[강은성의 CISO 스토리]기업보안 거버넌스-2015년 전사적 보안위험 대응을 위한 기반

이제 회사에서 2015년 사업계획이 어느 정도 마무리되었을 시기다. 각 회사의 정보보호최고책임자(CISO)들이나 개인정보보호책임자(CPO)들 역시 회사의 사업목표에 연계된 보안위험이나 일반적인 보안위험을 최소화 하기 위한 사업 계획으로 고민을 많이 했을 것 같다. 경영진의 눈에 탁 띄는 키워드를 잡아 내는 일은 언제...



  1. [강은성의 CISO 스토리]정보보호최고책임자(CISO), CEO의 경영의 동반자

    아시안컵 축구에서 한국 국가대표 축구팀의 활약이 화제다. 불과 여섯 달 전 월드컵에서 실망스러운 모습을 보였던 한국 축구가 다시 일어난 중심에는 슈틸리케 국가대표팀 감독이 있다. 독일 축구 황제 베켄바우어의 후계자로 불릴 만큼 탁월한 수비수였던 그는 한국 대표팀을 맡으면서 수비의 중요성을 역설했다. 2014년


  2. [강은성의 CISO 스토리]기업보안 거버넌스-2015년 전사적 보안위험 대응을 위한 기반

    이제 회사에서 2015년 사업계획이 어느 정도 마무리되었을 시기다. 각 회사의 정보보호최고책임자(CISO)들이나 개인정보보호책임자(CPO)들 역시 회사의 사업목표에 연계된 보안위험이나 일반적인 보안위험을 최소화 하기 위한 사업 계획으로 고민을 많이 했을 것 같다. 경영진의 눈에 탁 띄는 키워드를 잡아 내는 일은 언제


  3. [강은성의 CISO 스토리]K사 민사소송 결과와 CISO의 과제

    서울중앙지법 민사32부(재판장 이인규 부장판사)는 22일 피해자 2만8715명이 K사를 상대로 낸 손해배상 청구소송(2012가합81628)에서 "원고 1인당 10만원씩 총 28억 7000여만원을 지급하라"며 원고일부승소 판결했다. 재판부는 판결문에서 K사가 "사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했다"며 "


  4. [강은성의 CISO 스토리]CEO가 알아야 할 정보보안

    한 CISO와 이야기를 나누다가 정보보호책임자가 볼 만한 책을 쓰고 있다고 하니 그것도 좋지만, CEO가 알아야 할 정보보안에 관해 써 줬으면 좋겠다는 말을 들었다. 많은 정보보호최고책임자(CISO)나 개인정보보호(관리)책임자(CPO)들이 공감하실 것 같다. CEO의 적극적인 지원 없이 CISO나 CPO가 정보보호를 해 나가기는 …


  5. [강은성의 CISO 스토리]CISO 의무지정제의 의미와 제안

    올해 초 우리 사회를 강타한 개인정보 유출사태에 대한 제도적 대응이 이제 어느 정도 마무리 되어 가는 단계에 온 것 같다. 7월의 마지막 날에 국무총리 주재로 열린 국가정책조정회의에서는 ▲피해액의 최대 3배까지 배상액을 중과하는 ‘징벌적 손해배상제도’ 도입 ▲정보통신망법에 도입된 법정손해배상 제도를 개인정…


  6. [강은성의 CISO 스토리] 정보보호 인증에 대한 몇 가지 이슈와 바람

    개인정보 유출 사고가 나면 정보보호 인증을 받은 회사인데 왜 사고가 났느냐, 부실하게 인증을 준 건 아니냐는 등의 비판이 나오는 경우가 있다. 한국인터넷진흥원(KISA) 소속의 고참 연구원을 포함해 정보보호 분야의 실력과 자부심을 함께 갖춘 인증심사팀으로부터 꼼꼼하고 예리한 심사를 거쳐 정보보호 관리체계(ISMS)…


