금융권 CISO도 올해 꼭 챙겨야하는…

신뢰도 높은 협력 업체 발굴과 준법 강화 등이 올해 전 세계 정보보안책임자의 최대 관심 분야로 선정됐다. 최근 국내에서 발생한 금융권 개인 정보 유출 사고로 정보보안책임자들이 떠안게 된 고민과도 일맥상통한다.


시스코 코리아는 28일 서울 삼성동 아셈타워에서 '2014년 연례 보안 보고서'를 주제로 기자간담회를 열고, 올해 기업 정보보안책임자들이 관심 분야로 '컴플라이언스(Compliance·규정 준수) 관리' '클라우드(Cloud) 보안 강화' '신뢰할 수 있는 협력 업체 개발' '보안 침해 사고 후 정상화 능력' 등을 꼽았다.

시스코는 우선 '컴플라이언스 관리' 수준을 높여야 한다고 말했다. 현행 법과 제도의 기준선만 맞추는 수준에서 벗어나 그 이상 투자가 필요하다는 설명이다.

이번 정보 유출 사태로 파악된 국내 금융권 상황도 마찬가지다. 이제까지 소위 557규정(금융회사 전체 인력의 5% 이상을 IT인력으로 채용, IT인력 중 5% 이상을 보안에 배치, IT예산의 7% 이상을 정보보호에 집행)을 맞추는데 급급했던 것이 사실이다.

시스코는 또 회사 내부 컴퓨터 뿐 아니라 직원 개개인의 전자기기에 대한 관리·감독이 필수적이라고 말했다. 서버 중심의 업무 시스템인 '클라우드'가 정착되면서 사무실 컴퓨터 외 각종 전자기기를 통한 업무가 가능해졌다. 역설적으로 언제 어디서나 보안 공격이 가능하다는 의미다.


이외에도 신뢰할 수 있는 협력 업체를 발굴하고, 보안 공격 가능성에 상시 대비하는 태도 등도 강조했다.

성일용 시스코코리아 부사장은 "정보보안책임자가 회사 곳곳에서 사용되는 기기의 보안 상황을 확실히 꿰고 있어야 한다"고 말했다. 이어 세부적인 보안 관리를 강화하기 위해서는 인력이 절대적으로 부족하다고 덧붙였다.

시스코 보안 보고서에 따르면 올해 전세계적으로 100만명 이상의 보안 전문가가 부족할 것으로 예상된다. 국내 상황도 다르지 않다.

성 부사장은 "기업 네트워크 관련 데이터를 분석하고 이상 징후들을 판단하는 일은 어떤 장비도 할 수 없는 일"이라며 "관련 보안 전문가를 육성하는데 투자해야 한다"고 설명했다.

한편 이날 시스코는 2000년 5월 연례 보안 보고서 작성 이후 올해 전세계 보안 취약점과 위협이 최고 수준에 이르렀다고 말했다. 연 누적 위협 경보는 지난해 10월 기준 전년에 비해 14% 증가했다. 올해 3대 보안 이슈로 '공격 루트 증가' '공격모델 급증 및 정교화' '위협과 솔루션의 복잡화'를 꼽았다.