로그인|회원가입|고객센터
Top
검색버튼 메뉴버튼

CEO의 역할

CEO, 보안 부서 독립시키고 채널을 유지하라

김세헌 | 85호 (2011년 7월 Issue 2)
 

2011년 4월 금융기업 두 곳이 정보보안 사고로 엄청난 피해를 입었다. 4월7일 전문적인 해커들에 의해 현대캐피탈의 전산시스템이 해킹을 당해 175만 고객들의 개인정보가 유출됐다. 금융감독원의 조사에 따르면 이번 사건은 서버에 접근할 수 있는 계정에 대한 관리가 소홀했고 고객의 비밀번호를 암호화해 저장하지 않는 등 정보보안 관리의 소홀과 정보보안에 대한 투자미흡이 주된 원인으로 밝혀졌다.
 
또한 4월12일에 발생한 농협의 전산장애 사건은 농협의 인터넷뱅킹, 폰뱅킹, 모바일뱅킹, 현금인출기 등을 수일간 마비시켰다. 이에 따라 고객들은 필요한 현금을 인출하지 못해 카드대금, 계약금 등을 제때에 납부하지 못하는 등 수많은 고객들에게 2차 피해가 발생했다. 최근 수사 결과에 따르면 이 사건은 북한의 고의적인 사이버테러로 추정되고 있다. 5월에도 한국전자금융, 리딩투자증권에서도 비슷한 개인정보 유출 사고가 연이어 발생했다.
 
사고 직후 언론은 금융기관들의 정보보안 문제의 심각성을 지적하고 그 대책으로 철저한 기술적 방비와 끊임없는 점검, 정보보호에 대한 투자 확대 등을 주문했다. 이는 새로운 것이 아니며 정보보안 전문가들이 항상 지적했던 점이다. 그런데도 왜 정보보안 사고가 끊이지 않는 것일까. 이를 경영의 문제가 아닌, 기술의 문제로만 다뤄왔기 때문에 많은 기업들이 정보보호의 실패를 경험하고 있는 것이다. 끊임없는 점검은 지속적인 관리와 이를 뒷받침할 수 있는 관리체계가 있어야 가능하다. 최고경영자의 의지와 지원이 없으면 성공하기 힘들다. 투자 확대 또한 경영의 중요한 의사결정 사항이다. 따라서 최고경영자가 정보보안에서 어떤 역할을 해야 하는지를 살펴보고 각 기업의 상황에 맞는 대책을 마련하는 일이 정보보안 사고 예방을 위해 필수적이다.
 
기업 정보보호 체계의 한계
정보보안 사고와 피해 규모는 날로 심각해지고 있다. 조직 내부에 정보보안 체계가 확립돼 있지 않다면 해당 조직은 물론 전체 산업, 금융시스템에 심각한 피해를 줄 수 있다. 그런데도 조직의 핵심 간부들은 일이 터진 뒤에나 사안의 심각성을 인식한다. 제품 생산과 판매, 자금 확보 등의 현안에 매달리다보니 중장기적 측면에서 준비해야 하는 정보보안에 관한 문제를 깊이 생각할 겨를이 없다. 정보보안에 관심을 갖는 CEO는 매우 드물다. 이는 기업 내 정보보호 체계가 갖고 있는 근본적인 한계 때문이다.
 
1. CIO 중심 시스템의 문제
기업 내에서 정보보안 역할이 주어지는 직책은 정보기술(IT) 담당 중역, 즉 최고정보책임자(Chief Information Officer·CIO)일 가능성이 크다. 정보보안은 정보를 보호하는 IT 부서의 일이므로 이 부서를 책임지는 CIO가 이 문제를 다뤄야 한다고 생각할 수 있기 때문이다. 그러나 조직의 운영 메커니즘을 살펴보면 이런 생각이 얼마나 안일한 것인지 알 수 있다. IT 부서의 성과평가는 정보시스템에 얼마나 신속하게 접근할 수 있는지, 편리하고 효율적으로 활용할 수 있는지와 같이 생산성 요소를 중시한다. 반면에 정보보안을 위한 제반 통제 사항들의 도입은 단기적으로는 업무 수행의 효율성 저하를 어느 정도 일으킬 수 있다. 이에 따라 정보보안은 업무의 단기적인 효율성 추구를 목적으로 하고 있는 IT 부서의 이해와 충돌하고 다양한 갈등을 일으킬 수 있다. 예를 들어 농협 사건이 발생한 후 언론은 다음과 같은 요지의 수사 결과를 보도했다.
 