  7. [강은성의 CISO 스토리]정보보호 인증과 정보보호 수준

    어느 정도 규모가 있는 회사의 CISO라면 정보보호 관련 인증을 받을지 한번쯤 검토해 봤을 것이다. 법적으로 인증 의무 대상이거나 가까운 미래에 대상이 될 기업이 아니라 하더라도 법에 나와 있는 정보보호 인증을 획득하면 보안 사고가 발생했을 때 도움이 될 수 있기 때문이다. 정보통신망법에서는 전년도 마지막 석…


  8. [강은성의 CISO 스토리]CPO를 누가 맡는 게 좋을까?

    2개월 뒤인 8월 7일부터 지난 해 8월 공포된 개인정보보호법이 시행된다. 또 지난 칼럼에서 소개한 개정 정보통신망법은 올해 11월 정도에는 시행될 것으로 보인다. 시간이 좀 있는 것 같았는데, 시간이 화살 같이 흘렀다. 두 법 다 개인정보 보호에 관한 기업의 책임을 강조하고, 법을 위반했을 때 제재를 크게 강화했다. …


  9. [강은성의 CISO 스토리]CISO가 알아야 할 개정 정보통신망법

    세월호 참사로 온 국민이 마음을 빼앗기고 있던 지난 5월 2일에 정보통신망법 개정안이 국회를 통과했다. 카드3사와 K통신사 등의 대규모 개인정보 유출 사태로 인해 비등해진 여론을 반영하여 사업자에 대한 규제와 처벌이 크게 강화된 것이 특징이다. 이번 개정된 정보통신망법은 6개월이 뒤인 11월 초에 시행되므로 …


  10. [강은성의 CISO 스토리] 경영진과의 소통법 – 비즈니스 커뮤니케이션

    나는 아이와 친하다고 생각했는데 알고 보니 아이는 그렇게 생각하지 않았던 모양이다. 6개월 간의 일방적인 애정공세 끝에 알아낸 것이 아이가 f(x)를 좋아한다는 사실이었다. 이거 무슨 수학 함수가 가수 그룹 이름이라니! 브로마이드가 들어 있는 CD를 사주고, 기회가 되어 콘서트도 함께 가면서 이야기가 조금씩 되기 …


  11. [강은성의 CISO 스토리]보안시스템 도입-첫 차를 살 때처럼

    처음 자가용을 살 때 돈이 많이 들어가기도 하고, 차에 대한 설렘도 있어서 고민을 많이 하게 된다. 시내에서 주로 타는지, 장거리 운전을 많이 하는지, 가족과 함께 놀러 갈 때 많이 타는지, 초기 비용은 어느 정도로 잡을지, 유지비는 얼마나 들어가는지 꼼꼼하게 따진다. 시간을 내서 자동차 매장을 몇 군데 들러 내가 …


  12. [강은성의 CISO 스토리]보안시스템 – 구슬도 꿰어야 보배

    요즘 보안에 관심이 높아지면서 좀 규모가 있는 기업에서는 웬만큼 보안투자를 하고 있는 것 같다. 서버가 인터넷데이터센터(IDC)에 있다면 IDC에서 제공하는 보안서비스를 받기도 하고, 산업기밀이나 고객정보의 유출을 방지하기 위해 내부정보 유출방지 솔루션을 도입하기도 한다. 백신(안티바이러스) 소프트웨어를 설치…


  13. [강은성의 CISO 스토리]미술관 도난 사고에 경비원 처벌?

