칼럼 | CISO의 역할… 데이터 보관자가 아니라 ‘데이터 관리인’

데이터 관련 법이 엄격해지면서 CISO의 역할도 데이터 보관자에서 관리자로 바뀌고 있다. CISO가 어떻게 이러한 전환을 이룰 수 있는지 살펴본다.
 

최근 몇 년 동안 사이버 범죄의 빈도와 정교함은 크게 증가했다. 딥인스팅트(Deep Instict) 조사에 따르면 보안 전문가의 75%가 2023년 사이버 공격의 증가를 예상했다. 그중 85%는 증가 원인으로 생성형 AI를 꼽았다. 사이버 공격은 피싱을 통해 개인 데이터에 액세스하는 등 다양한 형태로 이뤄지며, AI는 이를 탐지하기 더 어렵게 하고 있다.

온라인에서 데이터가 점점 더 취약해지면서 데이터 보호도 조직의 우선순위에 오르고 있다. 프라이버시에 대한 사회적 기대치가 높아졌기 때문에 개인은 데이터를 수집하고 처리하는 기관의 투명성과 보안을 원하고 있다.

사이버 보안의 최전선에는 조직의 중요 데이터 자산을 보호해야 할 막중한 책임을 맡은 CISO가 있다. 그러나 보호라는 단어에서 알 수 있듯, 여기에는 데이터의 안전한 저장과 외부 위협으로부터의 보호라는 2가지 책임이 내재된다. CISO는 단순한 보관자가 아니라 중요 보안 태세를 설계하는 역할을 맡는다.

이때 데이터 소유만으로는 충분하지 않다. 기술 발전으로 인한 과제와 끊임없이 진화하는 보안 위협에는 데이터 관리가 필요하다.

오늘날 규정 준수 환경
최근 생산 및 수집되는 디지털 데이터의 양은 그 어느 때보다 많으며, 프라이버시 보호 규정 준수는 이러한 데이터가 모든 단계에서 적절히 처리되도록 보장하는 데 목적이 있다. 종종 규정 준수 프레임워크가 조직의 민감한 데이터 관리에 적용되는 법적, 윤리적 경계를 그리기도 한다.

또한 디지털 환경에서 글로벌, 지역 및 산업별 규정이 융합돼 환경이 급변하고, 엄격한 데이터 보호 및 프라이버시 보호 표준을 준수할 필요성도 대두되고 있다. 사이버 위협이 증가함에 따라 규정 준수 환경이 더 복잡해지고 있는 셈이다.

이를 테면 유럽 의회는 지난해 11월 데이터 법을 통과시키고 올해 초 발효할 예정이다. 영국 하원의 경우 현재 자체 데이터 보호 및 정보 법안을 논의 중에 있다. 미국에서는 이미 12개 주에서 포괄 개인정보 보호법에 서명했으며 8개 주에서 법안을 추진하고 있다. 연방 차원에서는 2022년 처음 제기된 미국 데이터 프라이버시 및 보호법(ADPPA)이 높은 지지를 얻으며 의회를 통과했다.

규정 준수 환경에는 이러한 지역 표준뿐만 아니라 의료정보보호법(HIPAA) 및 결제 카드 산업(PCI) 규정 준수 표준 등 산업별 프레임워크도 있다.

이러한 규정에는 개인의 프라이버시와 보안을 지키는 동시에 책임감 있는 데이터 처리를 위한 윤리적 기준을 확립한다는 2가지 목적이 있다. 기업은 기존 법률의 최신 정보를 파악하고 향후 변경될 법안을 미리 예측해 적응해야 한다.

데이터의 예방적 방어자, 관리자로서의 CISO
복잡한 규제 환경을 효과적으로 관리하는 데는 단순한 규정 준수 이상의 전략적이고 지속적인 노력이 필요하다. 데이터 소유자는 정책을 수립할 수 있지만, 관리자에게는 이러한 정책을 구현하고 준수해야 할 책임이 따른다.

디지털 시대의 데이터 관리 환경은 끊임없는 진화로 이뤄져 있으며, CISO가 책임 있는 정보 관리의 핵심으로 부상하고 있다. 조직이 규제 및 규정 준수 환경의 복잡성을 헤쳐 나가면서 신뢰, 책임, 윤리적 데이터 관행의 문화를 조성하기 위해서는 데이터 보관의 필수 요소를 이해하고 수용하는 것이 무엇보다 중요해졌다.

