다른 C-레벨 임원들이 CISO에 기대하는 바는 기술전문가로서의 역량이다. 문제는 CISO의 기술력이 너무 전문적이고 범위가 좁다는 데 있다.
Credit: Thinkstock
최고 정보 보안 책임자(CISO)와 최고 보안 책임자(CSO)들에 대해 최근 “보안 전문가만으로는 충분하지 못하다”는 이야기가 많다.
교육 프로그램을 통해서 혹은 훌륭한 교육 프로그램만으로 단순 기술자들을 한 단계 업그레이드 시키는 게 가능한지는 여전히 미지수다.
이러한 인력에 대한 수요는 분명 존재한다. 많은 기업에서 CISO들이 C-레벨 임원이긴 하지만, 조사 결과를 보면 CISO의 역량이 너무 제한적이어서 “비즈니스 언어를 모른다”는 이유로 다른 최고경영진들보다 한 단계 낮게 평가 받는 게 보통이고 비즈니스 의사결정에서의 전략적 참여자가 아닌 데이터 유출 사고 발생시 희생양이 될 임원이었다.
쓰렛트랙(ThreatTrack)에서 1년전 한 조사에서는 응답한 203명의 최고경영진의 74%가 CISO들이 최고경영진에 어울리지 않는다고 생각하는 것으로 나타났다.
그때에 비해 지금 상황은 나아지지 않았다. 쓰렛트랙은 지난 6월 차후 보고서를 통해서 CISO가 어느 정도 진전을 보였지만 여전히 갈 길이 멀고 다른 최고경영진들은 “CISO의 리더십 능력과 보안 이외의 비즈니스에 대한 이해에 심각한 의문”을 표현하고 있다는 점을 보여주었다.
하지만 변한 부분도 있다. 문제에 대한 인식이 더 퍼졌고, 수많은 IT업체들이 그 해결책을 제시하고 있다.
1년 전 2014 RSA 컨퍼런스에서는 ‘회계부터 직원 행동 이해와 이사회 대응에 이르는 CISO에 영향을 미치는 많은 비즈니스 측면들을 논의하는’ 반일 세션을 제공했다.
2014년 6월 딜로이트 사이버 리스크 서비스(Deloitte Cyber Risk Services)는 CISO를 단순한 ‘기술자와 데이터 보호자에서 비즈니스 마인드를 가진 조언자이자 전략가’로 격상시키기 위해 ‘이머시브 CISO 트랜스포메이션 랩(immersive CISO Transformation Lab)’을 출범시켰다.
에어로FS(AeroFS)의 CEO이자 공동창업자인 유리 사가로프(왼쪽 사진)는 수많은 CISO와 CSO들이 기업 이사회에서 쏟아지는 질문에 대비하는 것을 도왔다고 말했다.
하지만 교육 특히 ‘몰입’ 교육만으로 기술자들을 비즈니스 리더로 바꾸기에 충분할까? 지난 6월 “당신의 XQ 수치는 얼마인가?”라는 제목의 타임지 커버스토리는 단순히 몇 가지 새로운 정보를 흡수하거나 능력을 개발하는 것 만으로는 문제가 더 복잡할 수 있음을 시사하기도 했다.
타임지는 더 많은 고용주들이 직무 능력만으로는 불충분하고 성격, 기질, 소질 같은 분야에서 역할에 잘 맞아야 한다는 생각에 성격 테스트를 활용해 지원자들을 걸러낸다고 보도했다.
하지만 몇몇 IT전문가들은 그게 어느 정도 효과가 있겠지만 CISO들은 비즈니스 리더로서도 임무를 잘 해낼 수 있다고 말했다.
사가로프는 제대로 된 교육과 멘토링을 통해 “IT의 많은 사람들이 고위 경영진으로 올라설 수 있다”고 말했다.
그리고 그는 성격 테스트도 절대적인 게 아니라고 이야기했다. “연구들을 보면 성격테스트가 직원의 직무 성과를 예측하는데 있어서 신뢰도가 낮으며 지원자를 걸러내는데 쓰일 때 위법을 저지를 수도 있다”고 그는 말했다.
옵티브(Optiv) CISO실의 정보 위험 관리 부회장 제임스 크리스티안센(왼쪽 사진)은 그 자신이 그렇게 변신한 사례라고 이야기했다. 그의 이력서에는 과거 GM의 CISO, 비자 인터내셔날(Visa International)의 정보 보안 부서 총괄이자 선임 부회장 같은 직위가 나와 있다.
그는 기술자로 경력을 시작했으며 시스템 고장의 원인을 찾기 위해 “수 천 줄의 16진법 인쇄물을 파고 또 팠다”고 회상했다.
“이후 나는 전세계 수 천명의 직원을 이끌었고 심지어 새 회사를 설립하기도 했다”고 그는 말했다. 이어서 “내가 IT에서 기술직으로 시작했다고 내 성장에 장애가 되지는 않았다”고 덧붙였다.
하지만 그는 “내 자신에게 경영 능력, 프레젠테이션 기술, 심지어 옷 입는 것 까지도 다시 배워야 했다”고 인정했다.
사이버 위험 서비스 딜로이트 어드바이저리(Deloitte Advisory)의 이사인 마이클 와야트는 사람을 한 성격에서 다른 성격으로 바꾸는 건 불가능하지만 “커뮤니케이션 방식을 ‘유연화’하는 필요에 대한 인식을 높이는 데는 큰 성공을 거두었다”고 말했다.
