디지털리스크 관리 CEO 핵심 책무, 전략경영·조직문화 구축해야 [권헌영 고려대 정보보호대학원 교수에게 고견을 듣는다]

디따

관련 기사: https://www.dt.co.kr/article/12023366?ref=naver -----------------------------------------------------------------------------------------------------------------------------------------------------------  디따 유튜브 구독하기 https://www.youtube.com/channel/UCxdgnFyzm3WcalaBn2Ya6hg  네이버TV https://tv.naver.com/ditta  데일리모션 https://www.dailymotion.com/dtwithcom  디지털타임스 홈페이지 http://www.dt.co.kr/  디지털타임스 페이스북 https://www.facebook.com/Digitaltimesnews  ☏ 제보하기 dtvideo@dt.co.kr  ----------------------------------------------------------------------------------------------------------------------------------------------------------- #권헌영 #디지털타임스 #인터뷰 #고견 #고려대 #정보보호대학원  @ditta ​

Transcript

00:00기본적인 소통구조에 문제가 있다고 봐요.

00:18우리 사회의 기본적인 소통구조, 전문가가 있고

00:22그 다음에 전문가에게 일을 맡기는 사람이 있고

00:26그 전문 서비스를 이용하는 사람이 있어요.

00:28이 사람들 간의 소통구조가 전혀 없는 상태예요.

00:34그래서 생긴 문제라고 봅니다.

00:36예를 들어 지금 우리 정부에서

00:38국가정보장관리원의 화재가 나서

00:45몇백 개 시스템이 다운이 돼서 국민들이 불편을 겪잖아요.

00:519.11 테러가 나고 나서 백업이 있는 회사는 살고

00:55백업이 없는 회사는 그냥 망했어요.

00:57그걸 보고 우리가 정부 시스템을 제대로 백업도 하고 관리를 잘해야 되겠다.

01:04그래서 만들었는데 땅이 없고 건물이 없어요.

01:09지금 우리가 짓는 곳에 가면 세종각 이런 데 네이버 클라우드 이렇게 센터를 지었단 말이에요.

01:15엄청나게 좋아요.

01:18전원 공급장치도 완벽하게 돼 있고

01:21이격거리도 잘 돼 있고 건물도 항원항습 잘 돼 있고

01:26완전히 데이터 센터용으로 지어서

01:28그 다음에 공격받아도 안 되도록 산밑에다가 탁 정리해요.

01:32지금 여기는 대전의 연구단지에

01:34KT가 쓰던 연구원으로 쓰던 건물을 그때 사서 거기다가 시스템을 만들어놨어요.

01:42이걸 민간보다도 못한 상태로 여기 뒀어요.

01:44왜 이렇게 됐을 것 같아요.

01:46소통이 안 되는 거예요.

01:47전산직이 정리해서 이거 필요합니다.

01:50그런데 위에서 전산직 보고 안 받아.

01:52여기 있는 사람 얘기해서 행안부에서 기재부에다가 돈 달라고 그러는데 얘기하는데

01:56우리 다른데 돈 급하게 쓸 때 많으니까

01:58누가 거기 못 줘.

01:59운영하는데 지금 당장 문제 있어?

02:01운영 억지로 해봐.

02:03내구에 하나는 지난 것도 계속 쓰고 정리하고

02:06다 돈 문제예요.

02:09투입을 제때 안 하는 거죠.

02:11소통을 제대로 안 해요.

02:13그러면 정부도 그런데

02:15민간에서는 그러면 잘 할 것 같냐.

02:17여기 보안 문제가 있을 수 있으니까 투자를 이렇게 이렇게 합시다.

02:21그럼 투자 결정을 누가 해요?

02:23CFO가 하잖아요.

02:24CFO가 하는데 다른 데 더 급한 일이 있으면 이건 안 하는 거죠.

02:28기본을 지키기 위한 소통 구조가 깨져 있기 때문에

02:33서로 책임을 못 지는 상태가 있는 거예요.

02:38CISO만 갖다 놓는 거예요.

02:41그럼 CISO는 기술하는 사람이에요.

02:43그럼 와서 이것도 해야 저것도 해야 저것도 해야 된다는데

02:45돈은 누가 줘야 돼요?

02:46그거를 안 하고 CISO 혼자 해.

02:49절대 문제 해결 못 해요.

02:50그래서 CFO와 CHRO를 반드시 포함시켜서 공동의 논의의 책임으로 만들어라.

02:58작업들이 진행이 되고 있어요.

03:00그리고 데이터를 우리가 얘기할 때 제일 괴로운 점이 뭐냐면

03:05데이터를 제대로 분류해 가지고 가지고 있는 데가 없어요.

03:08내가 무슨 데이터를 지키고 있는지를 아는 사람이 없이

03:11그냥 지키는 거야.

03:14내가 농담으로 하는 말이 그거예요.

03:17아니 건물 지키는데 1억짜리 경비원 세워

03:21몇 천만 원짜리 출입 통제 시스템 세워

03:26금고 몇 억짜리 갖다 놓고 정리해 놓고

03:28문 딱 열어놨는데 500원 들었어.

