이번에 쓴 『
CxO가 알아야 할 정보보안』(한빛미디어, 2015)은 기업의 보안 위험을 인식하고 최소화하기 위해 CEO를 비롯한 기업의 최고경영층(CxO)과 임원, 그리고 정보보호최고책임자(CISO), 개인정보보호책임자(CPO), 정보보안팀장 등 기업의 정보보호책임자가 해야 할 일을 쓴 책입니다.
2013-2014년에 금융권, 통신사, 공기업에서 대규모 정보보안 사고가 터지면서 정보보안이 기업에 미치는 영향이 이전과는 질적으로 달라졌습니다. 정보보안 사고가 평판 위험, 법규 위험, 재무 위험 등으로 이어지면서 기업 경영에 큰 위험으로 떠오른 것입니다. 보안사고가 터지고 난 뒤 CEO나 고위 임원이 사임한 것 역시 특징 중 하나입니다. 기업의 이러한 보안 위험에 기업 임원들이 어떻게 대응해야 할지 이 책을 통해 해답을 찾기를 바라고, 정보보호 전략의 큰 그림부터 구체적인 업무의 핵심 관리 포인트까지 정리하고자 했습니다.
이 책을 기획하면서 알고 지내던 CISO들을 만나서 책에 넣었으면 하는 주요 항목을 들었고, 책의 초안을 쓴 다음에 다시 의견을 들었습니다. 개인의 이름을 쓰지 않아서 그렇지 다른 CISO들의 의견이나 경험을 포함해서 쓴 것도 있습니다. 책은 개인이 썼지만 집단 지성의 소산이라고 서문에 쓴 이유입니다.
책을 쓰면서 가트너, IDC, 포레스트 등 조사업체 자료, 논문, 국제 표준, 기사, 전문가의 발표 자료 등을 찾으면서 저 또한 많은 공부를 했습니다. 법에 관한 꼭지를 쓰기 위해서 관련 법, 시행령, 시행규칙, 고시뿐 아니라 해설서, 안내서 등을 샅샅이 찾아 공부하고 주요한 법원의 판단, 판례 등도 들여다봐서 법에 가까워진 것이 개인적으로는 가장 큰 소득입니다. 법을 쉽고 명확하게 설명해 줘서 고맙다는 독자를 만날 때는 보람을 느낍니다.
위기관리에 관해서는 그동안의 직간접적인 경험을 체계화하여 독자가 활용할 수 있게 하려고 고민을 많이 했습니다. 위기관리가 위기가 발생한 뒤 커뮤니케이션 중심의 위기 후 업무에 초점이 맞춰 있는 현 상황에서 위기 전 업무까지 넓힘으로써 위기 발생을 줄이고 위기 발생 시 그 영향을 최소화하는 데 도움이 되면 좋겠습니다.
책을 기획한 지 1년 만에 발간했는데, 다시 읽어 보니 좀 더 보완했으면 하는 사항이 곳곳에 보입니다. 다음 책의 아이디어를 주시는 분도 계십니다. 독자 여러분도 의견을 주시면 감사하게 받겠습니다.
이 책의 집필 의도앞에서 기업의 CxO를 위해 이 책을 썼다고 이미 집필 의도를 말씀드렸습니다. 기대를 한 가지 더 말씀드린다면 IT나 컴퓨터, 네트워크 분야로 분류된 보안 서적이 앞으로 경제ㆍ경영 서적으로 분류되었으면 하는 것입니다.
정보보안과 관련된 책은 주로 기술 서적입니다. 제가 이전에 썼던 『IT 시큐리티』(한울, 2009) 역시 기술적인 내용이 주였습니다. 그런데 기업에서 보안책임자로 일하다 보니 기업에서 정보보호 업무를 제대로 하기 위해서는 기업의 경영진이 보안을 기업 경영의 일부로 인식하고 추진하는 것이 필수라는 것을 알게 되었습니다. 기업의 임원들이 읽을 수 있도록 경제ㆍ경영 서적으로 분류될 수 있는 보안 서적이 많이 나오면 좋겠습니다.