    영화 속의 도둑들은 멋있다. 2012년에 개봉했던 ‘도둑들’은 미술관을 ‘멋지게’ 털고, 카지노에 숨겨 있는 다이아몬드를 훔친다. 전지현, 김혜수 등 유명 배우들이 연기하는 도둑들은 멋있다. IT 세상에도 ‘도둑들’이 있다. 오프라인으로 훔치든, 온라인으로 훔치든, 분명 도둑질이다. 일반 세상과 IT 세상의 도둑…


  14. [강은성의 CISO 스토리]CISO의 정보 취득

    정보보호최고책임자(CISO)나 개인정보보호책임자(CPO)가 되면 정보에 목마르게 된다. 규제가 어떻게 변화하는지, 다른 회사에서 사고가 났을 때 사고의 원인은 무엇인지, 우리는 뭘 해야 하는지, 요즘 남들은 (개인) 정보보호를 위해 어떤 일을 하는지, 나는 제대로 하고 있는 건지 걱정도 되고 궁금하기도 하다. 나 역…


  15. [강은성의 CISO 스토리]보안 컴플라이언스(2) – 금융·민간·공공 영역

    지난 번 글이 규제 대응의 총론이라고 한다면, 이번 글에서는 법과 규제를 좀더 구체적으로 살펴보려고 한다. 우리나라의 법과 규제는 크게 금융, 공공, 민간 영역으로 나눌 수 있는데, 그에 대한 적용되는 법과 규제가 다른 부분이 있다. 실제 관련 법은 더 많지만, 정보보호최고책임자(CISO)나 개인정보보호책임자(CPO)들…


  16. [강은성의 CISO 스토리]보안 컴플라이언스(1)

    주요한 직책을 맡게 되면 맨 처음 업무 보고를 통해 각 부서의 업무를 파악하게 된다. 정보보호최고책임자(CISO)나 개인정보보호책임자(CPO)도 마찬가지다. 하지만 보안팀이나 개인정보보호팀이 별도로 조직되어 있지 않은 경우에는 관련 업무가 여러 팀에 흩어져 있어서 일목요연하게 정리되어 있지 않는 경우가 종종 있다…


  17. [강은성의 CISO 스토리]보안문화-거버넌스, 시스템, 제도

    비밀과 통제를 상징하는 ‘보안’과 밝고 말랑말랑한 느낌의 ‘문화’가 만난 ‘보안문화’라는 말이 기업에서는 보안을 생활화 한다는 의미로 쓰인다. 기획, 개발, 관리, IT, 영업, 마케팅, 품질 등 대부분의 기업 활동에 보안이 필요한 영역이 있기 때문에 보안문화를 형성하는 것이 기업 보안활동의 중요한 목표임은 당…


  18. [강은성의 CISO 스토리]외주관리 보안 - 효율과 보안 사이

    어느 정도 규모가 있는 대한민국의 기업들 중 정규직 인력만으로 운영되는 곳은 거의 없을 것이다. 그 만큼 기업에서 비정규직 인력이나 외주 인력을 매우 많이 활용한다. 이번 카드사 사고가 외주개발 회사 직원에 의해 발생했다는 소식을 듣고 심란해 한 정보보호최고책임자(CISO)나 개인정보보호(관리)책임자(CPO)가 상…


  19. [강은성의 CISO 스토리]위기관리의 실제(1)

    회사를 그만두고 CISO/CPO 시절의 경험을 바탕으로 한 칼럼을 준비하면서 평소 알고 지내던 CISO/CPO들에게 칼럼에 담았으면 하는 주제를 물으니 여러분이 '위기관리'를 말한다. 위기관리에 관한 문제는 한국CPO포럼에서 3번 정도 다뤘고, 작년 해킹방지워크숍에서도 발표되었으니 많은 분들이 관심 있어 하는 주제임…


  20. [강은성의 CISO 스토리]약한 고리를 찾아라

    카드사 고객정보 유출 사건으로 우리 사회가 떠들썩하다. 아마 각 회사의 보안책임자(CISO)들이나 개인정보보호 책임자(CPO)들은 최고경영자(CEO)에게 이 사건의 개요와 원인, 대책을 포함한 보고서를 썼을 것이다   외주개발을 포함하여 외주 관리를 담당하는 현업을 통해 보안 현황과 문제점을 파악하면서 우리 …