Offcanvas

���������������������

강은성의 보안 아키텍트ㅣ산업기술보호법에도 최고보안책임자?

지난 10월 국회에 제출된 ‘산업기술의 유출방지 및 보호에 관한 법률’(이하 산업기술보호법) 개정안 중 ‘국가핵심기술’ 보유기관의 보안조직에 관한 것이 있다. 대상 기관이 얼마 되지 않긴 하지만 법령에서 민간기업의 (임원급) 직책과 겸직 여부까지 규율하는 과도한 규제의 연속 선상에 있는 것으로 보아 이번 칼럼에서 이를 다루고자 한다.   이 개정안에서는 “국가핵심기술을 보유한 대상기관 중 국가핵심기술 보호를 위한 전담 조직이 구비되어 있는 기관이 전체의 35%에 불과하고, 국가핵심기술 보호 업무 전담 임원 내지 담당 임원을 갖추고 있는 기관들은 거의 전무하여 대상기관들에서 국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있는 상황”이라고 제안 이유를 밝히면서 대기업에는 정보통신망법상 정보보호 최고책임자(CISO: Chief Information Security Officer) 업무 이외의 다른 업무 겸임을 금지하는 국가핵심기술 보호 전담 임원 최고책임자(CSO: Chief Security Officer) 지정 및 전담 조직 설치, 중견기업에는 담당 인원 지정 및 담당 조직 설치, 중소기업에는 담당 조직 설치를 의무화한다(제10조의2(국가핵심기술보호 인원의 지정 및 조직의 설치 등) 신설).  ‘제안 이유’에서 “국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”고 진단하고 그 원인을 오로지 “전담조직 있는 기관이 35%”, “CSO 지정 거의 전무”라고만 설명하여서 실제로 대상기관의 기술 보호 수준이나 보안 활동을 평가한 것은 아닌 것으로 같아 그러한 진단의 근거가 궁금했다.  인터넷을 검색하다가 ‘제안 이유’와 거의 같은 기사를 찾았다(“[단독]국가핵심기술 보유 기업, 보안팀 운영 36%뿐”, 동아닷컴, 2020.10.07.). 이 기사에서는 ‘한국산업보안한림원’이란 곳에서 국가핵심기술을 보유한 기업과 연구기관 등 전체 143곳을 조사해 보니, 보안전담임원이 있는 곳 8개사(5.6%), 전담조직이 있는 곳 51...

강은성 보안 아키텍트 산업기술 산업기술보호법 최고보안책임자 국가핵심기술 CSO CISO 보안 보안 임원

2020.11.17

지난 10월 국회에 제출된 ‘산업기술의 유출방지 및 보호에 관한 법률’(이하 산업기술보호법) 개정안 중 ‘국가핵심기술’ 보유기관의 보안조직에 관한 것이 있다. 대상 기관이 얼마 되지 않긴 하지만 법령에서 민간기업의 (임원급) 직책과 겸직 여부까지 규율하는 과도한 규제의 연속 선상에 있는 것으로 보아 이번 칼럼에서 이를 다루고자 한다.   이 개정안에서는 “국가핵심기술을 보유한 대상기관 중 국가핵심기술 보호를 위한 전담 조직이 구비되어 있는 기관이 전체의 35%에 불과하고, 국가핵심기술 보호 업무 전담 임원 내지 담당 임원을 갖추고 있는 기관들은 거의 전무하여 대상기관들에서 국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있는 상황”이라고 제안 이유를 밝히면서 대기업에는 정보통신망법상 정보보호 최고책임자(CISO: Chief Information Security Officer) 업무 이외의 다른 업무 겸임을 금지하는 국가핵심기술 보호 전담 임원 최고책임자(CSO: Chief Security Officer) 지정 및 전담 조직 설치, 중견기업에는 담당 인원 지정 및 담당 조직 설치, 중소기업에는 담당 조직 설치를 의무화한다(제10조의2(국가핵심기술보호 인원의 지정 및 조직의 설치 등) 신설).  ‘제안 이유’에서 “국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”고 진단하고 그 원인을 오로지 “전담조직 있는 기관이 35%”, “CSO 지정 거의 전무”라고만 설명하여서 실제로 대상기관의 기술 보호 수준이나 보안 활동을 평가한 것은 아닌 것으로 같아 그러한 진단의 근거가 궁금했다.  인터넷을 검색하다가 ‘제안 이유’와 거의 같은 기사를 찾았다(“[단독]국가핵심기술 보유 기업, 보안팀 운영 36%뿐”, 동아닷컴, 2020.10.07.). 이 기사에서는 ‘한국산업보안한림원’이란 곳에서 국가핵심기술을 보유한 기업과 연구기관 등 전체 143곳을 조사해 보니, 보안전담임원이 있는 곳 8개사(5.6%), 전담조직이 있는 곳 51...