저자가 말하는 편집자 이야기원래 이 책은
이라는 개념으로 기획했습니다. CISO가 가볍게 읽고 필요할 때 찾아보기 쉬운 책을 쓰려고 한 것이지요. 당연히 내용은 체계적이면서 간략하게 쓰려고 했는데, 처음 출판사 쪽을 만나 원고의 일부를 보여 주니 지금과 같은 칼럼 형식으로 쓰면서 장별 요약이 있어서 전체를 조망할 수 있으면 좋겠다는 의견을 줬습니다. 내용도 위기관리 쪽을 강조해 주면 최근 분위기에서 독자가 좀 더 관심이 있을 거라는 의견도 있었습니다. 그 부분에 공감하여 지금과 같은 책이 나왔습니다. 편집자의 통찰력이 힘을 발휘한 부분이라 생각합니다.
이 책에서 제가 개인정보와 보안 관련된 법을 많이 다뤘는데요. 2014년 초의 대규모 개인정보 유출사고에 사회적인 비난이 쏟아지면서 이후 법규들이 많이 계속 바뀌고 있어서 애를 많이 먹었습니다. 그동안 관련 법규에 관심이 있었고 정기적으로 쓰던 칼럼에서도 종종 다뤘으므로 살펴보다가 시행일이 지나면 원고를 보완하곤 했는데, 제가 놓친 게 있었습니다. 바로 세월호 참사 때문에 안전행정부의 이름이 행정자치부로 바뀐 것이었습니다. 편집자가 책을 보면서 이걸 찾아내 줘서 고마웠습니다. 이 책에 각주가 꽤 있는데, 하나하나 다 찾아봤더군요. 한 사이트가 제가 찾아봤을 때와는 달리 로그인 창이 생긴 것도 찾아줘서 각주에서 URL을 삭제했습니다. 덕분에 책의 완성도가 많이 높아졌습니다. 생소한 분야의 책들도 꼼꼼하게 살펴봐야 하는 직업이 쉽지 않을 것 같습니다.
정지연 과장님, 김창수 팀장님 고생 많이 하셨습니다.
저자가 뽑은 이 책의 한 문장(내용)
요즘 제가 정보보호 관련 교육이나 콘퍼런스에 가면 축구 경기에 빗대 기업 경영에서 보안의 역할을 설명하곤 합니다. 2014년 월드컵에서 초라한 성적을 올렸던 국가대표 축구팀이 아시안컵에서 좋은 경기력을 보이며 준우승까지 한 중심에는 독일 국가대표의 명수비수 출신인 슈틸리케 감독이 있습니다. 그는 감독으로 부임하여 수비를 강조, 강화하였고, 결국 아시안컵에서 좋은 성적을 올렸습니다. 기업에서는 영업, 마케팅과 같이 기업의 매출을 올리는 조직을 공격수라면 재무, 경영지원, 보안과 같이 기업의 위험을 관리하는 조직을 수비수라 할 수 있습니다. 기업 경영을 조금만 알고 있다면 기업에서 수비의 중요성을 충분히 이해할 것입니다. 그래서 이 책에서 저는 이렇게 정리했습니다.
"정보보호책임자의 임무를 "기업의 경영목표 달성을 위한 전사 정보보호 전략의 수립과 실행"이라고 정의한다. 경영목표를 달성하기 위해 회사와 사업의 보안 위험을 줄이는 게 핵심적인 업무다."
보안위험이 기업의 전사적 위험이 된 경영 환경에 대처해 나가려면 하루빨리 정보보호책임자가 기업의 안정적 성장을 위한 비즈니스 리더로 인정받고 자리 잡아야 한다고 생각합니다.
이 책에서 못다한 이야기
우리 사회에 개인정보 유출이나 전산망 장애와 같은 보안사고가 발생할 때마다 해당 기업에 대한 사용자들의 비난이 들끓습니다. 기업의 법적 책임과 처벌을 강화하는 법 개정이 이뤄지기도 합니다. 보안업계나 학계에서는 기업과 정부가 그럼에도 예산을 적게 잡았다고 비판합니다. 일리가 있는 주장입니다. 하지만 그러한 법 개정이 실제로 기업의 보안을 강화하는 데 이바지하는지, 보안제품은 보안 문제를 실제 해결하는 데 도움이 되는지 살펴볼 필요가 있습니다. 좀 더 차분하게 기업의 정보보호 수준이 높아질 수 있는 실질적인 방안이 무엇인지, 그러기 위해 현 법 체계가 어떻게 바뀌어야 하는지 중지를 모아야 할 때가 아닌가 싶습니다.
고맙습니다.
저자: CISO Lab 강은성 대표