정보보호최고책임자(CISO)는 조직의 보안 체계를 설계하고 운영하는 핵심 역할을 수행합니다.
최근 정보보호최고책임자(Chief Information Security Officer)를 반드시 임원급으로 지정하도록 한 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)」 개정안이 국무회의를 통과하면서, 조직 내에서 정보보호최고책임자의 역할과 책임이 더욱 중요해지고 있습니다. 이는 정보보호가 기업 경영 전반에 영향을 미치는 핵심 요소로 자리잡고 있음을 보여주는 흐름입니다. 정보보호는 기업의 서비스 안정성, 고객 신뢰, 그리고 법적 리스크까지 연결되는 중요한 경영 요소입니다. 이러한 환경에서 CISO는 조직의 보안 체계를 설계하고 운영하는 핵심 역할을 수행합니다. 특히 CISO의 역할은 법률에서 요구하는 책임을 기반으로 시작해, 이를 내부 규정으로 구체화하고 나아가 임직원의 행동 변화를 이끄는 보안문화로 확장되어야 합니다. 이번 포스팅에서는 CISO의 역할과 꼭 알아야 할 법률, 정보보호 규정 수립 방법과 보안문화 정착 전략까지 알아보겠습니다!
CISO의 역할과 꼭 알아야 할 법률은 무엇인가요?
정보보호 최고책임자(CISO)는 기업의 정보보호 업무를 총괄하며, 보안 정책 수립과 운영 전반에 대한 책임을 수행합니다. 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 정보통신서비스 제공자는 정보보호 최고책임자(CISO)를 지정하고, 과학기술정보통신부 장관에게 이를 신고해야 합니다. CISO는 정보보호 계획의 수립·시행·개선을 비롯해, 정보보호 실태와 관행에 대한 정기적인 감사 및 개선, 정보보호 위험의 식별과 평가 및 대응 대책 마련 등의 업무를 담당합니다. 또한 정보보호 교육과 모의훈련을 체계적으로 기획하고 실행함으로써 조직 전반의 보안 수준을 지속적으로 유지·강화하며, CISO가 꼭 알아야 할 법률에는 대표적으로 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’과 ‘개인정보 보호법’이 있습니다.
1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률
정보통신망 이용촉진 및 정보보호 등에 관한 법률은 정보통신서비스 제공자를 대상으로 하여 정보통신망의 이용을 촉진하는 동시에 이용자의 개인정보를 보호하고 안전한 정보통신 환경을 조성하기 위한 목적으로 제정된 법률입니다. 정보통신서비스 제공자는 이용자의 개인정보를 안전하게 관리하기 위해 관리적·기술적 보호조치를 이행해야 하며, 개인정보 유출이나 침해사고 발생 시 관계기관에 즉시 신고할 의무가 있습니다. 또한 개인정보를 수집·이용할 때에는 수집 목적, 항목, 보유 기간 등을 이용자에게 고지하고 동의를 받아야 하며, 일부 법령에서 정한 경우를 제외하고는 원칙적으로 동의 기반으로 처리해야 합니다. 이 법은 개인정보 처리위탁, 제3자 제공, 처리방침 공개 등 개인정보 처리 전 과정에 대한 기준을 규정하고 있으며, 이용자 권리 보장과 투명한 정보 처리를 요구합니다. 더불어 암호화, 접근통제, 침입차단, 접속기록 관리 등 기술적·관리적 보호조치를 통해 정보통신망의 안정성과 개인정보의 안전성을 확보하도록 하고 있습니다.
2. 개인정보 보호법
개인정보 보호법은 모든 개인정보 처리자에게 적용되는 일반법으로, 개인정보의 처리 및 보호를 통해 개인의 자유와 권리 및 존엄과 가치를 보호하는 것을 목적으로 제정된 법률입니다. 개인정보 처리자는 정보주체의 동의를 받아 최소한의 개인정보를 수집·이용해야 하며, 수집 목적, 항목, 보유기간 등을 고지해야 하고 목적 달성 시 지체 없이 파기해야 합니다. 또한 민감정보와 고유식별정보는 법령 근거 또는 별도 동의가 있는 경우에만 처리할 수 있으며, 암호화 등 안전성 확보조치를 이행해야 합니다. 개인정보의 제3자 제공 및 처리위탁 시에는 관련 사항을 고지하고 동의를 받아야 하며, 처리방침 공개 및 이용자 권리 보장 의무도 준수해야 합니다. 아울러 접근통제, 접속기록 관리, 내부관리계획 수립 등 기술적·관리적 보호조치를 통해 개인정보를 안전하게 관리해야 합니다.
