현대캐피탈과 농협 CISO 임명을 바라보는 시각 시큐리티 핫이슈2011-06-30 21:37:38


지난 주 현대캐피탈과 농협이 각 각 CISO를 발표했습니다.

현대캐피탈은 안철수연구소 전성학 시큐리티대응센터장을,
농협은 내부 IT분사에 있던 한정열씨를 각 각 임명했습니다.
 
이 발표를 두고 전문가들이 또 한 번 농협의 안일한 대처에 대해 우려하고 있습니다.

지난 4월 사고 발생 이후, 5월 들어 어느 정도 사건이 마무리 된 후 두 회사는 CISO 선정 작업에 본격적으로 들어갔습니다.
 
업계에서는 두 회사가 보안 전문가를 중심으로 후보군을 모으고 있으며,
안철수연구소를 비롯해 보안 분야 고급전문가들을 이곳저곳서 추천받고 있다고 얘기했습니다.
하지만 당시 보안전문가 중 이들 회사에 선뜻 들어가기 어려워하는 이들이 많았고,
적임자를 선정하는데 상당히 어려움을 겪었다는 소식을 접했습니다.
그래서 업계의 관심사는 과연 누가 이 두 곳의 CISO로 초빙되느냐였습니다.

물론 보안전문가를 일반직도 아닌 CISO급으로 스카웃한다는 건 국내 인력풀 등을 미뤄봤을 때 어려운게 사실입니다.

하지만 농협의 CISO는 과연 보안에 대해 농협이 얼마나 신중히 인물을 물색하고 선정했는지에 대해 의문을 가질 수밖에 없습니다.

한정열 신임 농협 CISO의 개인적인 능력과 자격을 두고 하는 얘기는 아닙니다.

한 신임 CISO도 IT분야의 경력이 있는 건 사실입니다.

하지만 IT분야라면 이미 존재하고 있는 CIO가 역할을 충분히 할 수 있는 부분입니다.

이번 CISO의 핵심은 내부 IT중에서도 보안 분야에 특화됐으며, 전반적인 보안의 틀을 짜고 이끌어나가는 인물 선정에 있습니다.

IT전문가인 CIO에게 보안 사고 발생 시 그 책임 및 역할에 대해 무조건 추궁할 수 없었던 점은
보안은 IT분야중에서도 더욱 전문성이 요구되는 분야이기 때문입니다.

농협도 이번 사건을 계기로 그러한 사실을 인지했기 때문에 보안만을 책임지는 CISO를 물색했다고 생각됩니다. 

하지만 결과론적으로 봤을 때 한 신임 CISO는 보안통은 아닙니다.

물론 IT분야 지식과 경험이 기본적으로 있기 때문에 보안과 전혀 무관하다고 할 수 없습니다. 
그리고 내부 인사인만큼 내부 상황을 잘 파악하고 있기 때문에 업무를 진행하면서 리더십을 발휘할 수 있다는 점은
긍정적입니다.

다만 농협의 보안 책임자 선택이 2% 아쉬운점은
보안 소홀로 인해 큰 사고를 겪었음에도 아직 보안의 특성과 전문성에 대해 과소평가하고 있다는 느낌을 지울수 없기 때문입니다.

이 같은 불식이 괜한 우려로 끝날 수 있도록 신임 한 CISO와 그를 중심으로 꾸려질 보안팀의 역할을 기대해봅니다.
악성코드 유포 1등국가 가 중국이라고?...중국 경찰관이 발끈하는 이유는   
좀비PC방지법 공청회...주요 논의 사항들 정리-2편   
Copyright ⓒ 푸우. All rights reserved.