CIO와 CSO의 공존과 상생을 위한 조언

테크놀로지는 현대 기업 운영의 핵심이자 동시에 매 순간 철저한 관리를 필요로 하는 까다로운 과제다. 새로운 공격, 침입 기술은 나날이 발전하고 있지만, 여기에 대응할 보안 소프트웨어는 따라가기에 급급한 상황이다. 때문에 이를 관리할 최고보안책임자(CSO)의 어깨가 무거워졌다.

IT와 보안은 땔래야 땔 수 없는 관계로 맺어진 지 오래다. 두 영역은 분명 각자의 고유한 활동 리듬을 가지고 있지만, 이제는 리듬을 조화롭게 다듬어 공동의 목표를 향해 발걸음을 맞추는 게 필요해 졌다.

CSO의 부상
CSO라는 직책의 등장과 함께 직무 영역 간의 충돌이 가시화되고 있다. 얼마 전까지만 해도 데이터 센터는 CIO라는 절대적 권력자의 관리 하에 운영되는 공간이었지만, 그 곳에서 행해지는 비즈니스 운영 과정의 중요성이 커져감에 따라 이제는 CEO, COO의 운영 참여도 확대되고 있다.

CSO 역시 예외가 아니다. 정보 보안에 대한 기업 전반의 인식 수준이 높아지면서 비즈니스 전략 지원자로서 CSO의 권한도 확대되고 있고, CIO에게 이 새로운 최고 관리자와의 협력은 선택이 아닌 필수가 됐다.

PwC가 전세계의 CSO, CIO들을 대상으로 진행한 글로벌 정보 보안 현황 조사 2014(The Global State of Information Security Survey 2014)에 따르면, 많은 임원들이 보안 활동에 좀더 많은 예산을 투여해 기술 보호망과 보안 프로세스, 전략을 큰 폭으로 개선해야 한다는데 동의하는 것으로 나타났다.

공동의 영역 형성
IT는 비즈니스 이네이블러다. 그리고 보안은 비즈니스의 성공을 위해 IT의 모든 층위에 반드시 자리 잡아야 하는 존재다. 즉 진정한 비즈니스 가치 창출을 위해선 보안 전문가와 IT전문가 사이의 긴밀한 관계가 요구되며, 따라서 이 두 집단을 관리하는 CIO와 CSO는 각자가 진행하는 활동의 많은 부분을 서로에게 의지해야 하는 것이다.

그러나 두 집단이 다루는 논제나 취하는 방향에는 많은 부분 차이가 있다. CIO는 혁신을 강조하고 이를 위해 위험을 감수하는 반면, CSO의 최우선 목표는 위험을 줄이는 것이기 때문이다. 그렇다면 이들은 어떻게 서로 간에 놓인 간극을 메울 수 있을까?

BRM 홀디시(BRM Holdich)의 정보 보안 및 IT 보장 담당 책임자인 조 스튜어트-래트리는 CSO의 역할이 좀더 확대돼 CIO의 역할과 대등한 비중을 지녀야 한다고 이야기했다.

“CSO는 IT를 넘어선, 정보보안 활동 전반을 아우르는 직책이다. IT보안과 일반 비즈니스 영역에서 정보보안은 분명 다른 면이 있지만, 상호 참조가 필요한 부분도 많다. CIO가 IT전략을 구상하듯, CSO는 기업 정보 보안 전반에 적용할 전략을 구성할 역량과 권한이 있어야 한다. 그러나 이것의 중요성은 아직까지 많은 기업들에서 충분히 인식되지 못한 것 같다”라고 그는 말했다.

그는 “호주의 많은 기업들에 CSO나 CISO 직책이 없다. 이 직책이 존재한다 해도 CIO와 대등한 직책이 아닌, CIO에게 업무를 보고해야 하는 위치인 경우가 대부분이다. 이런 구조에서 두 집단 간의 이해 충돌은 불가피하다”라고 덧붙였다.

보고 체계
CSO의 역할을 CIO와 독립적으로 운영하는 것도 옳은 방식이다. 하지만, CSO가 CEO나 COO에게 직속으로 보고하는 구조도 IT와 정보보안간의 괴리를 형성할 수 있다는 점에서 적절한 방법은 아니다.

