스타벅스 해킹 에 대한 생각

오늘 스타벅스 앱카드 대규모 해킹 피해가 있다는 여러 건의 기사가 올라 왔습니다.  그런데 기사를 보자마자 생각난 것이 작년에 CISO (정보보호최고책임자) / CPO (개인정보보호책임자) 를 직무정지 시켰다는 기사입니다.  아래 하나는 오늘 기사이고,  다른 하나는 작년의 기사 입니다.  그런데 비슷한 키워드가 보입니다.  
 

 
 

스타벅스 앱카드 해킹

스타벅스, 앱카드 해킹 당한 줄도 몰라…고객 충전금 털려 (naver.com)

스타벅스, 앱카드 해킹 당한 줄도 몰라…고객 충전금 털려

[단독]스타벅스, 고객정보·2000억 예치금 탈취 우려 경고한 내부자에 `대기발령` - 디지털타임스 (dt.co.kr)

http://www.dt.co.kr/contents.html?article_no=2022080902109932102001

 
위 같은 기사 제목을 보면, 스타벅스의 신뢰도와 보안 시스템에 대한 의문이 생길 수 밖에 없습니다.  작년 8월의 후속기사는 보이지 않아서 다른 속사정은 알 수 없지만, 일반적으로 CISO 와 IT 조직간 불편한 관계인 것은 당연한 것이고, 경영진은 정보보호조직에 힘을 실어주어야 합니다.  기업은 보안에 지속적인 투자를 해야합니다. 아무쪼록 기업에서 보안 인력, 투자를 더 늘려서 고객의 피해가 없기를 바랍니다. 
 
 

CISO 를 IT 조직에서 독립시키는 이유

CISO(Chief Information Security Officer)를 IT 조직에서 독립시키는 이유는 여러 가지가 있습니다. 첫째로, 독립성과 중립성을 확보하기 위해서입니다. CISO는 보안 관리와 감사 역할을 독립적으로 수행해야 합니다. 이를 위해 CISO는 조직 내에서 독립된 위치에 있어야 하며, 다양한 이해관계자와의 중립성을 유지할 수 있습니다. 둘째로, 독립된 CISO는 보안 전략에 집중할 수 있습니다. IT 조직에서 CISO가 동일한 역할을 수행하는 경우, 운영적인 업무에 집중해야 할 경우가 많아 전략적인 보안 수준 향상이 희석될 수 있습니다. 독립된 CISO는 조직의 보안 정책과 방향성을 설정하고, 전략적인 관점을 제공할 수 있습니다. 셋째로, 조직적 효율성을 강화할 수 있습니다. 독립된 CISO는 보안 관리를 통합하고, 효율성을 높일 수 있습니다. 조직 내에서 보안 정책과 가이드라인을 표준화하고, 보안 역량을 강화할 수 있습니다. 또한, 독립된 CISO는 조직의 보안 수준을 향상시키기 위한 조기 경보와 대응 전략을 구축할 수 있습니다. 마지막으로, 일부 산업규제나 법적 요구 사항에서는 독립된 CISO의 임명을 요구하는 경우가 있습니다. 이를 준수하기 위해서도 CISO를 IT 조직에서 독립시키는 것이 필요합니다. 
 
일반적으로 정보보호조직은 소규모 일 수 밖에 없습니다.  경영진이 힘을 실어주지 않으면 일을 하기 어렵죠.  기업의 인식개선과 과감한 투자가 필요합니다.