CISO는 정보보호 규정 수립 시 어떤 점을 고려해야 하나요?
정보보호 관리체계는 정보통신망의 안전성·신뢰성 확보를 위한 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계이며, IT 확산과 패러다임 변화, 사이버 침해 증가에 대비하는 조직 전반의 체계적인 위험관리 체계를 의미합니다. 정보보호 관리체계를 수립하지 않은 기업은 정보보안 위협에 대해 일시적으로 대응하거나 필요한 영역에서 부분적으로 보안을 수행하게 되며, 동일 위협에 대응방안을 수립하더라도 변형된 유사 위협이 발생할 경우 대응이 어려워질 수 있습니다. 따라서 체계적이고 지속적인 대응을 위한 정보보호 관리체계를 수립해야 합니다. CISO는 정보보호 정책/지침 등 규정 수립 시 조직의 특성과 IT/정보보안 문화와 함께 다음 사항을 고려해야 합니다.
1. 상위조직의 규정 또는 법적 요건을 반영해야 합니다.
해당 조직의 상위조직(지주사, 모회사 등)에서 제시한 정보보호 정책 및 지침과, 조직의 비즈니스와 관련된 법적 요건을 반드시 반영해야 합니다. 특히 개인정보 유출사고와 오남용 사고가 지속적으로 발생함에 따라 관련 법률 및 행정규칙이 계속 강화되고 있으므로, 제·개정되는 법률을 식별하고 이를 내부 정보보호 규정에 반영해야 합니다.
2. 다른 규정에 동일한 내용을 규정하지 않아야 합니다.
예를 들어, 계정 및 패스워드 관리를 서버/네트워크/정보보호 시스템/DB/개인정보처리시스템/응용시스템 보안 지침에 각각 반영하고 있다면 조항의 일부 사항이 개정될 경우 내용을 모두 찾아서 개정해야 합니다. 특정 지침에 기준을 정의하고, 다른 지침에서는 이를 준용하는 형태로 수립해야 합니다.
3. 수행주체와 방법, 주기를 명시해야 합니다.
정보보호 활동에는 정보보호 조직, 현업부서, 개발자, 운영자, 임직원, 협력사 등 다양한 이해관계자가 참여합니다. 따라서 각 조항의 수행 주체를 명확하게 정의해야 책임 추적성을 확보할 수 있으며, 보안 활동의 누락을 방지할 수 있습니다. 또한 수행 방법과 함께 주기(반기/분기/월간/주간/일)를 명확히 정의해야 일회성이 아닌 지속적인 보안 운영이 가능합니다.
4. 정보보호 규정에 대한 승인권자를 지정해야 합니다.
정책서/정책을 제·개정하는 경우 이해관계자(협업부서 및 IT운영부서 등)와 해당 내용을 충분히 협의 검토해야 합니다. 정책의 실효성을 확보하기 위해서는 경영진의 검토와 승인이 필요하며, 정보보호 규정에 따른 승인권자는 조직의 규모, 사규 등을 고려하여 결정하여야 하지만 정책서/정책은 경영진, 지침은 정보보호 최고책임자, 매뉴얼/기준/가이드는 실무부서 팀장이 승인하는 것을 권고합니다.
5. 명확한 표현을 사용해야 합니다.
정보보호 정책 및 지침은 해석은 “~할 수 있다”와 같은 선택적 표현이 아니라 “~하여야 합니다”와 같은 명확한 표현을 사용해야 합니다. 단서 조항은 정보보호 통제에 예외를 허용하는 것으로 최소한으로 부여하여야 하며, 단서 조항이 포함된 통제가 충분히 성숙되면 해당 단서조항은 삭제해야 합니다.