‘농협의 전산망에서 프로그램 삭제 명령을 내린 노트북의 주인은 협력업체인 IBM 직원이었고, 이 직원은 이 노트북을 들고 농협 내부와 외부로 수시로 드나든 것으로 밝혀졌다.’
 
대부분의 금융기관에서는 내부 정보가 인터넷을 통해 유출되는 것을 막기 위하여 내부망과 인터넷을 분리하고 있다. 그런데 앞서 지적한 대로 업무가 관행적으로 이뤄지면 노트북을 통해 내부 자료가 외부로 유출될 수 있고, 외부에서 감염된 악성코드가 내부로 들어올 수도 있다. 결국 망을 분리하는 정보보안 대책은 무용지물이 되고 만다. 그렇다면 어떻게 이런 일이 일어날까. 앞서 설명한 대로 전산망을 관리하는 CIO의 관점에서는 협력업체 직원이 좀 더 쉽게, 좀 더 빨리 IT 관련 프로젝트를 완성할 수 있도록 지원하고자 한다. 그래서 이런 식의 업무 관행이 오히려 효과적이라고 생각할 수 있다. 기업의 정보보안을 CIO가 책임지고 있다면, 그는 이러한 업무 관행을 통제해야 한다는 생각을 하기 힘들다. 이 때문에 CIO가 정보보안을 책임지는 것은 매우 위험한 일이 될 수 있다.
 
2. CSO 역할의 한계
다음에 떠올릴 수 있는 사람은 기업의 정보보안을 담당하는 중역, 즉 최고보안책임자(Chief Security Officer·CSO)다. 최근 정부에서는 각 기업에 정보보안 담당 부서를 두고 이를 담당하는 중역인 CSO를 임명하도록 권고하고 있다. 특히 금융회사의 경우 CSO를 두면 경영평가에서 가점을 받을 수 있다. 그리고 실제로 여러 기업에서 CSO를 두고 있다. 그렇다면 CSO를 임명하는 것만으로 IT 부서와 정보보안 부서의 이해상충을 해결할 수 있을까. 현실은 이상과 다르다. 대부분의 기업에서 정보보안 부서는 IT 부서로부터 독립돼 있지 않다. 정보보안 부서도 IT 부서보다 규모가 매우 작다. 이 때문에 CSO의 위상과 권한은 CIO와 비교할 바가 못 된다. 이런 상황에서 업무의 단기적인 효율성을 중시하는 CIO의 업무 추진 방식을 CSO가 정보보안의 관점에서 통제하거나 바꾸기는 어렵다.
 
3. CEO의 인식 부족
‘이런 일이 생긴 것은 내가 알고 어떻게 할 수 있는 게 아니다.’
 
‘(나는) 비상임이어서 업무를 잘 모르고, 내가 한 것도 없으니까 책임질 것도 없어요.’
 
‘도의적인 차원에서는 잘못이 있겠지. 어제 사과도 했고…. 그런데 이런 사고는 내 권한이랑 아무 상관이 없어요.’
 
농협 사건이 터진 후 농협중앙회장이 일간지와의 인터뷰에서 사건을 언급한 내용을 살펴보면 회장은 정보보안 문제를 깊이 생각해보지 못한 것으로 보인다. 그런데 이런 현상이 비단 농협만의 문제는 아니다. CEO는 기업의 영업이익을 늘리기 위해 마케팅, 파이낸싱, 생산관리, 전략수립 등 기업의 본연의 업무를 이끌고 기업의 모든 자원들을 동원해 문제를 해결해나갈 책임이 있다. 막중한 책임을 맡은 CEO가 기업 내부에서 일어나는 모든 분야의 내용을 항상 상세하게 파악하고 있을 수는 없다. 이런 이유로 대부분의 기업 CEO들은 정보보안 문제를 깊이 생각해볼 기회를 갖지 못한다.
 
