보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

할 일은 많고 입지는 좁아지는 CISO들, 어떻게 가치를 증명하나

입력 : 2023-05-19 12:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
현대 CISO들만큼 살아남기 힘든 부류들도 찾기 힘들다. 아무리 열심히 해도 성과가 눈에 띄지 않고, 전혀 엉뚱한 사람 하나의 실수 한 번이 CISO의 모든 노력을 수포로 돌릴 수 있기 때문이다. 제법 높은 위치에 있으면서도 늘 가치를 증명해야만 하는 CISO들은 어떻게 살아남아야 할까?

[보안뉴스 문정후 기자] 글을 통해 전달되는 CISO의 역할은 간단하기 그지없다. IT 보안을 강화하여 해킹 사고를 막는 것이다. 하지만 이 ‘보안 강화’의 임무라는 것이 얼마나 복잡하고 어려운 일이 되어가고 있는지, CISO의 역할 역시 점점 난해하고 까다로운 것으로 변해가는 중이다. 그럼에도 CISO가 하는 일의 가치를 증명하는 것이 어려워 CISO들은 사고 발생 시 가장 먼저 책임을 지는 자로서 하루하루 불안하게 살아갈 수밖에 없다. 그러므로 가치 증명이 CISO의 생존 전략이라 할 수 있는데, 이를 네 가지로 종합해 본다.

[이미지 = gettyimagesbank]


1. 데이터 보안의 가치를 늘 이야기하라
미국의 유명 은행강도인 윌리 서튼(Willie Sutton)은 이렇게 말한 적이 있었다. “내가 은행을 터는 이유는 거기에 돈이 있기 때문이다.” 오늘 날 사이버 공격자들은 데이터를 훔친다. 그러므로 데이터가 있는 곳을 자꾸만 공략하는 게 당연하다. 올해 초 세계경제포럼(WEF)에서는 “사이버 공격으로 인해 발생할 피해액은 2025년까지 10조 달러에 이를 것”이라고 발표하기도 했었다. 데이터라는 곳에 그만한 돈이 있다는 걸 공격자들은 아주 잘 알고 있다.

이런 상황에서 CISO가 할 일은 회사의 데이터를 보호하는 것이다. 아직 임직원들은 ‘데이터 = 돈’이라는 것을 마음으로 인지하고 있지 않다. 어디서 들어본 말이지 실제적으로 받아들이지 않고 있다. 마치 서튼과 같은 은행강도가 들끓는 때에 돈은 그저 종이일 뿐이라는 생각으로 살아가는 것과 같다. 그러므로 CISO는 제일 먼저 ‘데이터가 얼마나 큰 가치를 가지고 있는가’를 반복해서 알리고 설명해야 한다. 내가 부주의하게 다뤄서 잃는 데이터가 사실은 큰 돈이라는 걸 깨닫게 하는 것이 급선무다.

성숙한 조직에서라면 데이터 손실을 유발할 수 있게 하는 위험한 행위를 단순 규정과 벌칙으로만 근절시키려 하지 않을 것이다. 채찍만큼 당근도 균형 있게 줄 수 있다. 바로 이러한 ‘균형 잡기’에 CISO가 적극 참여해야 한다. 리스크를 줄이는 데 있어 어떤 규정을 설정해야 하는지, 어떤 처벌이 적당한지, 또한 비즈니스 활성화라는 측면에서 데이터 활용을 어떤 식으로 권장할 것이며, 직원들이 어떤 가이드라인 안에서 활동할 수 있게 할 것인지, 안전한 활용을 통해 극대화 된 효과를 낸 직원에게 어떤 상을 줄 것인지 등을 알려야 한다.

2. 예산을 영리하게 확보해야 한다
CISO가 현장에서 부족함을 느끼는 건 인력과 예산이다. 보안은 누가 뭐래도 IT의 한 분야이기 때문에 IT 장비와 기술력에 대한 의존도가 높다. 좋은 장비와 솔루션이 있으면 그만큼 보안이 강력해지는 건 사실이다. 하지만 그 보안 장비들은 획기적인 제품을 기획하거나 생산하는, 가시적인 성과를 내는 것들이 아니다. 돈을 냈다는 체감은 있는데, 그만큼 얻어낸다는 체감은 잘 제공하지 못한다. 그래서 CISO들에게 넉넉한 예산을 주는 곳은 없다시피 하다.