6. 타사의 선진사례가 아닌 현재 수행하고 있는 보안활동을 문서화합니다.
타사의 선진사례를 그대로 적용할 경우 조직의 문화와 업무 절차에 맞지 않아 과도한 요구사항이 될 수 있습니다. 따라서 법률 또는 상위기관에서 요구사항을 벗어나지 않는 범위 내에서 현재의 업무 절차를 문서화해야 합니다. 초기에는 임직원이 충분히 준수할 수 있는 수준으로 수립하고, 점진적으로 강화하는 것이 효과적입니다.
7. 정보보호 감사 결과 및 타사 보안사고 사례를 검토하여 필요 시 개정해야 합니다.
정보보호 감사 결과 다수의 임직원이 규정을 위반하고 있다면, 규정 자체가 과도한지 또는 인식 부족으로 준수되지 않는지 두 가지 측면에서 검토해야 합니다. 규정이 과도하거나 누락된 경우에는 정책을 보완하고 교육을 통해 개선해야 하며, 규정이 있음에도 준수되지 않는 경우에는 인식 제고 활동을 강화해야 합니다. 또한 타사의 침해사고 및 개인정보 유출 사례를 분석하여, 해당 원인을 통제할 수 있는 조항이 규정에 포함되어 있는지 지속적으로 점검하고 반영해야 합니다.
CISO는 사내 보안 문화 정착을 위해 어떤 방법으로 운영해야 하나요?
정보보호 인식 제고는 먼저 조직의 실제 업무와 보안 인식 사이의 차이를 파악하고, 이후 인식 수준을 높일 수 있는 활동을 단계적으로 적용하는 과정입니다. 하지만 보안 인식 수준은 개인의 생각에 영향을 받기 때문에 강제로 유지하기 어렵고, 조직 변화에 따라 쉽게 낮아질 수 있습니다. 보안을 개인의 인식에 맡기는 것이 아니라 조직의 ‘문화’로 정착시켜야 지속적으로 유지하고 관리할 수 있으며, 사내 보안 문화가 자리잡을 수 있도록 운영하는 방법은 다음과 같습니다.
1. 보안 인증, 사고 사례 공유, 정부 주도 점검 대응을 통해 내·외부 보안 경쟁력을 강화하세요.
(1) 보안 인증(ISMS-P / ISO27001 등)
정보통신망법 등에 따라 보안 인증을 의무적으로 취득·유지해야 하는 기업의 경우, 인증 준비 및 사후조치 기간은 정보보호 인식 제고의 좋은 기회가 됩니다. 특히 보안 인증 취득 자체가 경영진의 주요 관심사가 되기 때문에 실무 조직의 저항이 줄어들며, 보안문화 구축의 발판이 될 수 있습니다. 또한 다양한 통제항목을 충족하는 과정에서 구성원들이 참여하게 되어 정보보안에 대한 인식과 현실의 접점이 강화됩니다. 인증 심사에서 발생하는 ‘권고 및 결함 사항’은 기존에 적용이 어려웠던 보안 통제를 도입할 수 있는 계기가 되며, 결과적으로 보안 통제 적용과 인식 개선을 동시에 이끌 수 있습니다.
(2) 보안사고 사례 및 대응방안 전파
언론 기사, 전문가 논평, 수사 결과 등 다양한 보안사고 사례 중 필요한 내용을 선별하여 전파하면 정보보호 인식 유지에 도움이 됩니다. 이때 기업 보호 관점뿐만 아니라 개인의 안전과 관련된 대응방안도 함께 전달해야 구성원의 관심과 참여를 높일 수 있습니다. 예를 들어 랜섬웨어 사례 전파 시 업무 환경뿐 아니라 개인 PC와 스마트폰 보호 방법도 함께 안내하는 것이 효과적입니다. 또한 전파 내용은 간결하게 정리하고, 마지막에 핵심 메시지를 포함해야 구성원의 이해와 실천을 유도할 수 있습니다.
