보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

최근 CISO의 역할이 바뀌고 있다는데, 잘 따라오고 있을까

입력 : 2024-04-09 11:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
보안을 조용히 잘 한다는 건 이제 아무 소용이 없는 것이 됐다. 보안은 시끄럽게 잘해야만 하는 것이다. 많은 사람들이 참여하도록 설득하고 경고하고 보너스를 줘야 한다.

[보안뉴스= 네이트 넬슨 IT 칼럼니스트] CISO의 역할은 지난 10년 동안 상상 이상으로 커졌다. 여기에는 여러 가지 이유가 있을 수 있지만 그래도 가장 큰 영향력을 발휘한 건 디지털 전환(Digital Transformation)이다. 이 때문에 CISO들은 이전과 비교할 수 없을 정도로 사업에 관여해야 하고, 더 많은 역할을 수행해야 하며, 더 많은 사람과 다양한 방법으로 소통할 수 있어야 한다. 그러면서도 보안과 관련된 임무도 충실히 수행해야 한다.

[이미지 = gettyimagesbank]


지난 주 미국 라스베이거스에서 열린 CPX 2024 행사를 통해 국제적 규모의 조직들에서 근무하는 CISO들과 부회장들이 패널로 등장해 디지털 전환을 통해 받고 있는 압박, 나아지지 않는 보안 인지 수준 등에 대해 이야기를 나눴다. 그런 모든 요인들이 CISO의 기본적인 역할을 어떻게 바꾸고 있으며, 그래서 이과 출신들이 부쩍 문과의 능력을 발휘해야만 하는 상황으로 치닫고 있다고 토로했다.

다양한 말이 오갔지만 공통된 의견을 종합하자면 “오늘날의 CISO가 정말 잘 해야 하는 건 소통 혹은 소프트스킬”이라고 할 수 있다. 취약점을 패치하고, 위험을 완화하고, 정책을 가다듬어가는 등 조직 전체의 보안을 강화하는 데 있어 그 무엇보다 확실한 효과를 거두게 하는 건 다름 아니라 ‘소통 능력’이라는 것이다. CISO의 소통 능력이 조직 전체의 보안성을 좌지우지 한다는 것이 요즘 CISO들의 생각인 것으로 보였다.

디지털 전환, CISO를 바꾸다
IDC의 사이버 보안 부문 부회장인 프랭크 딕슨(Frank Dickson)은 “지난 10년 동안 CISO의 역할이 크게 바뀌었는데, 여기서 가장 큰 문제는 그 변화가 무엇인지 구체적으로 이해하기 위해 우리가 특별히 애쓰지 않았다는 것”이라고 지적한다. “수년 전 CISO라는 역할이 처음 도입됐을 때 우리의 사이버 공간에 존재하던 위협들은 그리 많지도 않았고 고도화 되지도 않았습니다. 해야 하는 일이 범위가 비교적 좁았죠. 지금도 많은 CISO들이 그 상태로 머물러 있습니다.”

CISO의 역할을 가장 먼저 ‘확대’시킨 것은 해커들이었다. 이들은 여러 기업들과 기관들에 침투하는 방법을 여러 가지로 개발하면서 공격의 ‘표면’을 넓혔다. CISO가 보고 살펴야 할 곳이 크게 늘어난 것이다. 하지만 여기까지는 그래도 견딜만 했다. 기업 내 존재하는 자원들 중 취약한 것들이 많아지는 느낌이었기 때문이다. 하지만 코로나 시대를 지나면서 기업 내 존재하는 자원들만이 아니라 기업 바깥에 존재하는 것들까지도 걱정해야 하는 상황이 됐다. 우리 회사 건물 안의 네트워크에만 시선을 집중시켰던 CISO들은 강제적으로 바깥 상황까지 살피는 역할을 담당해야만 했다.

