[강은성의 CISO 스토리]보안 컴플라이언스(1)


주요한 직책을 맡게 되면 맨 처음 업무 보고를 통해 각 부서의 업무를 파악하게 된다. 정보보호최고책임자(CISO)나 개인정보보호책임자(CPO)도 마찬가지다. 하지만 보안팀이나 개인정보보호팀이 별도로 조직되어 있지 않은 경우에는 관련 업무가 여러 팀에 흩어져 있어서 일목요연하게 정리되어 있지 않는 경우가 종종 있다. 보안팀이 있다 하더라도 IT운영부서에서 네트워크 보안장비 운영 등 다른 부서에서 보안 업무를 하는 회사들도 많이 있다.

그럴 경우를 대비해 CISO가 자신의 핵심적인 업무 영역을 사전에 갖고 있는 것이 좋다. 나 역시 CISO와 CPO로서 일하면서 내 업무 영역을 어떤 식으로 분류하는 것이 업무를 효율적으로 관리하고, 경영진과 소통하기 좋으며, 타 부서와 협업하는 데 도움이 될지 많이 생각했다. 그 결과 나는 보안업무를 크게 ▲중요 자산 보호 ▲규제 대응 ▲위기 관리로 분류한다.

카드사태 여파로 개인정보보호 규제가 강화되는 사회적 분위기도 있고 해서 이번에는 규제 대응에 쓸까 한다.

먼저 용어부터 정리해야겠다. 보통 규제 대응 대신 컴플라이언스(Compliance)라는 말을 많이 쓴다. 법과 (행정) 규제를 준수한다는 말이다. 금융회사에 있는 준법관리인 또는 준법지원부의 핵심 업무가 바로 다른 부서가 법을 지키는지 감시, 감독하는 것이다. 비슷해 보이지만 법무부서는 다른 부서에서 특정 사안이 법에 저촉되는지 문의하면 그에 대해 답변을 주는 서비스적 성격이 있다.

보안부서의 규제 대응은 이와 조금 다르다. 보안부서는 법과 규제를 반영하는 보안정책이나 지침을 만들어 사업부서, 개발부서, IT부서, 스탭부서 들이 이것을 기반으로 업무를 추진할 수 있게 한다. 어떤 사업을 하려고 하는데, 특정 시기에 여러 이유로 규제를 지키지 못하는 상황이 발생할 수 있는데, 이에 대해 준법관리부서, 법무부서, 보안부서의 답변은 다를 수도 있다. 보안부서는 사업에 반드시 필요하고 보안 컴플라이언스 이슈가 일시적이고 제한적이라 한다면 실질적인 보안취약점의 심각도와 영향수준을 평가하여, 그것을 최소화하는 방향에서 사업을 진행할 수 있도록 지원하기도 한다.

형사처벌과 과징금 등 이용자의 개인정보 관리 책임을 다하지 못했을 경우의 기업에 대한 처벌조항을 크게 강화한 2008년 6월 정보통신망법 개정, 사회적 상황과 맞물린 2011년 3월 개인정보보호법 제정, 같은 해 전자금융감독규정의 개정 등으로 금융, 공공, 민간영역 모두 기업의 법적 리스크가 크게 증가하게 되면서 CISO들이 법에 크게 관심을 가질 수밖에 없는 환경이 되었다.

그리고 주민번호를 수집, 이용을 제한하고 기존 보유하고 있는 주민번호를 폐기하도록 한 2012년의 정보통신망법 개정은 기업에서 주민번호를 중심으로 운영되어 오던 IT 인프라를 크게 바꾸는 계기가 되었다. 규제 변화로 인해 업무 흐름과 IT 시스템의 큰 변화가 올 수도 있다는 점을 실제 경험하게 된 것이다.

우리가 흔히 규제라고 하면 떠 오르는 것은 ‘법적 규제’다. 여기에는 법과 시행령, 시행규칙뿐 ‘고시’까지 포함시켜서 보는 것이 필요하다. 일반적으로 법원에서 판결할 때 행정부에서 만든 고시는 ‘참고’만 한다고 하지만, 보안 분야처럼 고시가 상세하게 규정되어 있는 상황에서는 꼭 그렇지만은 않다. 특히 수사기관에서 기업이 개인정보 보호조치를 제대로 시행했는지 수사할 경우 고시 위반 여부를 상세하게 들여다 보므로, 보안 관련 고시는 아예 법으로 간주하고 지키는 것이 좋다. 좀더 적극적으로 대응한다면 개인정보보호인증제(PIPL), 정보보호관리체계(ISMS), 개인정보보관리체계(PIMS) 등 정부가 주관하는 보안 인증제의 세부 점검사항을 법적 규제로 간주하고 대응하는 것도 좋은 방법이다.

법을 손쉽게 찾아 보기 좋은 곳으로는 ‘국가법령정보센터’(http://www.law.go.kr/)를 추천한다. 법과 시행령, 시행규칙을 찾을 수 있고, 이 세 가지를 한 눈에 볼 수 있도록 3단비교를 제공한다. 행정규칙 메뉴를 통해서 관련 행정기관의 고시나 지침, 규칙, 훈령, 해설서까지 찾아 볼 수 있어서 법과 관련한 대부분의 일은 여기서 다 해결된다고 해도 과언이 아니다.

또한 ‘자체 규제’가 있다. 기업 내의 사규나 보안정책을 말한다. 그룹사의 경우에는 그룹에서 제정한 보안정책이 있다면 그것 역시 규제의 하나로 고려해야 한다. 법적 규제에서 이러한 정책과 지침을 수립할 것을 규정하고 있기도 하고, 실제 기업 내에서 보안업무를 수행하거나 보안 이슈가 발생하여 대응할 때에 매우 중요하므로 신중하게 만들어서 자체 규제로서 충실하게 지키는 것이 좋다.

규제 대응에서 빠뜨리기 쉬운 것이 ‘사회적 규제’다. 보안 분야에는 시민단체들이 별로 없어서 큰 영향은 없었지만 사건, 사고가 발생했을 때 시민단체의 참여나 국민들의 다수 여론으로 인해 기업이 직접적인 영향을 받기도 하고, 여론에 따라 국회나 행정기관이 나서서 ‘법적 규제’가 생기기도 한다. CISO가 사회적으로 발생하는 주요 보안 사건에도 관심을 가져야 할 이유다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.






포토뉴스