(3) 정부 주도 훈련 및 점검
정부 기관의 모의훈련 및 보안 점검 참여는 실제 공격과 유사한 환경을 경험하게 하여 보안의 중요성을 체감할 수 있는 좋은 기회가 됩니다. 기업이 점검 대상이 되는 경우, 사전 준비 과정에서 정보보안 체계를 정비하고 강화하게 되며, 이 과정에서 구성원의 정보보호 인식 수준이 자연스럽게 향상됩니다.
2. 정보보안 체계와 보안 통제의 목적, 방법, 기대효과 등을 지속적으로 공유하세요.
(1) 업무적 공유(Out-bound)
업무적 공유는 정보보안 부서가 화자가 되어 전사 구성원을 대상으로 정보를 전달하는 방식입니다. 보안 정책 수립 및 시행, 보안 사고 사례 공유 등이 이에 해당합니다. 이때 그룹웨어, 이메일, 메신저, 보안교육 등 다양한 채널을 활용하여 공유 내용을 최대한 노출하는 것이 필요합니다. 또한 구성원의 관심이 높거나 업무 영향이 큰 사안은 공청회 등의 방식으로 공유하는 것이 효과적이며, 이를 통해 향후 저항을 사전에 줄일 수 있습니다. 여러 보안 통제를 공유해야 하는 경우에는 저항이 큰 항목부터 먼저 공유하는 것이 유리하며, 특히 강한 반대 의견을 가진 구성원을 우선 설득하는 것이 효과적입니다. 이러한 과정에서 해당 구성원이 향후 협력자로 전환되는 경우도 있습니다. 또한 업무적 공유는 보안 통제 적용 이전뿐만 아니라 적용 과정과 완료 이후에도 지속적으로 이루어져야 하며, 이를 통해 구성원이 정보보안 체계에 함께 참여하고 있다는 인식을 갖게 할 수 있습니다.
(2) 개인적 공유(In-bound)
개인적 공유는 특정 조직이나 구성원이 제기하는 개별 보안 이슈에 대해 대응하는 방식입니다. 이러한 경우, 해당 조직이나 구성원은 이미 정보보안의 필요성을 인식하고 있을 가능성이 높습니다. 따라서 단순히 통제 기준을 전달하는 데 그치지 않고, 보안 정책을 준수하면서도 안전하게 문제를 해결할 수 있는 방법을 함께 제시해야 합니다. 또한 해결 이후에도 추가적인 이슈 발생 여부를 확인하는 후속 대응이 필요합니다. 이러한 과정을 통해 정보보안 부서는 단순한 통제 조직이 아니라 실무부서와 함께 문제를 해결하는 파트너로 인식될 수 있습니다.
3. 객관적 지표를 수립하고 활용하세요.
(1) 보안 지표 수립 기준
정보보호 인식은 사람의 생각 영역에 존재하지만, 상세한 자료와 기술적 수단을 활용한다면 사람의 생각 영역에 있는 정보보호 인식의 수준을 정량적인 지표로 만들어 낼 수 있습니다.
① 현실적인 보안지표 수집
보안지표는 ‘보안 인식 지표’와 ‘보안 준수 지표’로 구분됩니다. 보안 인식 지표에는 보안교육 이수 여부, 보안 신고 건수, 보안 가이드 요청 등이 포함되며, 보안 준수 지표에는 정책 준수 및 위반 건수 등이 포함됩니다. ‘보안 인식’과 ‘보안 준수’라는 카테고리로 나누어 많은 지표를 수집하는 것이 매우 중요하며, 지표의 다양성과 객관성을 유지하기 위하여 최소 1년 이상 수집하는 것이 필요합니다.
② 보안지표의 정량화 방식
특정 시점을 기준으로 100점을 부여하고, 특정 종점까지 각 보안 지표의 감점 요인과 가점 요인을 반영하여 수치화하는 방식입니다. 이를 통해 ‘보안 인식’과 ‘보안 준수’를 수치로 평가할 수 있습니다.
