지난 수십년 동안 CIOS라는 직책이 있었지만 여전히 많은 대기업들은 이를 전담하는 책임자를 두지 않았다. 그러다 대형 보안 사고가 터지면, 그
어떻게 하면 임원급 정보보안 책임자가 될 수 있을까? 이들은 사이버보안 부서를 이끌기 위해 기술적 이해와 리더십 능력이라는 독특한 조합을 어떻게 개발했을까? 몇몇 사이버보안 책임자급 임원들의 경력들을 보면서 이들이 어떻게 그 자리에 앉게 됐으며 이들의 보안 접근방식은 어떤지에 대해 알아보자.
20년 전에는 사이버보안 문제를 전담하는 임원을 회사는 거의 없었다. 현재 미국의 많은 기업들과 정부 조직들은 전담 사이버보안 조직과 임원급 책임자를 두고 있다. 몇몇 데이터포인트들은 CISO 역할의 중요성을 보여주는 역할을 하게 될 것이다.
• 1,600명 이상 : 링크드인에 자신을 CISO라고 적은 미국 내 CISO의 수는 1,600명이 넘는다. 지리적으로 CISO들은 주요 도시 중심에 집중되어 있다: 워싱턴 DC 수도권에는 200명이 있고, 뉴욕시에는 150명 이상의 CISO가 있다.
• CISO를 둔 조직들의 손실이 적다 : CISO를 둔 회사들은 데이터 유출에서 상실 기록당 8달러의 손실을 입었다. 반면 CISO가 없는 회사들은 데이터 유출에서 상실 기록당 24달러 더 많은 손실을 입었다고 포네몬 인스티튜트(Ponemon Institute)의 2013 데이터 유출 비용 연구(Cost of Data Breach Study)에서 밝혔다.
• 18만 9,323달러 : 샐러리닷컴(Salary.com)의 2015년 12월 자료에 따르면, 미국 내 평균 CISO의 연봉은 18만 9,323달러다.
• 사이버보안에서의 MBA : 몇몇 대표적 비즈니스스쿨은 사이버보안에 대한 (혹은 사이버보안을 크게 강조한) MBA 학위를 제공한다. 대표적인 대학으로 코벤트리 대학(Coventry University), 조지 워싱턴 대학(George Washington University) 세계 경영자 MBA, 알바니 대학(University of Albany) 등이 있다.
전문성을 갖추고 경력 쌓기
CISO로 성공하는 데에는 기술 전문성, 탄탄한 커뮤니케이션 능력, 강력한 네트워크가 필요하다. CISO 직위가 비교적 새로운 것이고 보안 과제들이 급속도로 진화하기 때문에 CISO가 되는데 여러 경로가 있다. 패시픽 가스 & 일렉트릭 컴퍼니(Pacific Gas & Electric Company)의 CISO인 버니 코웬스는 물리적 자산과 군 정보 보호에 초점을 맞추는 일로 미국 육군에서 경력을 시작했다.
패시픽 노스웨스트 국립 연구소(Pacific Northwest National Laboratory)의 CISO인 트로이 톰슨은 복잡하고 고차원적인 보안 조사 프로젝트에 지원해 이 업무를 맡고 나서 승진했다. 올스테이트(Allstate)의 CISO 제프 라이트는 네트워크 보안에서 전문성을 개발했다. 모든 사례들에서 기술적 전문성의 토대는 CISO가 되는 첫걸음이다.
CISO로 채용되는 것은 다양한 사람들이 연계된 복잡한 프로세스다. “나는 CISO로 일하기 전 6개월간 전국에 있는 헤드헌팅 회사들의 연락을 받았다”고 20여 곳 이상의 조직에서 면접을 본 코웬스는 말했다. 다른 조직들은 알맞은 사람을 찾기 위해 개인적인 네트워킹을 강조했다. “내가 채용되기 몇 년 전 나는 올스테이트 중역들을 만난 적이 있었다. 그때 이후로 우리는 서로에 대해 잘 알게 되고 올스테이트에 합류하도록 권유 받았다”고 올스테이트의 라이트는 말했다. 여러 면접과 오랜 채용 프로세스는 CISO 직위로 올라서는 과정에 있어서는 당연한 절차다.
반대자에서 비즈니스 공헌자로
정보보안 종사자들은 경우에 따라 안타까운 평판을 듣기도 했다. “전통적으로 회사들은 공격이 발생하기를 기다리는 방어적인 자세를 유지했다”고 코웬스는 지적했다. “언젠가는 ‘거부만 하는 사람’이나 ‘반대 박사’같은 오명을 얻은 CISO를 만난 적도 있는데, 그가 비즈니스에 계속해서 부정적인 반응을 보였기 때문이었다”고 텔레테크(TeleTech)의 CISO 샘 마시엘로는 말했다. 부정적이고 수동적인 자세에서 주도적인 리더십으로 CISO에 대한 인식이 서서히 바뀌고 있다.
