강은성의 보안 아키텍트 | 사업 지속성과 보안의 역할

딜로이트컨설팅의 보고서 “The new CISO: Leading the strategic security organization”(2016)에서는 CISO의 역할을 전략가, 조언자, 보호자, 기술자로 분류하고, 현재는 주로 보호자(41%), 기술자(33%) 역할을 하지만, 향후에는 전략가(32%), 조언자(35%)로 역할을 바꿔 나가야 한다고 제안한다. 9년 전 자료이고, 최근에는 정보보호 거버넌스에 대한 CISO의 역할이 좀더 강조되긴 하지만, 여전히 의미 있는 주장으로 생각된다.

특히, 보고서에서는 전략가 역할을 사업과 사이버 위험 전략의 연계, 혁신, 보안 위험 관리를 위한 투자로 설명하는데, CISO가 보안 위험을 책임지는 기업의 비즈니스 리더로서 중요하게 수행해야 할 업무가 아닐 수 없다. 하지만, CISO가 전략가, 조언자의 역할에 주력하기 위해서는 최고경영진이 CISO의 역할을 그렇게 인정해 주는 면과 함께 기술적, 실무적 역할을 수행할 수 있는 보안 실무조직이 있어야 한다. CISO의 직급과 역량, 권한이 따라줘야 함은 물론이다.

이러한 역할 분류는 개인정보보호책임자(CPO)의 역할에도 적용될 수 있다. CPO의 역할 역시 전략가 및 조언자와 보호자, 컴플라이언스 담당자(기술자)로 분류할 수 있다. 현재 주로 보호자와 컴플라이언스 담당자의 역할을 한다면, 앞으로는 전략가와 조언자의 역할로 바꿔 나가는 것이 바람직해 보인다. CPO에게도 역할 수행에 필요한 직급과 권한, 조직이 보장되고, CPO 또한 적절한 역량을 갖춰야 한다.