③ 보안지표 수집 대상
보안지표는 구성원 개인뿐만 아니라 조직 단위까지 포함하여 수집해야 합니다. 구성원 개인의 ‘보안 인식’ 및 ‘보안 준수’를 지표화함과 동시에, 이 구성원이 소속된 팀, 파트 등에 따라 각 조직 별 모든 구성원들에 대한 ‘보안 인식’ 및 ‘보안 준수’ 지표의 합계를 정량적으로 수치화해야 합니다.
(2) 주기적인 누적 관리
① 보안 지표 적용
보안지표 수집대상이 정해지고 각 수집대상에 대한 보안지표가 수집되고 나면, 특정 시점부터는 보안지표를 적용해야 합니다. 즉, 특정 시점을 기준으로 하여 모든 대상에게 기본적으로 100점을 부여한 후 각 보안지표의 감점 요인과 가점 요인을 반영하는 것입니다. 효과적으로 적용하기 위해서는 자동화 시스템이 가장 효과적이나, 여건이 어려운 경우 엑셀 등을 활용하여 관리할 수 있습니다.
② 보안 지표 현황 공유
보안 지표를 적용하기 시작하면 최소한 부서장을 대상으로 각 부서의 보안 지표의 현황을 주기적으로 공유해야 합니다. 이를 통해 부서장은 자신이 관리하는 부서의 보안 수준을 점검하고 개선 활동을 추진할 수 있습니다.
(3) 보안지표의 전사 공개
① 부서별/개인별 순위화
연초부터 연말처럼 특정 시점에서부터 특정 종점까지 정량화된 최종 결과는 점수로 도출되기 때문에 이 점수를 기반으로 부서 및 개인별 순위를 정할 수 있습니다.
② CEO 보고
보안지표와 순위는 보안지표의 수집대상이기도 한 CEO에게 보고해야 하며, 이를 통해 경각심과 중요성을 기업 전 구성원에게 인식시킬 수 있습니다.
③ 보상 및 보완 방안 적용
보안지표의 순위에 따라 상위 순위에 상응하는 보상 및 하위 순위를 보완할 수 있는 방안을 적용해야 합니다. 조직 성과지표와 연계하거나 우수 부서 포상 제도로 운영하는 방식이 효과적일 수 있습니다.
④ 보안지표 기준의 지속적 개선
조직 변화에 따라 매년 지표 기준의 합리성을 검토하고 수정해야하며, 수정된 기준은 전사에 공유해야 더욱 객관적인 보안지표의 기준이 수립될 수 있습니다. 이러한 기준을 기반으로 적용되는 보안지표는 보안문화 형성의 필수 자원으로 활용될 수 있습니다.
올인원 PC보안 서비스 엑소스피어로 안전한 정보보안 체계를 마련해 보세요!
CISO가 정보보안 체계를 정립하고 실제 조직에서 운영하기 위해서는 정책과 문화뿐만 아니라 이를 뒷받침할 수 있는 기술적 기반도 함께 필요합니다. 엑소스피어는 백신과 정보유출예방(DLP) 기능을 포함한 SaaS 기반의 올인원 PC보안 서비스로, 기업 PC보안 점검과 운영까지 효율적으로 지원합니다. 정보보호 규정을 단순한 문서에 그치지 않고 실제 운영 체계로 연결할 수 있도록 지원합니다. 반복적인 보안 활동과 점검을 통해 조직의 보안 수준을 안정적으로 유지하고, 보안 문화를 자연스럽게 정착시킬 수 있는 기반을 제공합니다.
1. 엔드포인트 중심의 통합 보안 기능 제공
엑소스피어는 실시간 및 예약 백신 검사, 랜섬웨어 방어, 악성 URL 차단, PC 보안 점검(OS 패치, 방화벽 설정, 비밀번호 관리 등), IT 자산 정보 수집, USB 통제, 파일 반출 관리, 개인정보 검출 및 암호화, 출력물 보안 등 다양한 기능을 통해 외부 위협 대응과 내부 정보 유출 방지를 동시에 지원합니다.