능동적인 정보보안 리더십 접근방식은 가장 높은 단계에서 시작한다. “이사진은 사이버보안에 대해 관심을 가져왔고 나는 거의 모든 이사진 회의의 아젠다에 올라있다”고 PG&E의 코웬스는 말했다. “이사진, CEO, 간부들은 사이버보안에 크게 관심을 가지고 있다. 나는 이 주제에 대해 연례 행사 정도로 다루는 게 아니라 일상적으로 이들과 이야기를 나눈다”고 라이트는 설명했다. “사이버보안 주제에 대해 한 페이지 분량의 요약보고서를 작성해 보여주는 것은 이사진들의 보안에 대한 지식을 높여주기 위해 내가 활용하는 접근방식 중 하나다”고 코웬스는 강조했다.
이제는 보안을 ‘보안 대 비보안’이라는 구도 대신 위험의 문제로 봐야 하며, 이것이 바로 CISO들을 비즈니스 반대자가 아닌 공헌자로 인식하게 하는 중요한 자세다. “나는 ‘이게 우리가 할 수 있는 방법이다’식의 태도를 보안 리더들에게 채택하는 방안을 추천한다”고 코웬스는 전했다. 현업과 효과적으로 협력하는데 실패하면 그 여파는 상당하다. “만약 당신이 비즈니스 장애물로 인식되면, 비즈니스는 ‘멋대로 가고’ 보안 조직의 지원이나 조언 없이 행동하게 된다”고 2015년 텔테크에 CISO로 합류한 마시엘로는 이야기했다.
보안 문화 구축하기
CISO들이 조직 내 최고의 보안 팀과 기술을 구축하고서도 여전히 보안을 경시하는 문화 때문에 실패할 수 있다. “사이버보안 교육은 마치 치과에 가는 것과 같다. 필요한 일이지만 대부분의 사람들이 힘들어 한다”고 패시픽 노스웨스트 국립 연구소의 사이버보안을 이끄는 트로이 톰슨은 지적했다. 교육이 고통스럽고 환영 받지 못할 때 비-보안 직원들이 새로운 행동지침에 집중하고 따를 가능성이 낮아진다는 것이다.
“우리는 조직 내 사이버보안 교육 촉진에 마케팅 접근방식을 취했다”고 올스테이트의 라이트는 말했다. 수만 명의 직원들을 가진 올스테이트는 사이버보안 기술을 촉진하는데 큰 어려움을 겪었다. “우리는 우리 고객들에게 보험을 판매하던 데서 배운 바를 사이버보안 캠페인 구축에 활용했다”고 라이트는 전했다. “우리가 전달한 핵심 메시지는 당신의 결정 즉 링크를 클릭하거나 민감한 데이터의 스프레드시트를 처리하는 방식이 전체 조직에 영향을 미친다는 것이었다”고 라이트는 설명을 이어갔다. 그런 교육 프로그램을 갖춰두고 올스테이트는 모든 직원들의 책임소재를 분명히 하는 프로그램을 시행했다.
미래의 CISO를 위한 조언
만약 이미 보안 분야에서 어느 정도의 명성을 쌓았다면 정확히 어떻게 해야 CISO가 될 수 있을까? 이에 대해 다수의 CISO들은 효과적으로 다양한 사람들과 커뮤니케이션 하는 능력이 필수적이라는 답을 내놨다. “내 역할에서 나는 이사진, 내부 직원, 정부 담당자들과 보안 문제에 대해 상의한다”고 라이트는 말했다. 규제기관에서 제기한 보안과 프라이버시 문제 해결은 보험, 은행, 유틸리티, 기타 고도 규제 산업 분야에서 급속도로 더욱 중요해지고 있다.
“IT 운영에서의 강력한 경험은 CISO로서 당신의 신뢰도를 높여준다. 이는 당신이 그들의 상황을 이해함을 의미한다”고 톰슨은 덧붙인다. “타 조직 소속을 포함한 멘토와 동료들과의 관계 개발은 경력 개발에 가치 있게 작용한다”고 톰슨은 말했다. “고도로 민감한 사이버보안 업무의 성격상 시간을 들여 오랜 시간에 걸쳐 관계를 구축하는 게 도움이 되다”고 그는 당부했다. CISO로서의 성공하는 데에는 빠르게 다양한 사람들에게 맞춰주는 능력, 위험에 기반한 시각과 강력한 관계 구축이 반드시 필요하다.
*Bruce Harpham은 프로젝트매니지먼트해커스닷컴(ProjectManagementHacks.com)에서 기술과 프로젝트 관리를 담당하고 있다.
dl-ciokorea@foundryco.com
