대기업, 금융권은 정보보호 투자가 어느 분야보다도 높음에도 불구하고 2011년에 이어 2012년에도 큰 해킹사건들이 발생하고 있다. 전세계에서 발생하는 개인정보 유출사건을 공개하는 홈페이지(datalossDB)에는 2010년 월 60여건이던 것이 2012년 2월에는 2배가 넘는 160여건으로 등록되어 있을 정도로 사고 수 증가와 더불어 규모도 갈수록 대형화되고 있음을 보여주고 있다.
 
이러한 추세에서 해킹의 유형은 지능적인 방식으로 장시간에 걸쳐 매우 치밀한 방법을 사용하는APT(Advanced Persistent Threat) 형태로 공격화 되어가고 있고 금전적 이득을 목적으로 하는 경우가 많아지고 있다. 이는 정보보호에 대한 조치를 과거보다 더 높이고 있다는 반증이기도 함과 동시에 좀 더 노력하여야 한다는 점을 암시하는 것이라고 할 수 있다.
 
백신업체 조사에 따르면, 최근 전세계적으로 하루에만 5만여 개의 신종 악성코드가 등장하고 있다고 한다. 과거에 발생한 악성코드 규모는 바이러스백신 등을 활용해 대응을 할 수 있었지만, 이제는 한계를 넘어서고 있는 상황이다. 더욱이 기업들이 스마트모바일 환경을 도입하면서 사이버 위협이 발생할 수 있는 분야와 영역은 기하급수적으로 확장되고 있어 더더욱 어려운 환경에 처해 있다고 할 수 있다.   

보안사고는 발생하지 않도록 하는 것이 비용효과적인 최선의 방법이지만, 발생하지 않는다고 보장할 수는 없다. 즉 발생할 수도 있음을 항상 전제해야 한다. 피치 못하게 발생이 된다면 이를 군대조직처럼 일사불란하게 신속하고 효율적인 방법으로 해결해야 한다.  
 
사이버상에서 기업이 감당하기 어려울 정도로 위협이 급증하고 있음에도 불구하고 정부는 이용자 보호를 위해 기업에 사회적 책임을 강화하고 있는 추세다. 사고가 발생되면 대처의 정도에 따라 행정벌을 부과함은 물론이고 담당자는 물론 경영층에도 형사처벌을 적용하고 있으며, 민사적 책임까지도 묻고 있다. 이제 경영층에까지 책임을 묻는 환경이 되었기 때문에 과거의 실무선상에서 마무리하는 방식은 바뀌어야만 한다. 따라서 과거의 기술적 대책, 관리적인 대책은 더 이상 경영층까지 참여할 수 있는 수단을 제공하지 못하는 한계를 가지고 있다.
 
◇CISO는 GRC관점에서 접근하는 십자형 인재여야=최고정보보호책임자(CISO)는 과거와는 달리 경영적 관점에서 생각하고 판단하며 행동해야 한다. 이러한 점을 반영해 도입된 방법론이 GRC(Governance, Risk Management, Compliance)이며 CISO는 GRC 관점에서 접근해야 한다.  
 
가장 중요한 CISO란 풍부한 사업수완과 탁월한 커뮤니케이션 능력을 핵심역량으로 GRC 관점에서 접근하는 ‘╋형(십자형)’ 인재여야 한다고 생각한다. 
 
상향은 거버넌스 추진자다. 기업의 전략목표와 연계하고 경영활동에 도움이 될 수 있도록 과도한 규제가 아닌 최적의 투자를 통해 가치를 전달하는 것이다. 가령 경영에 어느 정도 도움이 되는지 성과측정을 도입하고 이를 토대로 경영적 판단을 할 수 있도록 하는 것이다. 더불어 법적인 준거성(Compliance)을 확보함으로써 경영층을 보호해 비즈니스가 연속될 수 있도록 해야 한다.  
 
좌측은 내부 협력자다. 정보보호는 전사적인 문제기 때문에 서로 참여하는 문화를 조성하고 항상 사업 추진에 최대한 도움이 될 수 있도록 요구사항 수렴을 통해 조화롭게 문제가 해결될 수 있도록 협력하는 것이 중요하다.  
 
우측은 대외적인 네트워커다. 관련 정부, 연구기관, 유사기관 등과 사고 나기 전에는 각종정책 수립에 참여해 협업하면서 정책을 공유하고 입장을 전달하도록 한다. 또 사고가 발생할 경우 협력을 통해 초등대응을 최적으로 수행함으로써 리스크를 최소화해야 한다.  
 
아래로는 코디네이터다. 조직을 경영하고 프레임워크에 기반한 정보보호 활동을 추진할 수 있도록 환경을 조성한다. 즐겁게 일할 수 있도록 의견을 존중하며 조화롭게 통합함으로써 조직에 따른 시너지를 극대화하는 것이다. 더불어 위험을 상시 측정하고 이를 관리하는 것이다.  
 
정보보호 및 개인정보보호를 위해서는 이러한 ╋자형 인재가 핵심이 되어 전사적인 노력을 경주하는 것이 현재의 기술적, 관리적 수준을 한단계 넘어서 거버넌스 체계로 진입할 수 있는 진일보한 환경이 되는 것이라고 생각한다.
 
[글. 이강신 건국대학교 정보통신대학원 겸임교수]