그런 상황에서 디지털 전환이 점점 더 보편적인 필수 요소가 됐다. 디지털 전환의 핵심은 디지털 기술로 사업적 잠재력을 최대한으로 끌어내는 것이라고 할 수 있다. 그러므로 디지털 기술 활용의 한 축을 담당하고 있는 CISO들은 이제 회사 건물 안과 밖이 아니라, 자신의 전문 영역 바깥인 ‘사업’에도 참견해야하는 상황에 처하게 됐다. “IT는 늘 투자와 비용의 개념 안에 있던 분야입니다. 하지만 디지털 전환의 물결을 타고 그러한 개념이 빠르게 사라지고 있습니다. 오히려 새로운 수익 창구를 혁신적으로 만들어내야 한다는 기대감을 받는 분야가 됐습니다.”

IT가 새로운 수익의 창구가 되어야 한다는 건 CISO들에게 어떤 의미가 될까? “IT 인프라나 컴퓨터, 애플리케이션을 보호하는 것과 차원이 다른 규모의 것을 보호하는 사람이 됐습니다. 바로 ‘사업’ 그 자체죠. 물론 기존의 네트워크나 컴퓨터 보호 책임 역시 크게 보면 사업을 보호하는 것이었다고 말할 수 있습니다. 하지만 지금 CISO가 사업을 보호해야 한다는 건 좀 더 구체적이며 직접적인 개념입니다. 그러므로 뒤에서 아무도 모르게 선행하듯이 위험 요소들을 제거하는 역할만 하는 게 아니라, 사업 기획 회의에 나가서 여러 조언을 공격적으로 해야 하는 상황이 된 겁니다.”

IDC는 이번 CPX에서 최근 집계된 조사 결과를 하나 공개하기도 했는데, 이 역시 CISO의 역할 확장과 관련이 깊은 내용이다. “847명의 사이버 보안 결정권자들을 대상으로 조사했을 때 10%가 CISO의 가장 중요한 덕목으로 리더십과 팀빌딩을 꼽았고, 8%가 경영 관련 기술을 꼽았습니다. 전통적인 사이버 보안 분야의 스킬인 ‘보안 이해도’나 ‘IT 아키텍처 및 엔지니어링’ 등은 각각 12% 미만을 기록했습니다. 기존 CISO의 덕목이라고 여겨지지 않았던 것들이 크게 치고 올라온 것을 확인할 수 있습니다.”

CISO, 말랑말랑해지다
‘CISO가 기업가처럼 생각하고 움직여야 한다’는 것으로는 이 상황을 다 설명하지 못한다. 거기에 한 글자가 더 붙어야 한다. ‘CISO가 기업가처럼 생각하고 움직여야만 한다’가 맞는 표현이라고 CPX에 나온 전문가들은 입을 모았다. “그렇게 생각하지 않고, 그렇게 움직이지 않으면 솔라윈즈(SolarWinds)가 되는 거고, MGM이 되는 겁니다. 이전 CISO의 역할에 머물러 있다가는, 그 역할을 아무리 잘한다 해도 새로운 개념의 공격에 뚫린다는 뜻입니다.” 딕슨의 설명이다.

보안 업체 체크포인트(Check Point)의 CISO인 피트 니콜레티(Pete Nicoletti)도 여기에 동의하며 “기업가가 직원 관리 하듯이 CISO도 직원 관리부터 시작해야 한다”고 짚는다. “일반 임직원들의 보안 인지 제고가 결국 열쇠거든요. 그런데 이미 수년 째 보안 교육만으로 일반 임직원들의 보안 인식이 높아지지 않는다는 걸 우리는 경험하고 있어요. 에이스 취급 받는 뛰어난 사람들도 이상하게 보안을 귀찮아 하고 잊어버립니다. 결국 그들에게 몇 가지 가르쳐주고 혼자 놔두면 안 된다는 뜻입니다. 같이 있어줘야죠. 즉 보안 팀과 건강한 관계를 가지고 있는 사람일수록 보안 실천 사항을 더 잘 지킬 확률이 높다는 겁니다. CISO가 인간 관계에 세심한 공을 들여야 하는 때가 됐습니다.”

