“권한 없고 책임 많은 CISO·CPO…근본 해결책 필요해”

bet38 아바타


CONCERT 조사 “CISO·CPO, CISO 지휘체계 아래 있어 독립적 의사결정 어려워

ISMS-P 현실적 개선 필요…CONCERT, 개선 사항 조사해 보고서 발간 예정


[데이터넷] 사이버 보안의 중요성이 높아지면서, 최고 정보보호 책임자(CISO)와 개인정보보호책임자(CPO)의 위상 제고가 시급해지고 있다. 한국침해사고대응팀협의회(CONCERT)의 ‘기업 정보보호 이슈 전망 2024(CONCERT FORECAST 2024)’ 보고서에서 회원을 대상으로 정책당국에 바라는 내용을 조사한 결과, 많은 회원사에서 ‘CISO와 CPO가 권한이 없고 책임만 지는 직책’이 되고 있다며 현실적인 대안 마련이 필요하다고 밝혔다.

일정 규모 이상 조직은 반드시 정보보호와 개인정보 보호를 책임지는 CISO와 CPO를 임원급으로 두도록 의무화하고 있으나, 많은 조직이 직책만 CISO·CPO일 뿐, 권한과 책임이 무의미한 곳이 많다. 정보보안 조직이 개발부서 산하에 있거나, CISO·정보보안 티장의 평가자를 CIO·CTO 등 개발조직 리더로 지정한 경우가 많다. 이는 실무에서 제대로 보안 정책을 적용하기 어렵게 하는 큰 요인이 되고, 정보보안 예산이나 인력 충원 시 가장 큰 걸림돌이 되고 있다.

보고서에서는 정보보호·개인정보보호 조직을 독립적인 조직으로 운영하도록 정책적으로 규정하고, 자격요건을 개선해야 한다고 주장했다.

더불어 ISMS-P 인증심사 운영 개선이 필요하다는 목소리도 높다. ISMS-P 인증심사를 준비하는데 많은 시간과 인력이 투입되는데, 인증규격에 없는 항목에 대한 결함을 지적하거나, 인증심사원마다 다른 견해로 인해 비합리적인 결과로 이어질 수 있다는 불만이 높다.

이에 CONCERT 사무국에서는 인증심사 과정에서 발생하는 다양한 이유의 결함 지적과 개선 조치에 대한 의견을 수렴해 ‘비즈 니드 리포트(BizNeed Report)’로 공유할 예정이다. 또한 인증심사 작업이 향후에도 계속 이어질 것임을 감안, 정리한 실 사례들이 법령 개정 및 기술·환경 변화속에서 살아있는 컨텐츠로 지속적으로 업데이트 될 수 있도록 ‘위키’ 형태로 발간해 회원사 여러분들의 집단지성의 장으로 삼을 계획이다.

AI 보안·제로 트러스트 관심 많아

한편 올해 계획중인 보안 사업으로, AI 보안과 제로 트러스트를 꼽았으며, 고민중인 것으로 클라우드 보안과 위협 인텔리전스·다크웹 대응 등을 선정했다. AI는 최근 몇 년간 이슈가 되어 왔지만 최근에는 ChatGPT를 비롯한 생성형 AI의 등장으로 다수의 기업에서 대응에 더욱 많은 신경을 써야 하는 상황이 됐고, 특히 민간분야에서 오랜 시간 언급되고 있음에 비해 큰 진전이 없던 제로 트러스트가 올해 도약을 점칠 수 있는 여러 단서들을 보이고 있어 주목된다.

심상현 CONCERT 사무국장은 “이번 보고서는 보안전문가이기에 앞서 보안을 소속기업에서 담당하는 ‘직장인’ 대상의 설문을 토대로 한, 그래서 옳고 그름을 논할 수 없는 ‘현상’을 담고 있는 보고서”라며 “매년 그렇듯 여기에 담겨 있는 고민이 공급자와 사용자 모두에게 상생을 위한 많은 힌트들을 제공할 수 있기를 바란다”고 강조했다.

저작권자 © 데이터넷 무단전재 및 재배포 금지

Tagged in :

bet38 아바타

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다