[정보통신신문=박광하기자]
과학기술정보통신부와 한국인터넷진흥원(KISA)이 최근 발간한 '정보보호최고책임자(CISO) 길라잡이 - 중급편' 가이드북.
가이드북은 국내 기업·기관의 CISO를 대상으로 정보보호 체계 구축의 중요성을 설명하고 이를 어떻게 실현해야 하는지를 담고 있다.
가이드북은 기업을 경영하는 데에는 기업의 규모 또는 업종에 상관없이 수많은 위험이 따른다고 말한다.
기업은 수익 창출을 목적으로 하는 조직이기에, 한 기업이 지속 가능한 사업을 영위하기 위해서는 끊임없이 조직을 키우고 더 많은 고객을 유치하여 매출을 늘려 나가는 과정에서 다양한 위험에 직면하게 된다는 것이다.
특히, 기업의 정보기술 환경에서는 정보보호 목표들을 위협하는 다양한 위험 요소들이 있다고 강조하고 있다.
해킹에 의한 정보유출이나 정보의 위·변조, 장애로 인한 서비스 중단 등의 '기술적인 위험' 뿐만 아니라 임직원의 실수나 고의에 의한 유출사고나 장애 등 '운영상의 위험'으로 고객의 피해가 발생하면 민사상의 책임, 법규 위반에 따르는 행정제재 그리고 임직원에 대한 형사처벌과 같은 법적인 위험이 따르게 된다는 설명이다.
피해가 현실화될 때는 대규모 고객 이탈 사태로 인한 매출 감소 및 성장 둔화는 물론, 손해배상 및 소송 등의 과정에서 막대한 대응 비용이 소요되며 사회적 지탄으로 인한 부정적인 평판 확산, 임직원의 사기저하로 인한 근로의욕 감퇴와 같은 다양한 유·무형의 손실들이 발생하게 된다고 가이드북은 지적하고 있다.
이 같은 피해 발생을 막기 위해 존재하는 것이 CISO일터다.
가이드북은 '정보보호 위험관리'에 대해 정보보호의 목표와 이에 수반하는 위험 사이에서 적절한 균형점을 찾아 위험관리의 비중을 조정하는 의사결정 행위이며, 이는 조직 내에서 CISO에게 부여된 중요한 임무 중 하나라는 점을 명확히 하고 있다.
최고경영자(CEO)가 정보보호를 위한 체계적, 기술적 이해가 부족할 경우 CISO는 CEO를 보좌해 정보보호 관련 피해를 예방하고, 정보보호 침해 사건·사고 발생 시 피해를 최소화하는 역할을 해야 한다는 것이다.
아울러 CISO는 기업의 상위 위험관리 프로세스에 관여해 정보보호 위험관리가 기업의 전체적인 의사결정 과정에 적절하게 반영될 수 있도록 CEO를 비롯한 여타 영역의 책임자들과 소통하는 역할과 책임을 부담해야 한다는 점도 밝혔다.
가이드북은 또한 정보보호 관리체계를 구축·운영하는데 실질적인 도움이 되도록 ISMS-P 인증에 대해 상세하게 설명하고 있다. 해당 인증을 통해 높은 수준의 정보보호 관리체계를 갖출 수 있도록 안내하고 있는 것이다.
가이드북을 통해 국내 기업·기관의 정보보호 수준이 향상되기를 기대한다.