여기에 더해 “보안 실천 사항과 기술 자체는 최대한 숨어들어야 한다는 것도 CISO가 늘 기억해야 하는 사실”이라고 니콜레티는 설명한다. “CISO는 전면에 나오지만 보안 기술 자체는 숨어들어가는 추세입니다. 이제 안전하기만 해서는 안 되고, 안전하면서도 빨라야 하기 때문이죠. 외부에서부터의 접속을 안전하게 한다고 VPN만을 고집한다면 임직원들 사이에서 불평이 나올 수밖에 없습니다. 매번 한두 단계의 접속 과정을 더 거치는 게 여간 힘들지 않기 때문입니다. 힘이 들면 들수록 임직원들은 보안을 실천하지 않게 됩니다.”

딕슨도 동의한다. “저는 VPN이 통하는 시대는 지났다고 생각합니다. 올웨이즈온(always-on)이 뒷받침 되어 있는 랩톱이 훨씬 낫죠. 안전한 상태로 연결되어 있고 계속 켜져 있는 장비를 사용하게 하면, 누구라도 필요할 때 금방 컴퓨터 앞에 앉아 안전하게 작업을 시작할 수 있게 되죠. 이런 방식이 허락되지 않는 상황의 경우라면 로그인을 해야 할 텐데, 그 때 중요한 건 비밀번호를 입력하지 않아도 되게 하는 것입니다. 보안의 다음 미션이 바로 이 ‘패스워드리스’라고 생각합니다.”

관계를 개선하고 보안을 ‘쉽게’ 만드는 것 외에 또 CISO가 할 수 있는 일에는 뭐가 있을까? 딕슨은 “우리 회사의 경우 보안과 관련된 항목들에 핵심 성과 지표(KPI) 개념을 적용하고 있다”고 말한다. “다시 말해 보안을 잘 하고 못하느냐가 보너스와 직결되어 있다는 뜻이죠. 보안이라는 측면에서 성과가 좋은 부서는 다른 부서에 비해 더 높은 보너스를 받습니다. 반대의 경우라면 보너스가 줄어들죠. 없어질 수도 있고요.”

영원한 보안의 난제, 임원진들
여러 가지 방법으로 직원들을 보안의 장으로 이끌었다면 이제 남은 부류는 딱 하나, 임원진들이다. 위에서 언급한 IDC의 조사를 통해 IDC는 CISO 외 다른 C레벨 임원진들에게도 질문을 던졌다고 한다. “지금 CISO들이 무슨 일을 하고 있으며, 무엇에 집중하고 있는지 알고 있느냐”는 것이었다. 그 결과 임원진들조차 CISO를 이해하지 못하고 있다는 사실이 드러났다. CISO가 사업적인 측면에서 역할을 확대해야 하는 상황에서 C레벨과 CISO가 사뭇 동떨어져 있다는 건 큰 장애가 될 수 있다.

니콜레티는 “어떤 중요한 사업적 결정을 할 때 CISO가 처음에는 배제되다가 나중에 참여하게 되는 경우가 많다”고 지적한다. “그러다 보니 각종 보안 리스크를 완화시키는 문제에 있어서나 규정을 준수하는 문제에 있어서나 상당히 일이 꼬입니다. 그러면서 쓸데없는 비용과 시간이 낭비되죠. 게다가 ‘보안이 중간에 끼어서 일이 더 어려워졌다’는 잘못된 인상을 남기기까지 합니다. 재미있죠. 보안이 처음부터 개입됐다면 훨씬 수월했을 텐데 말이죠.”

그렇기 때문에 덴버브롱코스(Denver Broncos)의 부회장인 러스 트레이너(Russ Trainor)는 “임원진들이라 하더라도 계속해서 교육하고 일깨워줘야 한다”고 강조한다. “대단한 사상이나 이념을 심어주라는 게 아닙니다. 기업이 손해를 보지 않는 방법을 제안하라는 것이죠. 보안이 왜 비용 절감에 있어 중요한 개념인지, 어떻게 보안을 활용해야 하는지를 알려줘야 합니다. 저의 경우 사이버 보안 사고와 관련된 비용을 CFO에게 적극 알려주는 편입니다. 돈을 건드리면 C레벨들의 귀가 열리는 경우가 많습니다.”

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)