[북리뷰] 팀장부터 CEO까지 알아야 할 기업 정보보안 가이드

2022년의 첫번째 한빛출판사의 '나는 리뷰어다'에서 선정된 도서는 '팀장부터 CEO까지 알아야 할 기업 정보보안 가이드'입니다.

이 책에 대한 소감을 한마디로 정리하자면 '어쩔수 없이 보안조직을 만들어야 했던 모든 CEO들에게 들려주고 싶은 이야기'입니다.

우선 이 책을 지은 저자인 강은성님의 기고문을 현장에서 워낙 다방면에 걸쳐(주로 임원들을 설득할 때) 사용하고 있기 때문에 많은 기대를 하며 본 책이었고 기대 이상으로 볼만한 도서라고 평하고 싶습니다.

이 책은 팀장부터 CEO까지라는 타이틀을 걸었고 내 한줄평에 CEO들에게 들려주고싶은 이야기라고 했지만 정보보호 관리 업무의 실무자인 나에게도 그리고 관리 영역으로 성장하고자 하는 주니어까지도 충분히 업무에 활용이 가능한 이야기가 담겨 있다고 생각됩니다.

책의 구성을 보면

1장. '기술리더? 비즈니스리더!'에서는 정보보호 책임자에 대해 다루고 있습니다. 그나마 요즘은 CISO나 CPO 전임 임원 또는 전임 책임자가 많이 늘어나긴 했지만 여전히 CTO, CIO나 서비스운영부서의 책임자가 어쩔 수 없이 CISO나 CPO를 겸임하고 있는 기업이 많이 남아있는 것도 사실입니다. 이 경우 대부분은 정보보호가 필요하니까 라는 생각보다는 법에서 지정하라고 하니까 하는 경우가 많고 따라서 이들에게는 내가 무슨 업무를 해야 하는건지도 명확하지 않은 경우가 대부분입니다. 물론 아래에 있는 정보보호부서에서 개인정보보호법이나 정보통신망법 등에서 요구하는 그들의 역할을 알려주고는 있지만 그때뿐인 경우가 많습니다. 그래서 이 장이야 말로 정말 C레벨 임원들에게 들려주고 싶은 이야기가 총망라 되어 있습니다.

2장. '지금 우리에게 필요한 것은?'에서는 정보보호 거버넌스를 다루고 있습니다. PDCA로 대변되는 정보보호의 일련의 과정부터 조직구성, 협업, 투자까지 기업의 정보를 보호하는데 있어 반드시 필요한 목표와 이를 이루기 위해 필요한 것들을 모두 정리해놓은 챕터입니다.

3장. '공격 관점에서 방어 관점으로'는 관리체계와 중요 자산 보호에 대해 얘기하고 있습니다. 관리체계라고 하면 ISMS 인증을 떠올리기가 쉽지만 ISO27001이나 그밖의 인증뿐 아니라 자체적으로 구축한 관리체계까지도 모두 이야기 하고 있숩니다. 1, 2장이 정말 C레벨이 꼭 봐야하는 어찌보면 주니어에게는 약간은 거리가 있는 얘기라면 3장부터는 정보보호 관리 업무를 하는 주니어에게도 충분히 도움이 되는 이야기라고 볼 수 있을 것 같습니다.

4장. '연습은 실전처럼-실전은 없는 게 좋다'에서는 위기관리를 얘기하고 있습니다. 장의 제목처럼 실전은 없는게 좋지만 정보보호 업무를 계속 하면서 위기가 닥치는 일을 경험해보지 않은 사람이 과연 있을까 싶습니다. 이게 외부의 공격이 됐든 내부직원의 고의가 됐든 내부직원의 실수가 됐든.... 실제로 아무리 통제를 한다고 해도 직원들의 실수는 계속 발생하고 특히 예전처럼 폐쇄된 환경을 만들이 어려워지고 있는 요즘의 업무환경에서 그 위험은 더더욱 커지는 듯 합니다. 이 장은 정보보호부서 뿐 아니라 대외 커뮤니케이션 부서나 법무부서 등 위기관리를 하는데 있어 필요한 부서의 협업을 강조하고 있는 만큼 회사 내 그러한 부서들과 함께 봐도 좋을만한 챕터입니다.

5장. '멀리하고 싶지만 가까이 있는 당신'은 규제대응에 대한 부분입니다. 개인적으로 가장 편하게 본 챕터입니다. 아무래도 계속해서 법에 대해 공부하고 가이드 분석하는 것을 취미와 업무가 공존하는 영역으로 느끼고 살다보니 이 부분이 가장 재미있는 챕터였습니다. 하지만 법을 싫어한다고 하더라도 정보보호 업무를 한다면 어쩔수없이 반드시 알아야 하는 챕터이고 법령에 대해 잘 정리가 되어 있으니 이 챕터는 주니어들부터 반드시 읽어보도록 권하고 싶은 챕터입니다.(사실 정보보호 업무로 성장해온 C레벨이라면 이 영역에 대해서는 모를리가 없다는 생각이 듭니다.)

6장. '노-력하는 자가 이긴다'는 책임자의 역량에 대해 이야기 하고 있습니다. 책임자는 분명 실무자와 역할이 다릅니다. 물론 정보보호 업무를 하면서 비즈니스에 대해 신경을 쓰지 않는다는 것은 아무리 주니어라고 하더라도 불가능합니다. 하지만 책임자가 보는 비즈니스 관점과 정보보호 실무자가 보는 비즈니스 관점은 다를수밖에 없고 결국 결정을 내려야 하는 책임자는 정보보호와 비즈니스 사이에서 누구보다 균형을 잡아야 하기 때문에 실무자로서 그동안 가져왔던 역량과는 색다른 역량이 필요하고 그 내용이 이 챕터에 담겨있습니다. 이제 정보보호업계에서 10년이 넘어가고 있는 본인에게 어떤 챕터보다 와닿는 챕터이기도 했습니다.

이 책은 관리자를 위한 책으로 제목에서 말하고 있기 때문에 실무자와는 동떨어진 얘기가 아닐까 생각할수도 있지만 정보보호 관리 업무를 하는 사람이라면 누구나 반드시 읽어볼 필요가 있는 책이고 정보보호 기술 업무를 하는 실무자라 할지라도 주니어에서 시니어로 넘어가는 단계에 있다면 그리고 눈을 넓힐 필요가 있다고 생각된다면 반드시 읽어보라고 권하고 싶은 책입니다.

 

"한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다."