최고 보안 책임자

2. 배경

최고 보안 책임자는 개발, 구현, 조직의 회사 보안 비전에 대한 관리, 전략과 프로그램에 대해 책임지는 비즈니스 리더로서의 역할을 수행한다. 이들은 위험을 경감시키고, 사고에 대응하며, 재무적, 물리적, 인적 위험에 대한 모든 분야에서 유출될 수 있는 경향을 감소하기 위해 조직에 걸쳐 보안 프로세스를 식별하고, 개발하고, 구현하고 유지하는 일에 대한 직접 명령권자이다. 이들은 지적인 자산에 관련된 적합한 표준과 위험 통제들을 수립하고 자료 보안과 관련된 정책과 절차의 수립과 구현을 명령한다. 정보보호를 우선적으로 책임지는 이들은 직책을 구별짓기 위해서 최고 정보 보호 책임자의 직함을 가지기도 한다.^[1]

최근의 경영환경이 정보 중심으로 급변함에 따라 정보화 문제를 총괄하는 고위직 책임자가 필요하게 되었는데 이를 CIO(최고혁신책임자, chief innovation officer)라 지칭하기도 한다. CIO는 1998년 출판된 <4세대 혁신>이란 책에서 처음으로 언급되었는데, 이 책의 저자 윌리엄 밀러는 기업의 필수 생존조건으로 혁신을 강조하였다. CIO 외에 최고문화책임자(CCO:chief culture officer), 최고지속가능경영책임자(CSO:chief sustainability officer) 등도 새롭게 부상하고 있는 기업 내 새로운 직책이다.^[2] 미국에서는 GE, 애플 등에서 도입했고 대한민국에서는 삼성, 아시아나항공 등에서 이 제도를 도입해 실시하고 있다.

경영 전략에 따른 정보 전략이나 IT 투자 계획 책정 등에 책임을 진다. 정보 시스템 부문의 책임자를 겸하는 경우도 많다. 직무상 보고자는 최고경영책임자(CEO)일 경우가 많지만, 최고재무책임자(CFO)에게 보고하는 경우도 있다. 또한 군사 조직에서는 지휘관에게 보고한다. 최고보안책임자(CSO)나 최고정보책임자(CIO)는 개인 정보를 보호하고, 정보 유출을 막는 책임을 지는 기능을 담당한다. CSO, CIO의 역할은 때때로 정보뿐 아니라, 지식도 취급하는 최고지식책임자(CKO)로 확장되기도 한다.

CIO에 관련된 명확한 자격은 없지만, CIO 역할을 하려면 정보과학, 소프트웨어 공학 등의 지식이 필요하다. 경영에 관한 지식이나 리더십 등의 경험도 요구된다. 하지만 다량의 정보 유출의 문제점이 제기되면서 정보 유출 사고 예방 해법으로 빅데이터 분석을 제안했는데 최근 정보 유출 사고는 정상적인 경로를 통해 이뤄지고 있다면서 사람 행동이나 시스템 변화를 잘 파악하고 있으면 정보 유출을 예방할 수 있다는 견해와 함께 사람과 정보 시스템의 평상시 상황과 특정 이벤트 대상 빅데이터 분석을 실시, 정보 보호 체계에 적용해야 한다는 견해이다.

보안 체계도 서버 등 정보 자산별로 유연하게 적용하여 각종 정보 보호 제품으로 모든 것을 차단하면 비즈니스 효율성이 떨어진다며 빅데이터 분석으로 각종 비즈니스 위험 요인을 사전에 파악, 이를 집중 관리해야 한다고 주장한다. 이렇게 기업 내 정보 유출을 막기 위해 빅데이터 분석 기반 정보 보호 체계가 필요하다는 주장이 제기되면서 최고정보책임자와 최고보안책임자의 업무가 합해져 기업 내 CISO 역할에 대해서도 언급했다. CISO는 가장 먼저 기업 내 비즈니스 환경과 위험 요인을 파악해야 하고 이사회 등 경영진 회의에 자주 참석하는 것이 방안이라고 제안했다.^[3]