CSO와 CIO 간의 건전한 정보 공유 관계를 형성하고 유지하는 것이 중요한 이유가 여기에 있다.

스튜어트-래트리는 “CSO와 CIO가 대화를 많이 나눠야 한다. 이 두 직책이 적대 관계를 형성한다는 것은 절대 있어선 안될 일이다. IT의 활동에 안전망을 지원하고, 보안 활동에 기술적 자문을 제공할 수 있도록, 그리고 비즈니스가 진행하는 모든 프로젝트들에 안정적인 보안 역량이 포함될 수 있도록, CSO와 CIO는 다방면에서 협력해야 한다”라고 설명했다.

CSO가 CEO에게 직속으로 보고하는 방식은 보안 과정에 많은 저해 요인이 될 수도 있다. 기업의 보안 필요성에 관한 인식은 CIO가 더 낫기 때문이다.

글로벌 정보보안 조사 2014에서 응답자들은 보안 활동의 걸림돌로는 미래 비즈니스 요구사항이 정보보안에 미칠 영향에 대한 불충분한 이해, 리더십의 중요성에 대한 인식 부족, 효율적인 보안 전략의 부재 등을 가장 많이 지적했다.

이 보고서는 “보안을 미래 비즈니스 요구사항과 연계해 이해하고 보안 전략의 효율성을 확보하는 것이 비즈니스 운영의 근본적인 문제라는 점에서 기업들의 상황은 낙관하기 어려운 측면이 많다. 리더십, 특히 CEO의 리더십과 관련한 문제 역시 보안 역량 개선을 위해 중요하고 요구되는 사항으로 지적됐다”라고 설명하고 있다.

확장 중인 지평
스튜어트-래트리는 “보안 리스크와 비즈니스의 요구 사이에서 균형을 맞추기 위해서는 두려움과 불확실을 극복해야 한다”라고 말했다. CSO는 자신이 비즈니스의 일원으로서 리스크를 받아들일 수 있어야 하며 일정 부분에서는 보안의 시각에서는 이해할 수 없는 일들에 대해서도 타협하는 법을 배워야 하고, CIO의 경우 시장 역학의 변화를 인정할 수 있어야 한다는 것이 그의 설명이다.

그녀는 “보안 부문은 기업의 대표적인 ‘노(No)맨’으로 통했다. 하지만 요즘 여러 기업들을 방문해 관찰해 보면, 곳곳에서 의미 있는 변화가 일어나는 것을 확인할 수 있다. 이제 보안은 비즈니스의 제약이 돼서는 안 된다. 기업의 모든 조직의 최우선 목표는 비즈니스 활동을 촉진하는 것임을 우리는 이해해야 한다. 그런 의미에서 오늘날 보안 조직들이 보여주는 변화는 긍정적인 것이라 생각된다. 보안 조직들은 자신들이 비즈니스의 중요한 일원임을 인식해가고 있다”라고 설명했다.

그녀는 지난 해 IDG 로드쇼 기간 동안 경험한 일화를 소개했다. 당시 그녀는 다른 IT보안 대표와 한 IT프로젝트의 리뷰를 진행한 바 있다. 그리고 그 결과로 두 전문가는 모두 보안 리스크에 대한 검토가 선행돼야만 프로젝트 실행이 가능하다는 의견을 내놨다. 놀라운 것은 그들의 의견에 대한 해당 기업 CIO의 반응이었다.

스튜어트-래트리는 “프로젝트에 관한 조언을 들은 CIO는 ‘아, 그 문제라면 걱정 없습니다’라고 말했다. 많은 것이 변했음을 느낄 수 있는 답변이었다. ‘그 문제라면 걱정 없다’는 그의 말은, 리스크를 신경 쓸 필요가 없다는 의미가 아닌, 이미 그런 준비가 돼 있다는 의미였다. 그들은 보안의 영향은 이미 기본적으로 고려한 상태에서 그 토대 위에서 최적의 비즈니스 성과를 거둘 방법을 고민 중이었던 것이다”라고 설명했다.