2. 법적 요구사항을 반영한 보안 통제와 운영 관리
접근통제, 접속기록 관리, 악성코드 대응, 취약점 점검 등 법률에서 요구하는 기술적 보호조치를 실제 운영 환경에서 이행할 수 있도록 설계되어 있습니다. 또한 정책 기반 보안 통제를 PC 단위에서 적용하고 관리할 수 있으며, 관리자 페이지를 통해 보안 점검 결과, 사용자 행위, IT 자산 정보를 통합적으로 확인하여 정보보호 규정에 따른 보안 활동을 실행하고 점검할 수 있습니다.
3. IT 자산 식별부터 취약점 조치까지 이어지는 운영 체계
IT 자산 및 인터넷 접점 자산을 자동으로 식별하고 최신 상태로 관리할 수 있으며, 취약점 점검 결과를 기반으로 조치까지 이어지는 운영 체계를 제공합니다. 또한 엑소스피어 유료 고객을 대상으로 KISA ‘보안 취약점 클리닝 서비스’를 무상으로 제공하여, 취약점 관리의 실행력을 더욱 강화할 수 있습니다. 엑소스피어에서 제공하는 보안 취약점 클리닝 서비스는 PC 내 구버전·취약 소프트웨어를 자동으로 탐지하고, 최신 보안 패치 버전으로 업데이트하거나 삭제할 수 있도록 지원합니다. 주요 기능으로는 프로그램 버전 및 설치 경로를 자동으로 확인하는 자동 탐지 엔진, ‘안전/취약/조치대상’으로 구분해 관리하는 정책 기반 조치, 관리자 개입 없이 수행되는 원격 패치 및 삭제, 그리고 일일 점검 및 조치 현황을 확인할 수 있는 리포트 제공 기능이 있습니다. 해당 기능은 별도의 추가 설치 없이 기존 에이전트에서 활성화할 수 있으며, 추가 비용 없이 이용 가능합니다. 이를 통해 취약점 점검 이후 조치까지 자동으로 이어지는 운영이 가능해지며, 취약점 관리가 일회성 점검이 아닌 지속적인 보안 운영 활동으로 자리잡을 수 있습니다.
4. 데이터 보호 및 사후 추적 체계 지원
‘반출파일 백업’ 부가서비스를 통해 파일 반출 시 원본 데이터를 자동으로 백업하고, 반출 및 다운로드 이력을 체계적으로 관리할 수 있습니다. 이를 통해 데이터 통제와 사후 추적성을 확보할 수 있으며, 정보 유출 사고에 대비하고 보안 정책에서 요구하는 데이터 보호 체계를 실질적으로 운영할 수 있습니다.
5. 보안 인증 대응 지원과 지속 가능한 보안 운영
표준화된 보안 정책과 통합 로그 관리 기능을 통해 ISMS 인증, ISO27001과 같은 보안 인증 대응 항목을 지원합니다. 계정 관리, 권한 관리, 사용자 인증 등 주요 통제 항목을 체계적으로 운영할 수 있으며, 감사 대응에 필요한 자료를 신속하게 확보할 수 있습니다.
결국 보안은 “잘 설계하는 것”과 “실제로 이행되는 것” 사이의 간극을 줄이는 것이 중요하며, 이를 위해서는 정책, 운영, 기술이 유기적으로 함께 작동해야 합니다. 최근 CISO의 임원급 지정 의무화 논의는 정보보호가 더 이상 실무 차원의 문제가 아니라 경영 책임의 영역으로 확장되고 있음을 보여주며, CISO의 역할 역시 단순한 보안 유지에 그치지 않습니다. 법률에서 요구하는 책임을 기반으로 규정을 수립하고, 이를 실행 가능한 운영 체계로 정착시키며, 나아가 조직의 보안 문화로 이어지도록 만드는 것이 핵심입니다.
지금 ‘무료체험 시작하기’를 통해 회원가입을 진행하시면 2주 동안 엑소스피어의 다양한 기능을 자유롭게 체험하실 수 있습니다. 무료체험 기간 중 기능이나 서비스 도입과 관련해 궁금한 점이 있으시다면 언제든지 문의 부탁드립니다. 담당자가 빠르고 친절하게 안내해 드리겠습니다. 감사합니다!