2020.11.17

2017년 미 IT직종의 평균 급여상승률 3.8%··· 데이터 과학자 6.4%

데이터 과학자, 웹 개발자, 빅데이터 엔지니어. 이들 셋의 공통점은 내년에 미국에서 큰폭의 급여상승이 기대되는 IT직종이라는 것이다. 2017년 미국에서 임금인상 폭이 가장 큰 IT직종은 데이터 과학자며, 6.4%로 기대된다. 로버트 하프테크놀로지의 최근 조상 따르면, IT종사자들의 2017년 평균 임금인상률인 3.8%로 예상된다. 채용 및 인력관리 전문기업인 로버트 하프 테크놀로지는 미국 기술 임금 연례 가이드(annual guide to U.S. tech salaries)를 최근 발표했는데, 이 보고서에서 IT종사자들은 다른 전문직보다 약간 더 높은 임금인상률이 예상됐다. 모든 분야 전문직 초봉은 내년에 3.6% 상승할 것으로 기대됐다. 초봉상승률이 가장 높은 전문직종은 IT로, 3.8% 인상될 전망이다. 로버트 하프 테크놀로지는 북미 시장에서 75개 기술직종의 임금을 분석했다. 여기서 비교적 큰폭의 임금인상률이 기대되는 직종은 14가지였다. 이는 기본급을 기준으로 한 조사 결과며, 여기에는 보너스, 인센티브 기타 특전 등이 포함돼 있지 않다.   직종   2016년 임금 범위  2017년 임금 범위 상승률 데이터 과학자 109,000~153,750달러 116,000~163,500달러 6.4% 프론트 엔드 웹 개발자 79,750~111,250달러 83,250~119,500달러 6.2% 빅데이터 엔지니어 129,500~183,500달러 135,000~196,000달러 5.8% 네트워크 보안 엔지니어 110,250~152,750...

CSO 데이터 보안 분석가 데이터베이스 개발자 네트워크 보안 엔지니어 웹 디자이너 2017년 프론트 엔드 웹 개발자 정보 시스템 보안 관리자 선임 IT감사 빅데이터 엔지니어 로버트 하프 테크놀로지 임금 조사 데이터 과학자 급여 최고보안책임자 소프트웨어 엔지니어 IT직종 소프트웨어 개발자 시스템 보안 운영자

2016.09.19

데이터 과학자, 웹 개발자, 빅데이터 엔지니어. 이들 셋의 공통점은 내년에 미국에서 큰폭의 급여상승이 기대되는 IT직종이라는 것이다. 2017년 미국에서 임금인상 폭이 가장 큰 IT직종은 데이터 과학자며, 6.4%로 기대된다. 로버트 하프테크놀로지의 최근 조상 따르면, IT종사자들의 2017년 평균 임금인상률인 3.8%로 예상된다. 채용 및 인력관리 전문기업인 로버트 하프 테크놀로지는 미국 기술 임금 연례 가이드(annual guide to U.S. tech salaries)를 최근 발표했는데, 이 보고서에서 IT종사자들은 다른 전문직보다 약간 더 높은 임금인상률이 예상됐다. 모든 분야 전문직 초봉은 내년에 3.6% 상승할 것으로 기대됐다. 초봉상승률이 가장 높은 전문직종은 IT로, 3.8% 인상될 전망이다. 로버트 하프 테크놀로지는 북미 시장에서 75개 기술직종의 임금을 분석했다. 여기서 비교적 큰폭의 임금인상률이 기대되는 직종은 14가지였다. 이는 기본급을 기준으로 한 조사 결과며, 여기에는 보너스, 인센티브 기타 특전 등이 포함돼 있지 않다.   직종   2016년 임금 범위  2017년 임금 범위 상승률 데이터 과학자 109,000~153,750달러 116,000~163,500달러 6.4% 프론트 엔드 웹 개발자 79,750~111,250달러 83,250~119,500달러 6.2% 빅데이터 엔지니어 129,500~183,500달러 135,000~196,000달러 5.8% 네트워크 보안 엔지니어 110,250~152,750...

2016.09.19

CISO는 누구한테 보고해야 하나?