진화하는 사이버 위협으로부터 조직을 보호하고 프라이버시 보호 규정을 준수하는 데 있어 실질적인 관리자로 자리매김한 CISO에게는 사전 예방적 역할이 중요하다. CISO는 업계 표준에 부합하는 엄격한 조치를 체계적으로 통합해 프라이버시 보호 및 보안 의무를 준수하도록 모범적으로 헌신해야 한다. 몇몇 조직은 끊임없이 변하는 규제 환경에서 복잡성을 탐색하고 윤리적 데이터 관행을 보장하는 데 필요한 탄력성을 보여주고 있다.

이때 CISO가 감사에 대비할 수 있도록 지원하고 있는 SaaS 기반 사이버 GRC 자동화 제공업체 사이파고(Cypago) 같은 기업의 도움을 받아 변화하는 법규를 최신 상태로 유지할 수도 있다. CISO는 윤리적 데이터 관행을 원활하게 보장해 필요한 사이버 보안 인증을 쉽게 얻을 수 있다. 이를 통해 조직은 여러 이해관계자의 신뢰를 높이고 데이터 유출 및 개인정보 침해와 관련된 위험을 완화할 수 있다.

데이터 관리를 실천하는 단계
CISO의 전략적이고 지속적인 노력은 어떤 가시적인 조치로 나타날 수 있을까? CISO는 규정 준수 사항을 단순히 체크해야 하는 할 일 목록이 아니라 전반적으로 더 강력하고 탄력적인 사이버 보안 태세를 구축하는 데 도움이 되는 단계로 인식할 필요가 있다.

이를 테면 미국 캘리포니아에서는 소비자 개인정보 보호법(CCPA)에 따라 기업이 최소 1년에 한 번씩 온라인 프라이버시 보호 정책을 업데이트해야 한다. CISO는 이를 부담스러운 연례 요구 사항으로 여기기보다 역동적으로 대처할 수 있는 기회로 받아들여야 한다.

사이버 보안은 조직의 전체 비즈니스 전략에서 핵심 부분으로 거듭나고 있다. 과거에는 CISO가 주로 CIO에게 보고하는 방식이었지만, 오늘날에는 점점 더 많은 비즈니스 운영이 온라인으로 전환되고 있기에 CISO는 CIO와 함께 여러 회사 부문과 지속적으로 소통하며 협력해야 한다.

시간이 지나도 규정을 준수하고 보안을 유지하려면 모든 부서의 직원들이 표준에 맞게 작업을 진행하고 있는지 스스로 확인해야 한다. 여기에는 코드 및 클라우드 인프라 팀, 플랫폼 액세스를 관리하는 HR 직원, 민감한 데이터 소스에 연결하는 SaaS를 사용하는 직원까지도 포함된다.

또한 규정 준수는 CISO가 단순히 설정했다가 잊어버리는 문제가 아니라 회사의 지속적인 우선순위여야 한다. 사이버 보안이 더 심각하게 받아들여지는 상황에서, 고위 경영진부터 주의와 규정 준수를 독려해야 한다. 그래야 경영진은 조직 전체에 강력한 데이터 거버넌스 문화를 지지하고 모범을 보이는 방식으로 CISO를 지원할 수 있다.

또한 기업 내 이직률이 높고 위협과 규정 준수 표준이 빠르게 변화한다는 점을 고려할 때, CISO는 정기적이고 꾸준한 사이버 보안 교육을 실시해야 한다. 마지막으로, 책임 소재는 정확한 기록 보관에 달려있기 때문에 상세한 기록과 프로세스 수립도 중요하다.

규정 준수 문화
온라인 데이터에 대한 위협이 증가하는 가운데 CISO는 데이터 관리 원칙에 따라 사이버 범죄자를 차단하기 위해 최대한 경계를 늦추지 않고 사전 예방적 태세를 유지해야 한다. 이러한 데이터 보호에 대한 사고방식을 통해 조직은 단순한 규정 준수를 넘어 윤리적 데이터 관리 문화를 구현하는 강력한 프레임워크를 구축할 수 있다.

이러한 적극적인 보호는 진정한 의미로 조직 전체에서 정책을 정의하고 엄격하게 실행하는 협업 환경을 조성하게 한다. 데이터의 생성부터 폐기에 이르는 전 과정에서 그 중요성을 인식해야만 조직과 보안 팀은 정보의 무결성을 우선순위로 둘 수 있다.

* Yash Mehta는 IoT, M2M 커뮤니케이션, 빅데이터 영역에서 국제적으로 인정받는 전문가이자 저술가다. ciokr@idg.co.kr