문제는 CEO가 정보보안을 챙기지 않으면 업무가 겉돌 수밖에 없다는 점이다. 기업이 정보보안에 실패하는 원인 중 하나가 CEO가 이런 점을 충분히 인식하고 대처하지 않고 있기 때문이다. 일반적으로 마케팅, 재무, 생산관리, 전략수립 등 기업이 수행해야 하는 대부분의 중요 업무들은 소관부서에서 주로 수행한다. 그러나 정보보안은 정보보안 부서에서만 수행해야 하는 업무가 아니고, 기업의 모든 부문과 직원들이 다 참여해야 하는 업무다. 기업의 정보보안 문제를 CIO나 CSO에게만 맡겨 놓아서는 정보보안이 제대로 추진될 수 없다. 기업의 모든 부서들이 정보보안에 참여하도록 하려면 CEO가 일정한 역할을 해야만 한다.
 
특히 전문경영인 중심의 조직에서는 보안에 대한 관심이 소홀해질 수 있다. CEO에 대한 평가가 대부분 당해연도 영업이익을 기준으로 이뤄진다. 이러다 보니 CEO에게는 당해연도의 매출을 올리고 비용을 줄이는 게 무엇보다도 중요하다. 반면 보안 사고는 매달 일어나는 게 아니다. 당해연도에만 보안 사고가 나지 않으면 정보보안 투자를 줄여서 비용을 절감하고 영업이익을 늘릴 수 있다. 특히 단기 실적의 압박을 받는 전문경영인일수록 이런 유혹에 더 쉽게 빠진다. 하지만 대형 정보보안 사고가 터지고 정보보안 책임자나 CEO가 물러난다고 해서 사태가 해결되고 고객 피해까지 사라지는 것은 아니다. 기업이나 조직의 신뢰에 돌이킬 수 없는 피해를 입을 수도 있다. 
 
정보보안을 위한 CEO의 3가지 역할
“보안 문제는 CEO가 직접 챙겨야 할 문제다. CSO나 CIO만의 문제가 아니다. 보안은 IT의 문제로만 봐서는 안 된다는 점도 느꼈다. 어떻게 관리하느냐가 중요하다. 보안만 전담하는 조직을 IT와 별도로 설립하겠다."
 
현대캐피탈 사건이 터진 후 정태영 현대캐피탈 사장은 언론과의 인터뷰에서 이같이 언급했다. 정태영 사장은 첫째, 정보보안의 문제에 CEO가 관여해야 한다고 주장했다. 둘째, 그는 기업의 정보보안을 IT 문제로 봐선 안 되며, 정보보안 부서를 IT 부서와 독립적으로 설치해야 한다는 점을 강조하고 있다. 그렇다면 자금운영과 마케팅 등 수익을 창출하는 핵심 업무에 주력해야 하는 CEO가 어떻게 정보보안 문제를 다뤄야 할까. CEO는 다음의 3가지 원칙에 따라 정보보안 체계를 구축하는 게 바람직하다.
 
1. 정보보안 피해를 제대로 인식하라
CEO는 먼저 정보보안이 제대로 이뤄지지 않으면 어떤 피해가 발생할 수 있는지를 정확하게 파악해야 한다. 대부분의 CEO들은 정보보안의 문제로 인한 피해를 직접적인 재무적 측면의 손실과 피해로 생각한다. 이 때문에 정보보안 문제의 심각성을 제대로 인식하지 못하고 있다. CEO는 정보보안 문제로 인해 다음과 같은 피해가 발생한다는 점을 깨닫고 그 피해 규모를 이해하고 있어야 한다.
 