간단한 질문처럼 보일 수도 있다. 다른 C레벨 임원들의 보고체계에 대한 논쟁으로 보일 수도 있다. 그동안 최고 개인정보보호 책임자, 최고 규제준수 책임자 같은 C레벨 경영진들의 보고체계에 대한 논쟁이 있어왔지만, 최근 몇 년에 비할 바는 아니다. 이는 CISO 직책과 기능을 받아들이는 기업들이 늘어나고 있다는 증거다.  프라이스워터하우스쿠퍼스(PricewaterhouseCoopers)가 7,000여 기업들을 대상으로 실시한 정보 보안 설문조사에서 CISO나 이와 유사한 직책을 두고 있다고 답한 기업은 전체의 22%에 불과했다. 몇 년 전 일이다. 그러다 2011년의 조사에서는 이 수치가 80%로 증가했다. 그러나 CISO의 보고체계에 대해서는 아직 합의된 의견이 없다. CISO가 CIO에게 보고하도록 해서는 안 된다는 의견이 우세할 뿐이다. 이 문제를 다룬 많은 사람들이 CISO가 IT 부서에 속하면 책임 업무가 부적절하게 분리가 될 수 있다고 지적하고 있다. 그러나 산업에 따라 다르기는 하지만 40~60%의 CISO들이 CIO나 IT 부문의 책임자에게 보고하도록 조직이 구성돼 있다. 특히 일부 산업에서는 이런 식의 조직 구성이 뚜렷하게 관찰되고 있다. CISO가 직계 부하로 CIO에게 보고하도록 해서는 안 된다는 의견에 동의한다 할지라도, 이것이 앞의 질문에 답이 되진 않는다. 세계적인 수준의 7개 기업에 CISO의 보고 체계에 대해 묻는다면 7개의 답이 나올 것이다. 그리고 각 회사들은 그 이유를 나름의 논리를 들어 강하게 제시할 것이다. 한발 물러나 다른 관점에서 이 질문을 생각해보자. 소개받은 의사에게 "당신은 어떤 의사입니까?"라는 질문을 했다고 가정해보자. 자신의 전공 분야나 기술, 졸업한 학교, 이력 등을 소개할 것이다. 변호사나 회계사에게도 이런 질문을 던질 수 있다. 그러나 CISO에게 이런 질문을 할 수 없다. 여러 형태의 CISO가 있다는 사실을 생각할 수 없기 때문이다...

CIO CSO 보고 CISO PwC 리포팅 최고보안책임자

2012.03.20

간단한 질문처럼 보일 수도 있다. 다른 C레벨 임원들의 보고체계에 대한 논쟁으로 보일 수도 있다. 그동안 최고 개인정보보호 책임자, 최고 규제준수 책임자 같은 C레벨 경영진들의 보고체계에 대한 논쟁이 있어왔지만, 최근 몇 년에 비할 바는 아니다. 이는 CISO 직책과 기능을 받아들이는 기업들이 늘어나고 있다는 증거다.  프라이스워터하우스쿠퍼스(PricewaterhouseCoopers)가 7,000여 기업들을 대상으로 실시한 정보 보안 설문조사에서 CISO나 이와 유사한 직책을 두고 있다고 답한 기업은 전체의 22%에 불과했다. 몇 년 전 일이다. 그러다 2011년의 조사에서는 이 수치가 80%로 증가했다. 그러나 CISO의 보고체계에 대해서는 아직 합의된 의견이 없다. CISO가 CIO에게 보고하도록 해서는 안 된다는 의견이 우세할 뿐이다. 이 문제를 다룬 많은 사람들이 CISO가 IT 부서에 속하면 책임 업무가 부적절하게 분리가 될 수 있다고 지적하고 있다. 그러나 산업에 따라 다르기는 하지만 40~60%의 CISO들이 CIO나 IT 부문의 책임자에게 보고하도록 조직이 구성돼 있다. 특히 일부 산업에서는 이런 식의 조직 구성이 뚜렷하게 관찰되고 있다. CISO가 직계 부하로 CIO에게 보고하도록 해서는 안 된다는 의견에 동의한다 할지라도, 이것이 앞의 질문에 답이 되진 않는다. 세계적인 수준의 7개 기업에 CISO의 보고 체계에 대해 묻는다면 7개의 답이 나올 것이다. 그리고 각 회사들은 그 이유를 나름의 논리를 들어 강하게 제시할 것이다. 한발 물러나 다른 관점에서 이 질문을 생각해보자. 소개받은 의사에게 "당신은 어떤 의사입니까?"라는 질문을 했다고 가정해보자. 자신의 전공 분야나 기술, 졸업한 학교, 이력 등을 소개할 것이다. 변호사나 회계사에게도 이런 질문을 던질 수 있다. 그러나 CISO에게 이런 질문을 할 수 없다. 여러 형태의 CISO가 있다는 사실을 생각할 수 없기 때문이다...

2012.03.20

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13