카네기 국제평화재단(CEIP)에서 지난해 7월 사이버보안 역량이 낮은 소규모 금융회사가 참고할 수 있는 사이버보안 역량 강화 가이드를 발표한 바 있다. 이 가이드는 CISO 등 사이버보안 전문 인력 외에도 이사회, CEO 등 조직의 지배구조를 구성하고 있는 계층별 역할을 구체적으로 제시한 것이 특징이다.
이 내용은 ‘금융보안원 전자금융과 금융보안 제21호’에 게재된 내용으로, 일반 기업에서도 직급별로 사이버 보안 강화를 위해 참고할 만한 내용이다. 주요 내용은 다음과 같다.
◇이사회 가이드
이사회는 회사의 사이버 리스크 거버넌스 확립을 위해 △관련 법류 요구사항을 충족했는지 △사이버 보안 노출을 정량화하고 금융 레질리언스를 평가했는지 △보안 노출이 위험 수용 범위에 들어가도록 개선 계획을 마련했는지 △이사회는 경영진이 제공한 조직의 사이버 레질리언스 관련 정보에 대해 정기적으로 논의했는지 △이사회 포함 사고 대응 계획이 마련되어 있는지 △사이버 리스크 관리를 담당하는 주요 직원의 역할이 명확하며 3선 방어 기준에 적합한지 △조직의 사이버 리스크 상태에 대한 독립적 검증을 받았는지 명확히 체크해야 한다.
또 이사회는 사이버 리스크 및 레질리언스 감독에 대해 최종 책임을 지고, CISO 등 임원을 지정해 사이버 레질리언스 관리 현황을 보고하도록 하고 매년 기업 전략 및 위험 수용범위에 부합하는 위험수용한도를 정의해야 한다. 그리고 조직에 적합한 사이버 사이버 레질리언스 계획을 수립, 구현, 테스트, 지속적 개선이 수행되도록 감독해야 한다.
특히 이사회는 고위 경영진과 함께 조직의 핵심 가치, 리스크 문화 및 사이버 레질리언스에 대한 기대치를 설정하고 모범을 보여야 한다고 가이드했다.
◇CEO 가이드
“사이버보안의 궁극적 책임자로 CISO와 직접 소통 경로 확보해야”
CEO는 이사회와 함께 리스크에 대한 이해를 유지하고 조직의 사이버보안 활동 및 관련 직원에 대한 궁극적 책임을 져야 한다. CISO 및 기술 담당자와 협력해 조직의 사이버 리스크에 적합한 사이버 보안 전략 및 프레임워크를 설정하고 전 임직원에 대한 사이버 보안 역할과 책임, 접근권한을 식별해야 한다. 그리고 CISO와 직접 소통 경로를 확보해야 한다.
이를 통해 조직의 보안정책, 표준, 통제수단 및 시행 절차 등이 모든 경영 조직에 균일하게 적용되도록 해야 한다.
또 CEO는 지속적인 위험 기반 분석을 통해 수준 높은 사이버 보안 인식 및 준비도를 확보하고 조직의 사이버보안은 일회성 절차나 일부 직원의 업무가 아니라 모든 사업적 결정 및 운영 상 고려 요인이며 모든 직원이 지켜야 할 수칙임을 조직 문화에 형성 시킬 의무가 있다.
◇CISO 가이드
CISO는 조직을 보호하기 위해 △위험 기반 정보보호 프로그램 개발 △악성코드 피해 예방 △직원 보안교육 △데이터 보호 △기기 보안 △비밀번호 사용 △권한관리 △무선 네트워크·장비 보안 △피싱 예방에 집중해야 한다.
CERT와 ISAC 등의 정보를 수집해 직면할 수 있는 위협과 취약점을 관리하고 경영진과 함께 사이버 보안 전략 수립과 전 직원 대상 사이버 보안 교육을 철저히 해야 한다.
또 고객 보호를 위해 △계정 관리 △데이터 보호 △공개용 웹 애플리케이션 보호 △직원 교육 △고객안내를 확고히 해야 한다.
고객이 안전한 ID/PW를 사용하고 다른 계정과 동일 PW를 사용하지 않도록 요구하고 로그인 시 2팩터 인증 방법을 제공해야 한다. 최소한의 고객 정보만 수집하고 전송/저장 시 암호화는 필수다. 고객 데이터 보안 정책도 확립하고 공개용 웹 애플리케이션에 대한 모의해킹을 수시로 시행 해야 한다.
끝으로 제3자 연계 보호를 위해 △공급 업체 및 제3자의 시스템 정보 유출이 회사에 미칠 수 있는 영향을 기준으로 기관별 위험도를 책정하고 정기적인 사이버 보안 평가 계획을 수립해야 한다.
보다 상세한 내용은 금융보안원 전자금융과 금융보안 보고서를 참고하면 된다.
★정보보안 대표 미디어 데일리시큐!★