2018.05.31

숫자로 보는 '2018년 IT보안의 현 주소'

Josh Fruhlinger | CIO

매해 <CIO>에서는 ‘CIO 현황(State of the CIO)’ 설문조사를 한다. 올해에도 어김없이 조사 결과가 나왔다. 이러한 결과는 오늘날 비즈니스 환경에서 CIO의 역할이 어떻게 발전하고 있으며, 2018년 어젠다는 무엇인지를 알려 준다.

이 설문조사는 다양한 범주의 주제에 대한 의견을 물었는데, 이 기사에서는 그 가운데서도 보안이라는 한 가지 주제에 집중해 보려 한다. 갈수록 데이터 유출 사고에 따르는 비용은 늘어나고, 정보보안이 기업 기술 전략의 핵심이 되어 가는 세태를 반영해서다. 조사에는 큰 그림을 그리는 질문들부터 (과연 IT보안 책임자는 누구고, 이들은 누구의 밑에서 일하며 보고 하는가?) 사소하고 구체적인 질문들까지(보안 예상의 규모는 어느 정도인가?) 다양하게 포함되었다.

->2018 CIO 현황 보고서 | IT-현업의 정렬, 마침내 현실화되다

구체적인 숫자로 조사 결과를 살펴보자.

책임자는 누구인가?


회사가 어떤 사업 분야를 얼마나 중요하게 다루는가를 아는 가장 좋은 방법의 하나는 그 사업을 이끌고 책임질 자리에 얼마나 중요한 사람을 앉혀 놓았는지 보는 것이다. 최고 보안 책임자(CSO), 최고 정보보안 책임자(CISO) 등, 공식적인 직책은 워낙 여러 가지가 있어서 헷갈릴 수 있다. 이들의 직무 요강도 기업에 따라 조금씩 달라질 수 있다. 보통은 CSO가 정보보안과 함께 좀 더 물리적 보안에 대한 책임을 많이 지게 된다.

이렇기 때문에, <CIO>가 설문조사 한 기업들 간에도 조금씩 차이가 있었다. 응답 기업의 25%는 CISO가 있었고, 11%는 CSO가 있었으며, 17%는 다른 명칭의 최고 보안 관리자가 존재했다. 그리고 거의 절반에 가까운 나머지는 보안을 전문으로 책임지고 관리하는 임원이 하나도 없는 상태였다. 

책임자의 책임자는 누구인가?


물론, 사내 정치를 조금이라도 경험해 본 사람은 알겠지만 기업 내 영향력은 조직도에서 누구의 직속 부하로 있는가를 통해 알 수 있는 경우가 많다. <CIO>는 CISO와 CSO가 모두 있는 기업들에게 이들의 직속 상사가 누구인가를 물어보았다. 그 결과를 보면 두 직무의 차이가 조금 더 극명해진다.

CSO가 있는 기관 중 절반 정도는 CEO나 COO에게 보고하는 것으로 나타났으며, 1/4은 기업의 최고 CIO에게 보고하고 있었다. CISO의 경우 이러한 위계가 완전히 반대였다. CISO의 절반가량은 최고 CIO에게 보고했고, 1/4은 그 외 상사에게 보고하는 것으로 나타났다. 이렇게 보면 적어도 현재로서는 CSO가 좀 더 영향력 있는 포지션이라고 결론 내릴 수 있겠다(물론 두 직무 모두 부서 CIO나 CFO와 같은 상사에게 보고하는 경우도 있었다. CFO에게 보고하는 경우는 아마도 손실 방지가 CFO의 직무 범위에 포함된 여파로 추정된다).

앞으로의 계획은?


가장 효율적인 보안을 위해서는 처음 전략 구상 단계부터 보안을 염두에 두고 시작해야 한다. 사실 대부분 IT임원들이 이 사실을 알고 있다. 조사 대상 기업들에게 IT보안 전략과 전반적 IT전략 간 통합 정도에 관해 물었을 때, 이들 중 절반 이상(54%)은 “긴밀하게 통합되어 있다”고 답했다. 이는 “IT보안 전략은 기업의 전반적 IT전략과 로드맵의 핵심적 부분으로 기능하고 있다”는 것을 의미한다. 그리고 10%가량은 자사의 “IT보안 관련 투자는 기존의 IT보안 관련 문제나 사건에 대응하는 방식으로 이뤄지고 있다”고 답했다.

조사에 답한 IT리더들도 이 정도로는 부족하다는 것을 알고 있었다. 앞으로 3년 이내에 IT전략과 IT보안 전략의 통합이 어느 정도까지 진척될 것이라 보느냐는 질문에는 82%가 ‘긴밀하게 통합될 것’이라고 답했고, 통합되지 않을 것이라고 답한 비율은 2%에 그쳤다.