03:30그럼 500원을 지키려고 20억을 쓰는 거잖아요.

03:35그런데 지켜야 될 거라면 확실하게 무엇을 지키는지

03:37누가 지키는지 왜 지키는지 어떻게 지키는지를

03:39명확하게 정리하고 소통 구조가 완성이 돼 있어야 되거든요.

03:44그런 작업들이 좀 필요해요.

03:45전문가거나 기술직을 하대하거나

03:50그냥 전문 분야는 그냥 믿고 맡겨버리고

03:53아무도 돌아보지 않는 상태가 돼서는 안 되거든요.

03:57고객 개인정보와 같은 사회 영역의 리스크를 해결하기 위해서

04:02이런 정보보험 데이터 커버넌스 체계는

04:05아까 잠깐 말씀하셨으면 어떻게 좀 구축해야 되니까?

04:08대체적으로 우리가 그동안 기술 혁신으로

04:12이 문제를 해결할 수 있다고 믿었어요.

04:13그런데 기술은 기술 파트에서 있는 거거든요.

04:18기술 파트에서는 예를 들면 이런 거예요.

04:19우리가 데이터를 가지고 있잖아요.

04:21그럼 이제 우리 마케팅 부서도 있고 편집 부서도 있어요.

04:25그리고 그 다음에 취재원에 대한 정보가 있으면

04:29취재원 리스트가 있다 그러면 개인정보로 보호해야 되니까

04:31이거는 또 그 다음 등급이 될 거예요.

04:34나머지 다른 회사에서도 다 나온 거고

04:37광고, 기사 이런 것들은 등급이 또 낮을 거예요.

04:39그런데 이 등급이 이렇게 정리된 것이 데이터가 있다고 치자고요.

04:44그럼 이거를 실제로는 어디서 보관해요?

04:48내 PC에 있을 수 있고 회사 클라우드 서버에 있을 수 있어요.

04:52전산이나 데이터 담당자가 이걸 봐요.

04:55보는데 전산이나 데이터 담당자가

05:00조금 아까 얘기한 등급 분류할 수 있어요? 없어요?

05:02못하죠.

05:04그런데 지금 어떻게 해요?

05:07분류를 안 하고 있죠. 사실은.

05:09아무도 분류를 안 해요.

05:10저쪽도 분류를 안 하고.

05:11그러니까 어떻게 되냐면 통으로 막는 거예요. 그냥.

05:15그리고 어떻게 보면 데이터가

05:18어떤 데이터는 한 30% 이상 중복으로 갖고 있어요.

05:23국민에 대한 데이터 대부분 중복으로 갖고 있어요.

05:26그런데 사실은 원본데이터 하나 놓고

05:28나눠서 쓰면 관리도 더 쉽고 안전하기도 하고

05:32분류가 될 수 있죠.

05:33분류를 누가 하냐의 문제예요.

05:35이게 소통구조. 아까 제가 말씀드린 소통구조의 본질이.

05:39정리를 해서 같이 와서 분류체계를 다 정리하고

05:42시스템에 어떻게 쓸지에 대한 협의를

05:44처음부터 끝까지 다 해야 돼요.

05:46이거 한 회사가 있겠어요? 없겠어요?

05:48전 세계에 없어요.

05:50이 작업을 근데 지금 말씀 들어보시면 할 수 있겠죠.

05:56이 작업을 시작해야 돼요.

05:57국가에서도 해야 되고 기업에서도 해야 되고

06:00개별기관에서 해야 됩니다.

06:02그 작업을 해야 제대로 된 상태에서의

06:06데이터 거버넌스, 디지털 리스크 관리가 가능해요.

06:11국가정보자원관리원 박재님 말씀을 하셨는데요.

06:13중국 또한 이런 ESG에 수월했던 게 이런 사고 원인이 아닐까요?

06:19뭐 정부는 이번 일에 대해서는 정말

06:22국민 앞에 드릴 말씀이 없는, 면목이 없는 상황이죠. 사실은.

06:28그리고 그동안 우리가 민간에서 사고 났을 때

06:32정부가 했던 자세를 생각해 보세요.

06:36지난번에 카카오 불러가지고 정리가 안 됐을 때

06:42이중화하고 뭐하고 엄청나게 야단 쳐가지고

06:45그쪽은 다 그렇게 했잖아요.

06:46그런데 정작 정부는 안 하고 있었던 거 아니에요?

06:49정말 그 ESG의 관념이 정부에는 없었다라는 관점이 드는 거예요.

06:55이거를 예를 들면 그 안에 이제 국민 데이터도 있고

06:59정부가 운영되는 핵심적인 데이터가 있으니까

07:02리질리언스를 확보해야 되는 것은 너무 당연한데

07:04그 작업을 안 하고 저는 이러한 거는 예산 당국하고

07:09정치권의 책임이 제일 크다고 봐요.

