아래에서 정보보안의 독립성 확보를 통한 실행력 강화를 위해 정보보안 조직을 확대 개편한 겁니다. 이를 위해 통신업계 최초로 정보보호최고책임자(CISO, Chief Information Security Officer)를 최고정보관리책임자(CIO, Chief Information Officer)에서 분리, 정보보안단을 신설했으며, 정보보호최고책임자(CISO) 직급을 기존 상무급에서 전무급으로 격상한다고 밝혔습니다. 정보보안단은 정보보안 정책 및 체계를 마련하는 조직으로 기존 정보보호 담당에서 조직을 확대 개편해 실행력을 강화하고 독립성을 확보했습니다. 또한, 정보보호 업무를 보다 강화하기 위해 보안전문가를 정보보안단장(전무)으로 영입했습니다. (홍준석 한국산업기술보호협회 관제운영팀 팀장/jun0817@kaits.or.kr)

A-3. 모범사례들이 많이 나오고 있습니다. 참고로 KISA 정보보호 및 개인정보보호관리체계 사이트 http://isms.kisa.or.kr에서 자료실 ‘모범사례집’을 참고하면 좋을 것 같습니다. (조희준 한국ISACA협회 부회장/cisspcho@gmail.com)

A-4. 국내에서 아직 대부분의 기업이 보안을 비용으로 인식하여 투자하기를 꺼려하는 실정입니다. 보안조직 구성을 보안활동 측면에서 본다면, 한 연구사례를 통해 알아볼 수 있습니다. 조직이 보안활동을 했을 때 업무의 효율성이 늘어난다는 연구인데, 조직이 보안활동을 하지 않을 때에는 중앙 시스템을 이용한 자료의 공유 및 열람을 허용하지 않았습니다. 이는 정보가 유출될 수도 있다는 인식 때문으로 업무의 효율을 저하시켰습니다. 그리고 보안활동을 할 때는 안전하다는 인식을 바탕으로 중앙 시스템을 이용한 자료의 공유와 열람이 가능하도록 했는데, 이것이 기업의 업무 효율에 영향을 미친다는 연구입니다. 이는 곧 조직의 보안활동이 조직원들에게 업무 활동에 대한 보안성을 보장한다는 것으로, 업무 효율을 상승시키는 투자의 요인으로 볼 수 있습니다. (이준택 한양대학교 교수/joontaiklee@gmail.com)

[김지언 기자(boan4@boannews.com)]