2018.05.31

숫자로 보는 '2018년 IT보안의 현 주소'

Josh Fruhlinger | CIO

매해 <CIO>에서는 ‘CIO 현황(State of the CIO)’ 설문조사를 한다. 올해에도 어김없이 조사 결과가 나왔다. 이러한 결과는 오늘날 비즈니스 환경에서 CIO의 역할이 어떻게 발전하고 있으며, 2018년 어젠다는 무엇인지를 알려 준다.

이 설문조사는 다양한 범주의 주제에 대한 의견을 물었는데, 이 기사에서는 그 가운데서도 보안이라는 한 가지 주제에 집중해 보려 한다. 갈수록 데이터 유출 사고에 따르는 비용은 늘어나고, 정보보안이 기업 기술 전략의 핵심이 되어 가는 세태를 반영해서다. 조사에는 큰 그림을 그리는 질문들부터 (과연 IT보안 책임자는 누구고, 이들은 누구의 밑에서 일하며 보고 하는가?) 사소하고 구체적인 질문들까지(보안 예상의 규모는 어느 정도인가?) 다양하게 포함되었다.

->2018 CIO 현황 보고서 | IT-현업의 정렬, 마침내 현실화되다

구체적인 숫자로 조사 결과를 살펴보자.

책임자는 누구인가?


회사가 어떤 사업 분야를 얼마나 중요하게 다루는가를 아는 가장 좋은 방법의 하나는 그 사업을 이끌고 책임질 자리에 얼마나 중요한 사람을 앉혀 놓았는지 보는 것이다. 최고 보안 책임자(CSO), 최고 정보보안 책임자(CISO) 등, 공식적인 직책은 워낙 여러 가지가 있어서 헷갈릴 수 있다. 이들의 직무 요강도 기업에 따라 조금씩 달라질 수 있다. 보통은 CSO가 정보보안과 함께 좀 더 물리적 보안에 대한 책임을 많이 지게 된다.

이렇기 때문에, <CIO>가 설문조사 한 기업들 간에도 조금씩 차이가 있었다. 응답 기업의 25%는 CISO가 있었고, 11%는 CSO가 있었으며, 17%는 다른 명칭의 최고 보안 관리자가 존재했다. 그리고 거의 절반에 가까운 나머지는 보안을 전문으로 책임지고 관리하는 임원이 하나도 없는 상태였다. 

책임자의 책임자는 누구인가?


물론, 사내 정치를 조금이라도 경험해 본 사람은 알겠지만 기업 내 영향력은 조직도에서 누구의 직속 부하로 있는가를 통해 알 수 있는 경우가 많다. <CIO>는 CISO와 CSO가 모두 있는 기업들에게 이들의 직속 상사가 누구인가를 물어보았다. 그 결과를 보면 두 직무의 차이가 조금 더 극명해진다.

CSO가 있는 기관 중 절반 정도는 CEO나 COO에게 보고하는 것으로 나타났으며, 1/4은 기업의 최고 CIO에게 보고하고 있었다. CISO의 경우 이러한 위계가 완전히 반대였다. CISO의 절반가량은 최고 CIO에게 보고했고, 1/4은 그 외 상사에게 보고하는 것으로 나타났다. 이렇게 보면 적어도 현재로서는 CSO가 좀 더 영향력 있는 포지션이라고 결론 내릴 수 있겠다(물론 두 직무 모두 부서 CIO나 CFO와 같은 상사에게 보고하는 경우도 있었다. CFO에게 보고하는 경우는 아마도 손실 방지가 CFO의 직무 범위에 포함된 여파로 추정된다).

앞으로의 계획은?


가장 효율적인 보안을 위해서는 처음 전략 구상 단계부터 보안을 염두에 두고 시작해야 한다. 사실 대부분 IT임원들이 이 사실을 알고 있다. 조사 대상 기업들에게 IT보안 전략과 전반적 IT전략 간 통합 정도에 관해 물었을 때, 이들 중 절반 이상(54%)은 “긴밀하게 통합되어 있다”고 답했다. 이는 “IT보안 전략은 기업의 전반적 IT전략과 로드맵의 핵심적 부분으로 기능하고 있다”는 것을 의미한다. 그리고 10%가량은 자사의 “IT보안 관련 투자는 기존의 IT보안 관련 문제나 사건에 대응하는 방식으로 이뤄지고 있다”고 답했다.

조사에 답한 IT리더들도 이 정도로는 부족하다는 것을 알고 있었다. 앞으로 3년 이내에 IT전략과 IT보안 전략의 통합이 어느 정도까지 진척될 것이라 보느냐는 질문에는 82%가 ‘긴밀하게 통합될 것’이라고 답했고, 통합되지 않을 것이라고 답한 비율은 2%에 그쳤다.


X