①직접적 금융사고 비용 가장 먼저 생각할 수 있는 피해는 직접적인 재무적 피해다. 금융회사의 경우 해킹이나 내부직원에 의해 불법 인출되는 금액이 직접적인 피해가 될 수 있다. 일반 회사의 경우 자금횡령 등의 재무적 피해를 입을 수 있다. 최근에는 디도스(DDoS·분산서비스거부) 공격을 하겠다고 기업을 협박하는 사례가 나오고 있다. 기업이 보유한 개인정보를 빼낸 후 이를 미끼로 협박하는 일도 다수 발생하고 있다. 또한 공격을 받은 전산시스템을 정상으로 복구하는 데에도 많은 인력과 투자가 소요된다. 이러한 작업에 투입되는 인건비, 장비 구입비 등도 직접적인 피해금액으로 볼 수 있다. 대부분의 CEO들은 이런 직접적인 비용만을 피해액으로 생각하기 쉽지만 이는 정보보안 문제로 인해 발생하는 전체 피해 중의 작은 일부일 뿐이다. 실제로 2008년 농협중앙회는 서버 해킹으로 인해 중요한 고객정보가 누출됐는데도 직접적인 금융사고 비용이 적다는 이유로 이를 감추기에 급급했다. 이는 대형 사고의 빌미가 됐다.
 
②업무 정지에 따라 발생하는 피해 해킹이나 디도스 등이 발생해 기업 업무가 정지되면 기회비용이 발생한다. 금융기관은 여·수신 업무가 정지될 수 있으며, 제조업은 생산라인이 멈추는 피해가 발생한다. 상업시설은 영업장이 임시 폐쇄될 수 있다. 이렇게 되면 정상적이었다면 벌어들일 수 있었던 수익을 놓치게 되며, 고객들이 다른 기업으로 이탈하거나 잠재 고객을 놓칠 수도 있다. 상당한 기회비용이 발생하게 된다.
 
③고객에게 발생한 피해에 대한 보상 정보보안 사고로 기업의 정상적인 업무에 장애가 발생하면 고객에 대한 정상적인 서비스가 이뤄지지 못한다. 금융기관의 경우 고객이 예금을 인출하지 못하게 된다. 카드 대금을 납부하지 못한 고객은 신용불량이 될 수 있고, 계약금을 지불하지 못한 고객은 위약금을 물어야 한다. 제조업은 제품을 납기에 납품하지 못하게 된다. 기업은 수백만 명에 달하는 고객들에게 발생하는 이러한 피해를 보상해야 한다.
 
④영업 및 사업비밀의 유출에 의한 피해 기업이 가지고 있는 노하우나 영업비밀이 경쟁사에 유출돼 추가 피해가 발생할 수도 있다. 이는 기업의 미래에 큰 영향을 줄 수도 있다. 최근 우리나라 기업의 기술력이 높아짐에 따라 이러한 산업보안 사고 건수가 지속적으로 늘어나고 있다. 국가정보원에 따르면 산업스파이 적발 사례의 피해가능 규모는 수십조 원에 이른다. 게다가 전략적 사업 계획이 사전에 노출될 경우 야심 차게 준비하고 있는 사업이 좌초할 수도 있다.
 
⑤개인정보 유출에 의한 피해 기업이 보유하고 있는 고객 정보가 유출돼 발생하는 피해는 해당 고객에 대한 피싱 사고 등 2차 피해로 이어진다. 개인정보를 유출시킨 기업은 이러한 고객의 피해를 보상해야 할지도 모른다. 특히 최근에 추진되고 있는 집단소송제 등의 제도 변화를 고려할 때 수백만 명의 개인정보 유출이 발생할 경우 피해 금액은 천문학적이 될 수 있고 기업 도산으로 이어질 수도 있다.
 
⑥기업 이미지 훼손에 의한 피해 정보보안 사고에 의한 기업 이미지 훼손이 어쩌면 가장 큰 피해일 수도 있다. 같은 시장에서 여러 기업들이 경쟁하는 시장 경제 체제에서 고객들이 정보보안문제가 터진 기업을 외면하는 것은 당연한 일이다. 지금까지 쌓아왔던 브랜드 이미지가 한순간에 물거품이 될 수도 있다. 실제로 아이템 거래 사이트인 아이템베이(Itembay)는 최근 수년간 지속된 디도스 공격으로 서버 복구 비용과 회사 이미지 실추에 따른 마케팅 비용이 1400억 원에 이른다고 주장했다. 범인이 요구했던 1억 원보다 막대한 피해를 입었다는 것을 알 수 있다.
 