07:11그리고 자기 지역구에 가면 뭐 얼마 썼다, 뭐 얼마 썼다.

07:15그다음에 국민들에게 당장 급하지 않아도 시설 투자 막 하고

07:20그다음에 생생내기용 예산 다 쓰고 했는데

07:22정작 중요한 국가의 기본 시스템 운영하는 데는 돈 투입을 안 한 거잖아요.

07:29그렇게 해놓고 다시 또 야단을 쳐요.

07:31이분들이 원래 그림을 그릴 때 1센터, 2센터, 3센터를 정리를 해가지고

07:37삼각 실시간 백업을 정리를 해야 되는데

07:41그것도 원칙대로 안 한 거잖아요.

07:43지금 그리고 또 다시 백업센터 공주에 만든다는 것도 해놓고

07:46준비를 해놓고 이제 제대로 운영을 못 했고

07:49여기에 또 뭐가 있냐면

07:51안정성하고 그다음에 이제 안전성 두 개.

07:58하나는 지속적으로 서비스가 계속 되는 거고

08:01하나는 시큐리티가 보장되는 그림을 그려야 되는데

08:04그런 관점에서 봤을 때 대전과 광주, 대구로 정리한 거는

08:09상당히 정치적으로 구분을 해놓은 거잖아요.

08:13그런 문제들도 또 존재할 수 있고

08:15이제 국가적으로 데이터 거버넌스를 잘 정비하게 되면

08:18데이터 중에 꼭 우리가 직접 해야 될 것과

08:22바깥을 써도 되는 걸 확인할 수 있어요.

08:24그러면 민간 서비스나 해외 유수 서비스도 활용할 수가 있잖아요.

08:28디지털 리스크 대응을 위해서 거버넌스 영역에서

08:32이사회와 경영진은 어떤 역할을 좀 시행해야 될까요?

08:36CISO와 CPU의 특징은 뭐냐면

08:38대체적으로 정보기술 전문가들로 이루어져 있어요.

08:44이 사람들은 정보기술 전문가들이기 때문에

08:48기업 경영과 소통 훈련은 받지 않은 사람들이에요.

08:52기술 전문성은 굉장히 높지만

08:53그러나 전략 경영에 보완이 들어가면

08:56당연히 소통이 되게 중요하죠.

08:59그러면 이 리스크 관리를 하고 소통을 하는

09:05기술 전문성을 갖추고 있는 C레벨의 시큐리티 전문가의

09:10리더십 공백을 누가 메워야 되냐?

09:12CEO가 메워줘야 되죠.

09:14CEO가 그걸 메워주거나

09:16CISO를 그런 사람으로 키워야 돼요.

09:20그런 차원에서의 CEO의 역할은 되게 중요하다.

09:23그래서 제가 제안하는 것은 한 달에 한 번 이상씩

09:28회사의 전문 보완 경영 전략회의를 열 때

09:32CEO가 주재를 하고

09:34CISO와 CFO와 CHRO가 함께 들어가서

09:38역할 분담을 분명하게 해서

09:40전략 목표가 달성될 수 있도록 해주는 거

09:42그런 작업을 또 해야 돼요.

09:44그래서 이거는 CEO가 전략 경영 관점에서

09:48디지털 리스크 관리를 직접 하는 구조로 가야 됩니다.

09:50디지털 리스크 예방과 관련해서

09:53기업 최고 경영자가 가져야 할 가장 중요한 인식과 과제는

09:59뭐라고 볼 수 있겠습니까?

10:02디지털 리스크를 대응하는 전략 경영 구조를 만드는 작업

10:07그래서 본인이 점검할 수 있도록 하는 것이

10:12사실은 전범이 다 있어요.

10:14팔로시는 어떻게 만들어라.

10:16규정은 어떻게 만들어라.

10:18운용 체계는 어떻게 해라.

10:19점검은 어떻게 해라는 게 다 매뉴얼라이즈가 돼 있거든요.

10:22요거 매뉴얼라이즈 돼 있는 거를

10:24우리 회사에도 제대로 돼 있는지

10:26그리고 그게 맞게 돼 있는지 보고

10:27점검하는 작업을

10:29한 달에 한 번 정도씩만 해주시면

10:33상당한 부분으로 해결된다.

10:35또 하나는

10:36디지털 리스크가 CEO의 핵심 어젠다라는 것을 이해하고

10:42조직 문화로 바꿔줘야 돼요.

10:45이 새로운 문화를 학습 조직화하는 것이

10:48현실적으로 실천 가능한 매뉴얼로

10:51자신들의 삶의 회사 생활에 녹아들게 만드는 거거든요.

10:55그건 CEO만 할 수 있거든요.

10:57그래서 그걸 좀 최적화시키는 작업

10:59그게 리더가 해주실 일이다.

11:01이렇게 생각이 듭니다.

11:02네,겠습니다.

11:03Thank you very much.

11:04Thank you very much.

11:06Thank you.

카테고리

트랜스크립트

첫 번째로 댓글을 남겨보세요

추천