옛글/네트워크 이야기
보안전문가 CSO와 우리나라의 안타까운 보안 현실
ShakeJ
2012. 1. 30. 14:52
반응형
지난해 대형 보안사고들 이후, 주요 기업들은 보안강화를 위해 최고정보보호책임자(CSO)를 임명했다. CSO를 최고경영자(CEO) 직속에 두고 보안에 대한 신경을 쓰겠다는 상징적인 조치였다.
그러나 국내 CSO들의 현실은 이상과는 조금 달라 보인다. 보안에 대한 사회적 인식은 물론 기업 내부 보안인식이 좋아졌다고 하지만, 여전히 보안은 최우선고려 대상이 아니란 것이다. 이는 주요 기업 CSO들의 처우만 봐도 알 수 있다.
■결정 권한 없는 CSO, “방패막 제대로 못세운다”
대부분의 CSO들은 기업 내부에서 실질적인 결정권을 가지고 있지 않다. 즉 보안 관련 의사결정에 있어 제대로 영향력을 행사하지 못하고 있다. CSO라는 이름으로 명명돼 임원급의 권한을 행사하는 것처럼 보이지만 실제로는 부장급 직급으로 관련 업무를 수행하고 있다.
보안업계에서 평가하는 CSO들의 현실은 더욱 냉혹하다. 보안업계 주요 인력들이 일반 기업으로 이동하기 시작하면서 인력 출혈도 만만치 않았다. 그러나 업계 관계자들은 이들이 ‘총알받이’라고 언급할 정도로 그 책임이 무겁다고 설명한다. 즉 책임만 있고 권한은 없다는 것이다.
보안업계 한 관계자는 “보안업계의 임원급 전문가들을 대상으로 많은 기업들이 러브콜을 보내고 있는 것이 사실”이라면서 “그러나 CSO자리에 앉게되면 보안뿐 아니라 관련된 그 외 업무량도 만만치 않아 정작 보안에만 신경쓰기는 어려운 것이 현실이라고 들었다”고 설명했다.
기업으로의 보안인력 유출로 인해 업계의 인력 생태계도 악순환에 시달리고 있다. 보안업무 처리에 능숙한 전문가 집단이 부족해지기 시작한 것이다.
■기업 CSO의 한계, 어디까지?
주요 기업들이 이미 최고정보관리책임자(CIO)를 두고 있다는 점도 이들의 한계로 작용한다. CIO와 CSO의 책임 경계가 모호한 경우가 있기 때문이다.
유명 대기업의 한 CSO는 “기업 내부 전체 IT를 책임지고 있는 CIO들은 자신들의 통제 아래 CSO를 두고 싶어 하기 때문에 실제 목소리를 내기는 어려운 상황인 것이 현실”이라면서 “또한 실질적으로 보안사고가 발생하지 않은 이상 성과자체도 눈에 두드러지지 않기 때문에 조직 내에서 목소리를 내는 것 조차도 어렵다”고 말했다.
이 뿐만 아니라 기업 CSO들은 보안을 적용할 경우 다소 떨어질 수 있는 업무 효율성도 문제점이라고 지적한다. 보안강화를 위한 정책을 적용하다보면, 불가피하게 복잡한 절차나 기술을 적용할 수 밖에 없기 때문이다.
사실상 보안 적용으로 인한 효율성 문제는 금융권을 중심으로 꾸준히 지적돼온 것이 현실이지만 이 모든 책임이 CSO에게 떠 맡겨지는 경우도 비일비재하다. 또한 국내 기업들의 턱없이 부족한 보안인력 등도 한계점으로 지적된다.
또 다른 기업의 CSO는 “기업 경영진들의 보안인식 수준이 향상됐다고 하지만 아직도 갈길이 너무나 멀다”면서 “투자만 많다고 보안 수준이 향상되는 것이 아닌데 여전히 기술만 도입하면 된다고 생각하는 경영진들이 많다”고 하소연했다.
또한 그는 “실제 보안 수준을 격상시키려면 CSO가 조직 내에서 목소리를 낼 수 있도록 장려해주고, CIO를 비롯한 내부 조직과의 원활한 커뮤니케이션이 이뤄질 수 있도록 해야한다”고 덧붙였다.출처 : Zdnet.co.kr
참 보고있다보면 한국의 보안현실은 안타까움을 금치 않을 수 없다는 생각이 자꾸만 듭니다
대량 유출이 되었던 네이트의 방문율은 사고 직 후에도 역시나 방문자수가 똑같았으며 잠시 이슈가 되었다가 다시 기억의 저편으로 밀어둔채로 지내고 있습니다. 점점 IT가 발전하고 컴퓨터를 몇대씩 사용하며 스마트폰까지 여러 가지 IT 매체를 사용하는 현실에서 점점 보안의식이 둔해지고 있는 것 같아 안타깝기만 하네요. 기사에서도 보이듯 보안 자체가 뚫리지 않는 이상 성과가 눈에 보이지 않기도 하며 아직 한국에서는 '보안'에 대해서 심가하게 생각하지 않는 듯 합니다. 심지어 백신을 왜 까냐는 사람들이 태반이니까 말이죠. (깔아도 업데이트를 자주 하지도 않는 쓸모없는 백신인 경우가 많더군요) 이러다 머지 않은 미래에 큰 사고가 줄줄이 터져나갈까 걱정이 되는 반면, 약한 보안의식에 보안관련 직업을 기피하는 현상까지 생겨나니.. 백신이나 보안전문가를 의사와 동일하게 생각하는 외국에 비해 아직은 많이 부족하다고 생각됩니다.
기사를 보다가 안타까움에 포스팅 해보네요.
반응형