⑦다른 기업의 협업 기피에 따른 피해 기업들은 글로벌 경쟁을 벌이고 있다. 기술의 발전 속도도 빠르다. 이런 변화의 속도에 적응하기 위해서는 많은 비용과 인력 등을 투자해야 한다. 이 때문에 최근 기업 간 협업이 주목을 받고 있다. 협업을 통해 자사의 부족한 역량을 빠르게 보완할 수 있으며, 이는 빠른 시장대응력과 경쟁력으로 이어질 수 있다. 하지만 정보보안 문제가 터진 기업은 협업파트너로서의 신뢰를 잃기 쉽다. 기업의 이미지가 떨어져 협업에 따른 브랜드 이미지의 상승효과도 기대할 수 없는데다 기업정보를 서로 공유해야 하는 협업의 특성상 상대 기업과 공동작업이 어려워질 수도 있다.
 
이렇듯 정보보안 피해는 다양한 측면에서 발생하며 중장기적으로 피해가 지속될 수 있다. 하지만 대다수의 CEO들은 이를 제대로 인식하지 못하고 피해를 가볍게 보는 경향이 있다. 이 결과 정보보안에 대한 투자도 인색하다. 현재 우리나라 기업의 정보보안 예산은 대체로 IT 예산의 2∼3% 정도에 머무르고 있다. 미국의 경우 이 비율은 대략 9∼10%에 이른다. 이는 우리나라 CEO의 정보보안에 대한 인식이 충분하지 않다는 점을 보여준다. 재임기간에 사고가 나지 않기만을 바라고 정보보안 예산을 깎아 단기 실적을 개선하려는 생각이 나오는 이유다. 체계적인 정보보호 대책을 수립하기 위해서는 CEO가 사고 발생으로 인한 예상 피해를 정확하게 인식하는 노력이 선행해야 한다.
 
2. 정보보안 추진 의지를 정책으로 공표하라
CEO가 정보보안의 중요성을 인식한다고 해서 안전한 환경이 보장되는 것은 아니다. 정보보안을 실행하는 구체적인 대책을 대내외에 알리는 노력을 통해 추진의지를 기업 전반에 확산할 필요가 있다. 실제로 현대캐피탈의 사례에서 정태영 CEO는 해킹 공격을 받은 바로 다음날 기자회견을 열고 현재 무슨 일이 일어나고 있으며, 이에 대해 회사가 얼마만큼 파악하고 있는지 밝혔다. 월스트리트저널(WSJ)은 이러한 신속한 발표를 매우 긍정적인 일로 평가했다. 정보보안 정책 공표는 외부의 신뢰를 얻을 수 있다는 점, 정보보안의 목적과 목표를 명확히 한다는 점에서 꼭 필요하다. 비공개적이며 일관성 없는 정보보안 정책은 추가 공격을 불러올 수 있으며 중복이나 땜질식 투자로 막대한 비효율을 초래할 수 있다.
 
정보보호 정책을 수립하면 정보보안과 관련된 내부 다른 부서들과의 마찰을 최소화할 수 있고, 다른 부서와의 적절한 연대를 꾀할 수 있다. 또한 직원들의 책임회피를 막아 정보보안 의무를 위반하거나 소홀히 하는 일을 사전에 방지할 수 있다. 이는 감사나 사후 통제의 기준이 돼 직원들이 법과 사내 규정을 제대로 준수하게 할 수 있다.
 
