[뉴스토마토 류석기자] "제가 오라클 최고보안책임자(CSO)에 올랐을 때 스스로 의아했습니다. 저 말고도 보안에 대한 경력과 경험이 풍부한 사람들이 오라클에 많았기 때문입니다. 왜 저를 CSO로 선임했냐는 물음에 오라클 대표는 '당신처럼 목소리 크고 화를 낼 줄 아는 사람이 최고정보보호책임자(CISO)를 해야 한다'라고 답했습니다"

 

메리 앤 데이비슨(Mary Ann Davidson) 오라클 최고보안책임자(CSO)는 12일 서울 여의도 콘래드 호텔에서 국내 CISO들을 대상으로 한 '새로운 디지털 경제시대의 IT 보안전략'이라는 주제의 기조 발표를 통해 이 같이 말했다. 많은 기업들이 CISO나 CSO를 기업 내부에 두고 있기는 하지만 실질적으로 기업의 보안 정책에 큰 영향력을 행사하는 보안담당자는 몇 없는 현실을 꼬집은 것이다.

 

 

국내 기업들에서도 정보보호에 대한 관심이 높아지면서, 기업 내부에 CISO나 CSO같은 직책을 신설하는 사례가 많아졌다. 최근 잇따라 벌어졌던 정보유출 사고를 교훈 삼아 기업의 보안을 강화하기 위한 전략 중 하나로 '실질적인' 보안전문가를 기업 내부에 두기로 한 것이다. 지난 8월 스탠다드차타드 은행이 김홍선 전 안랩(053800) 대표를 CISO로 영입한 사례와 신수정 전 인포섹 대표가 KT(030200)의 CISO로 옮겨간 것이 대표적이다.

 

하지만 많은 보안업계 전문가들은 이러한 기업들과 금융권 몇몇 업체를 제외하고는 기업 내부에서 큰 목소리를 낼 수 있는 CISO는 국내에 아직 없는 것이 현실이라고 지적한다. 기업 보안을 강화하기 위해서는 회사 보안 인프라 구축 예산을 조정할 수 있는 권한이 주어져야 하지만 아직까지 CISO가 CIO의 지시를 따르거나, 실질적인 보안 정책에 대한 결정권이 CISO가 아닌 CIO에게 있는 경우가 많기 때문이다.

 

메리 앤 데이비슨 CSO는 보안사고가 발생하면 CISO에게만 무거운 책임을 지우는 것에 대해서도 지적했다.

 

그는 자신이 알고 있던 CISO의 사례를 예로 들었다. CISO가 기업 보안에 대한 구체적인 계획도 수립하고, 보안 사고에 대한 예측도 정확하게 하고 있었지만, 기업 차원에서 보안 인프라에 대한 지원을 충분히 하지 않아, 응당 해야 할 조치를 취하지 못해서 정보유출 사고가 발생했음에도 그 CISO가 해고 당했다는 얘기였다.

 

메리 앤 데이비슨 CSO는 "많은 기업들이 CISO가 필요하다는 것은 알고 있고, CISO 직책을 두고 있지만 CISO가 왜 중요하고, 왜 목소리를 경청해야 하는지는 잘 이해하고 있지 못한 것 같다"라며 "CISO가 회사에 없는 것도 문제지만, CISO가 있으면서도 귀를 귀울이지 않는 것은 더 문제"라고 강조했다.

 

한편, 오라클은 올해 들어 국내에서 보안 관련 사업을 대폭 강화하고 있다. 지난 8월에는 '데이터 보안을 위한 실전 전략 및 사례 발표' 세미나를 개최하기도 했다. 또 오라클은 해커가 애플리케이션 메모리에 부적절하게 접근하는 것을 불가능하게 만드는 기능을 하나의 보안 칩으로 구현한 'M7'을 곧 출시할 예정이다.