홀로는 불가능하다
미국에서는 타깃(Target)의 정보 유출 사태 이후 문제의 원인이 어디에 있는지를 놓고 열띤 논쟁이 벌어진 바 있다. 비판 내용 가운데는 이들 기업이 전담 CSO를 임명하지 않고 보안 활동을 CIO에게 일임해왔다는 점이 주를 이뤘다.

스튜어트-래트리는 “이미 사고가 벌어진 뒤 말해 무슨 소용이 있겠냐만, 개인적인 입장에서도 CSO가 있었다면 좀더 중심이 잡힌 보안 활동이 가능했으리라 생각한다. CSO는 또 기업 임원진의 보안에 대한 인식 수준을 높이는데도 기여할 수 있는 직책이다”라고 말했다.

시스코 ANZ(Cisco ANZ)의 보안 담당 이사인 글렌 웰비는 CSO라는 존재가 상황을 다른 방향으로 이끌 수 있었을 것이라는 명제에는 동의하지만, 이러한 여론이 사태와 관련한 복잡한 문제들을 지나치게 단순화하는 측면도 있다며 우려를 표했다.

웰비는 “많은 이들이 말하는, ‘타깃에 CSO가 있었다면, 유출 사고는 일어나지 않았을까?’라는 물음은 사건을 지나치게 단순화하는 것이다. 맞는 말이긴 하다. CSO가 있었다면, 좀더 본질적으로 문제에 접근하고 기업 내부에 침입하려는 악의적 손길을 차단할 도구를 더 전문적으로 모색할 수 있었을 것이다”라고 말했다.

그는 “유입되는 모든 것을 필터링하고 문제가 될법한 모든 대상들에 조치를 취한다면, 당연히 문제를 예방할 수 있다. 핵심은 이러한 과정을 선행적으로 진행할 기업이 현실적으로 얼마나 되는가다”라고 덧붙였다.

마지막 조언
CSO와 CIO간의 간극을 줄이기 위해 스튜어트-래트리가 전하는 마지막 조언은 둘 사이의 공통 분모에 주목하라는 것이다.

그녀는 “서로를 좀더 잘 이해하고 싶다면, 한 자리에 마주 보고 앉아 서로 간의 차이가 아닌, 공통점에 관해 이야기를 나눠보라. 이 과정을 통해 두 리더는 서로 간의 차이점이 생각보다 크지 않음을 발견하게 될 것이다. 색안경을 끼고 서로를 바라본다면, 절대 좋은 결과를 이끌어낼 수 없다”라고 조언했다.

웰비는 CSO-CIO 관계의 핵심으로 신뢰를 강조했다.

웰비는 “보안 전문가와 IT전략 책임자 간의 진정한 신뢰가 핵심이다. 당신이 CIO라면, CSO에게 이런 말을 건네보라. ‘당신은 내가 전략적 차원에서 이해해야 할 지식을 가진 사람입니다. 난 우리 기업을 보다 나은 방향으로 이끌 기술적 방안을 모색하는데 당신의 이야기에 귀 기울일 것입니다’”라고 말했다.

그는 “CSO의 신뢰를 얻고자 노력하라. 신뢰는 CSO에게 자신들에게 전해지는 IT의 지원과, 기업의 기대를 확실하게 인식 시킬 가장 좋은 도구다. 협력 없는 성공은 불가능하다”라고 덧붙였다.

마지막으로 스튜어트-래트리는 채용 과정의 문제도 지적했다. 모든 CIO, CSO들이 여타 C-레벨 임원들과 같은 협조력, 친화력을 가지고 있는 것이 아니기 때문이다.

그녀는 “C-레벨 임원들 간에는 이 신흥 직급에 어떤 이를 임명할지, 나아가 어떤 이들을 임명해야 상호 간의 협력이 원활하게 가능할 지에 대해 서로 대화를 나눌 수 있는 구조도 갖춰져 있어야 한다. 핵심은 책임감이다. 업무 간의 공통 분모가 존재하는 상황에서 서로에게 책임을 떠넘기기만 하는 CIO나 CSO는 절대 바람직하지 못하다”라고 강조했다.

dl-ciokorea@foundryco.com