와야트는 딜로이트 랩이 전략가, 조언자, 보호자, 기술자라는 ‘CISO의 4가지 측면’에 초점을 맞추고 있다고 말했다.
그는 대부분의 CISO들이 가장 익숙한 보호자와 기술자 역할에 초점을 맞춘다고 말했다. 하지만 그들 대부분은 CISO가 ‘비즈니스 언어로 이야기하는’ 능력에 대한 필요성을 다른 식으로 표현한 “핵심 커뮤니케이션 기술”의 개발을 통해 전략가와 조언자의 역할로도 성장할 수 있다고 그는 이야기했다.
쓰렛트랙의 회장 존 리옹(왼쪽 사진) 역시 많은 CISO들이 “강력한 전략 비즈니스 조언자가 될 능력이 있다”고 생각했다.
하지만 그의 회사 조사에서 찾아낸 점에 근거해 그는 “IT와 별개 영역으로서 사이버보안이 여전히 새로운 개발분야라는 이유로 때문에 CISO가 이사회에 적응하는데 어려움이 있다”고 의견을 같이 했다.
이런 시각에 베라코드(Veracode)의 공동창업자이자 CTO인 크리스 와이소팔도 동의했다. “사람은 변하고 적응할 수 있지만 CISO의 역할이 여전히 상당히 새로운 분야이고 훌륭한 CISO의 기준이 여전히 정의되는 단계”이기 때문에 “적응하는 일이 쉽지만은 않을 것”이라고 와이소팔은 이야기했다.
“만약 당신이 CEO, CFO, CMO 등 다른 최고경영진 역할들을 본다면 이들은 수십 년간 이어져왔고 이들의 성공 평가에도 규정된 경로가 있다. CISO는 생긴지 10년에서 15년정도 되었지만 몇 년 전까지만 해도 기술자적 역할 이외에 별달리 영향력이 없었다.”
그리고 기술적 능력이 CISO의 ‘기능적’ 성공의 열쇠지만 “그런 부분이 현재 당신의 전형적인 최고경영진들과 함께 일하는데 필요한 비즈니스 재능이나 커뮤니케이션 기술과 잘 맞지는 않는다. 기술이 아니라 위험의 관점에서 생각하고 이 위험이 비즈니스의 여러 측면에 어떻게 연관되는지로 사고방식을 바꾸는 게 필요하다”고 와이소팔은 밝혔다.
크리스티안센도 그 역할에 다른 이름을 붙여야 되는 시점까지 왔다며 와이소팔의 의견에 동의했다. 그는 “CISO의 역할이 최고 정보 위험 책임자(CIRO)로 진화하고 있다”며 “CIRO는 이전의 CISO보다 훨씬 폭넓고 영향력 있는 책임감을 많이 가진 진정한 최고경영진의 일원이다”고 말했다.
이러한 진화는 CISO를 다른 최고경영진들이 진보와 생산성의 장애물로 보는 융통성 없는 보안 정책을 집행하는 기술관리라는 시각까지도 없애줄 것이라는데 전문가들은 동의했다.
리옹에 따르면 CISO들은 성공적인 CIO를 모델로 활용해야 한다. “그들은 CIO들이 어떻게 현재 비즈니스의 모든 측면에서 기술을 전략적 요소로 만들었는지를 배우고 이를 사이버보안에 적용시킬 필요가 있다”고 그는 말했다. “CISO들은 SOC 안에만 있을 수 없다. 그들은 전체 기업과 조직에 있어서 정보의 흐름을 이해해야 할 필요가 있다”고 덧붙였다.
크리스티안센은 그 중 일부가 현재 회사가 ‘위험 회피적인지’ 아니면 ‘위험을 감수하는지 그리고 CEO의 올해 최고 목표는 무엇인지’ 등의 그들이 일하는 회사의 문화 이해로 결론난다고 이야기했다.
“성공적인 CISO들은 그들이 하는 각각의 프로젝트들을 비즈니스 전략에 연결시키고 공개적으로 그들의 보안 프로그램이 매출과 회사 최종 결과물에 기여할 수 있는지 이야기한다”고 그는 말했다.
와이소팔(왼쪽 사진)은 비록 교육이 의무지만 “교육은 궁극적으로 새 환경에 적응하기 위해 CISO들이 기꺼이 쏟는 노력에 달려있다. 물론 실패자도 있을 텐데 이런 역할 진화에서 자연스러운 일이다”고 강조했다.
하지만 그는 보안 프로그램이 기업에 가지는 중요성과 효과를 볼 때 “그런 전환은 오로지 CISO의 책임이 되어서는 안된다”고 덧붙였다. “최고경영진은 이미 CISO에게 필요한 능력들을 충분히 가지고 있기 때문에 그들이 CISO를 도와야 한다”고 그는 말했다.
“효과적인 CISO는 모든 회사의 리더십에 강력한 힘을 더해주고 그래서 그로 이끄는 성장을 증진시키기 위해 모든 이들에게 최선이다”고 그는 전했다.
하지만 이러한 전환은 어느 정도 시간이 걸릴 것이다. “모든 편견이 극복하기까지 어려움이 있듯, 보안 직원은 비즈니스를 활성화하기보다 데이터를 지키는데 집중해야 한다는 편견도 극복하기 어려울 것이다”고 크리스티안센은 이야기했다.
dl-ciokorea@foundryco.com