하지만 경영진이 명확하고 구체적인 정보보안 정책을 제시했다고 해서 모든 직원들이 항상 정책을 따르고 존중할 것으로 생각하면 잘못이다. 이런 정책의 필요성을 이해하지 못하는 직원들은 이를 무시하거나 반발할 수 있다. 일방적으로 지시하는 형태의 정책은 하는 수 없이 해야 하는 귀찮은 업무가 된다. 정보보안이 왜 필요하고 이것이 적절히 이뤄지지 않을 때 어떤 피해가 돌아올 것인지에 대한 설명이 있어야 한다. 이에 대한 홍보와 교육도 필요하다. 정보보안 문제를 관리하고 있는 정보보안 부서에 대한 관리도 필요하다. 보안부서가 일방적인 지시와 규정을 만들고 다른 부서는 이를 무조건 따라야 한다는 식의 인식이 확산되지 않도록 관리해야 한다. 이렇게 되면 정보보안에 대한 조직 내의 인식 부족과 반감이 커질 수 있다. 조직원들은 자칫 형식적인 정보보안업무에 치우치기 쉽다.
 
3. CEO는 정보보안 부서 권한 강화하고 채널을 유지하라
기업이 정보보안을 도입하고 통제하려면 이를 위한 기본적인 경영관리의 틀을 만들어야 한다. 정보보안 통제 방안들은 이러한 경영관리 틀 내에서 효율적으로 운영될 수 있다. 적절한 경영관리 틀이 없는 상황에서 도입된 기술적, 관리적 정보보안 통제 방안들은 허점을 노출할 수 있으며 이는 정보보안의 사각지대가 된다. 각종 위협들은 이러한 취약점들을 파고들어 조직 자산의 손실을 일으킨다. 상황이 악화하면 도입된 기술적, 관리적 정보보안 통제 방안들이 정보보안 기능을 상실한 채 오히려 정상적인 업무를 방해하는 요소가 될 수도 있다.
 
일반적으로 한 조직에는 CEO가 있고 그 산하에 조직 본연의 사업을 수행하는 현업부서와 이를 지원하는 IT 부서가 있다. 이와 별도로 조직 전체의 운영을 감사하는 내부 감사 부문을 갖고 있다. IT 부서는 현업부서와 긴밀한 관련을 가지며 조직 전체의 정보시스템 운영을 책임지고 있다. IT 부서의 부서장은 CIO에게 보고하며, CIO는 IT시스템 구축의 비전을 제시하고 비즈니스 리더 역할을 수행한다.
 
앞서 설명했듯이 전통적으로 정보보안 기능은 IT 부서 안에 있었다. CIO의 주된 관심은 효율적인 IT시스템 구축이며 정보보안 통제는 이러한 CIO의 관심과는 상충하는 것이어서 정보보안 문제는 IT 부서에서 사소하게 다뤄져왔다. 기업 규모가 작은 경우에는 정보보안 부서를 따로 설치할 여력이 없으므로 정보보안 기능을 IT 부서에 두는 게 경제성을 고려할 때 적절하다고 할 수 있다. 그러나 규모가 크거나 정보보안의 필요성이 높은 기업에서는 정보보안 조직 구조도 달라야 한다. IT 부서나 현업 부서와 갈등이 생기기 쉬운 정보보안 업무의 특성을 고려해 정보보안 기능을 IT 부서와 독립적인 조직에 두는 게 바람직하다. 정보보안 부서가 IT 부서나 현업부서들과 독립적으로 존재할수록 실질적이고 장기적인 이익을 가져올 수 있는, 편향되지 않은 정보보안 관리가 가능해진다. 또한 정보보안부서의 장은 조직 내 위계에서 되도록 상층부에 위치하는 게 좋다. 낮은 위치에 있다면 정보보안 역할이 하급자 역할로 왜곡될 수 있기 때문이다.
 
결론
갈수록 교묘해지고 피해 규모도 커지고 있는 정보보안 위협에 효과적으로 대처하기 위해서는 CEO의 인식과 역할 변화가 필요하다. CEO는 정보보안 업무가 사고를 미연에 방지해 기업의 장기적인 영업이익을 늘리는 길이라는 점을 인식해야 한다. 정보보안에 대한 투자도 당해연도의 영업이익을 기준으로 결정해선 안 된다. 5년 또는 10년에 한번 일어날 수 있는 대형 정보보안 사고를 미연에 방지한다는 장기적인 안목과 의지가 필요하다. CEO는 항상 위임한 업무들에 대해 관심을 갖고 있어야 하며 자신이 관심을 갖고 있다는 점을 관련부서에 인식시키는 게 중요하다. 각 중요 업무가 잘 운영되도록 적절한 운영관리 틀을 구축해주는 것도 CEO의 업무라고 할 수 있다. CEO를 대상으로 정보보안 인식과 역할을 알리는 교육과 홍보가 필요하다.
 
김세헌 KAIST 정보보호대학원 교수 shkim@kaist.ac.kr
 
필자는 서울대 물리학과를 졸업하고 미국 스탠퍼드대 경영과학 석사 및 박사 학위를 취득했다. 한국정보보호학회장, 한국경영과학회장을 역임했으며 현재 방송통신위원회 산하 인터넷 정보보안 협의회 회장으로 활동하고 있다.
 
 
효과적인 정보보호를 위한 조직구조
 

<그림 1>은 효과적인 정보보호를 위한 보편적인 조직 구조다. 이 조직 구조에서는 IT 부서와 독립적으로 정보보안 부서가 있으며 이들 간의 역할 분담을 통한 상호 견제가 가능하다. 규모 면에서는 정보보안 부서가 IT 부서보다 훨씬 작지만 두 부서의 수직적인 위치는 동등하게 설정됐다. IT부서장은 경영층에 있는 CIO에게, 정보보안 부서장은 경영층에 있는 CSO에게 보고한다.
 
정보보안은 기업 경영팀의 모든 멤버들이 공유해야 하는 책임이다. 이러한 의미에서 CEO, 내부 감사 책임자, CIO, CSO는 정보보안협의회를 구성하고 정보보안의 명백한 방향과 가시적인 경영층의 지원이 있다는 것을 확인해 기업 내에서 정보보안을 진작시키는 역할을 할 필요가 있다. 정보보안 협의회는 IT 부서와 정보보안 부서 간의 갈등 요소에 대한 기본적인 방향을 제시해 부서 간 마찰을 줄이는 역할도 한다.
 
이 조직구조의 또 한 가지 특징은 현업부서와 IT 부서에 정보보안 담당자들을 임명한다는 점이다. 한 조직의 정보보안은 정보보안 부서 혼자의 노력만으로 이뤄질 수 없다. 정보보안은 기업의 모든 부서와 직원들의 협조를 얻어야만 가능하다. 정보보안 부서장은 업무지휘계통 외부 조직과 밀착해 업무를 수행하는 구조를 만들 필요가 있다. 이러한 조직을 구축하는 한 가지 방안은 각 업무부서에 정보보안 담당자를 임명하는 것이다. 이 정보보안 담당자는 현업부서나 IT 부서에 속한 일반적인 직원이며 정보보안 전문가일 필요는 없다. 정보보안 담당자는 대부분의 시간을 자신이 속한 부서의 일반적인 업무를 수행하는 데 사용한다. 그러나 약간의 시간을 자신이 속한 부서의 정보보안 문제에 할애해 그 부서에서 발생한 바이러스 피해, 해킹 피해, 정보보안 수칙 위반 사항 등과 같은 일상적인 정보보안 상황을 파악하고, 그 부서의 장을 통해 상부로 보고하는 기능을 가진다. 그 부서에서 발생한 정보보안에 관련된 긴급한 사항에 대해서는 정보보안 부서장에게 직접 보고할 수도 있다. 전사 차원의 정보보안 교육은 정보보안 부서가 각 부서 정보보안 담당자를 교육하고, 이들이 다시 소속 부서 사원들을 교육한다. 이 과정에서 정보보안 부서의 지원을 받을 수도 있다. <그림 1>은 정보보안 체계를 위한 하나의 방향을 제시하고 있다. 조직의 규모나 정보보안에 대한 요구사항이 조직마다 다르기 때문에 모든 조직들이 이와 같은 구조를 가질 수는 없다. 조직의 상황에 따라서 이 중의 일부를 취사선택할 수 있을 것이다.
 
 
 
 

인기기사