그래서 1일 잘하는 CISO는 예산을 잘 확보하는 CISO이다. 하지만 어떻게 해야 있는 돈 없는 돈 긁어모아 보안에 투자하는 능력 ‘만렙’ CISO가 될까? 사야할 목록을 나열해서 예산 담당자에게 전달하는 카리스마 같은 걸로는 성공 가능성이 낮다. 어느 정도의 금액을 어떤 분야에 어떤 목적을 달성시키기 위해 사용할 것인지 계획해서 설명하고 납득시키는 것이 낫다. 그리고 그렇게 했을 때 조직은 어떤 효과를 누리게 되며, 목표 달성의 확률은 얼마나 되는지 역시 객관적으로 설명할 수 있어야 한다.

세 가지 관점에서 설명하는 것이 최근 CISO들 사이에서 자주 발견된다.
1) 비즈니스 활성화에 기여할 예산은 어느 부분이며, 어느 정도 규모인가?
2) 보안 인프라 전체에 부족한 부분은 어느 정도이며, 이를 메우는 데 어느 정도 예산이 사용될 것인가?
3) 특정 기술을 사용하는 데에 들어가는 비용은 어느 정도이며, 그 기술은 왜 필요한가?

3. 능동적으로 대화에 임해 신뢰를 탄탄하게 구축한다
최근 사이버 공격자들은 서드파티를 최대한 효과적으로 활용함으로써 자신들이 원하는 표적을 침해하는 데 성공하고 있다. 방어자(즉, CISO)의 입장에서 이는 무슨 뜻인가? 지켜야 할 ‘우리 조직’이라는 게 우리 건물만을 뜻하지 않는다는 뜻이다. CISO의 보호막은 공급망 전체를 덮고 있어야 한다. 서드파티 벤더사는 물론 오픈소스 라이브러리와 심지어 고객들까지도 말이다.

이런 상황에서 CISO가 놓치지 말아야 할 것은 서드파티 및 고객사들의 신뢰다. 보다 정확히 말하면 ‘우리 회사와 저 회사 사이’ 혹은 ‘우리 회사와 고객 사이’에 대한 신뢰를 굳건히 해야 한다고 표현할 수 있다. 예를 들어 ‘요즘 서드파티 공격이 유행인데, 그런 의미에서 당신들 회사를 점검해야겠어’라고 접근하면 신뢰가 남아나질 않는다. 반대로 ‘고객들이여, 우리를 무조건 믿어달라’고 말만 하지 아무런 근거를 제시하지 못하면 그것 역시 신뢰를 훼손하는 지름길이다.

이런 상황을 잘 헤쳐나가려면 고객 및 서드파티와 주기적으로 만나 대화를 이끌어가는 CISO가 되어야 한다. 그러면서 먼저 공급망 전체의 보안에 대한 큰 그림을 그려주고, 매번 그 큰 그림이 어떻게 유지 및 관리되는지 최신 현황도 알려주며, 서드파티와 고객들이 그 큰 그림 안에서 중요한 역할을 담당하고 있음을 각인시켜야 한다. ‘우리가 그리는 큰 보안 구조는 당신들 없이 되지 않는다’라는 메시지가 주요하다.

이렇게 확보된 ‘외부로부터의 신뢰’는 CISO를 바라보는 내부의 시선을 바뀌게 한다. 서드파티 때문에 각종 리스크가 증가하고 사건 사고가 발생하지만, 반대로 서드파티까지 잘 동원해 보안에 참여하게 만든다면 CISO로서의 가치를 증가시킬 수 있다는 것이다. 즉 보기에 따라 지금의 서드파티 공격 유행은 오히려 CISO들에게 계기가 될 수 있다는 뜻이므로 보다 능동적으로 이 문제에 접근하는 게 중요하다.

4. 보안을 문화적으로 다루고 전파하라
보안 실천사항은 결국 문화로서의 전파로 이어져야 진정한 가치를 발할 수 있다. 예를 들어 외출 후 식사 전에 손을 깨끗하게 씻는 것이나 식사 후 양치를 하는 것이 규정으로서 정착하는 것과, 문화로서 정착하는 것에는 어떤 차이가 있을까? ‘자발성’에 큰 차이를 갖게 된다. 보통 자발적으로 이러한 운동에 참여하는 것이 강제적으로 참여하는 것보다 더 큰 효과를 갖는다. 보안 실천 사항이 억지 규정으로 남는 한 효과는 지금과 크게 달라지지 않을 것이다.

보안이 일종의 문화로서 자리를 잡는다면, 모든 임직원들이 사이버 공간에서 여러 가지 선택을 해야 할 때 보안의 관점이 자동으로 머리에 떠오르게 된다. 그러므로 커피숍 공공 와이파이를 통해 접속하려는 직원이 잠시 시간을 내 VPN부터 켤 수 있게 된다. 비밀번호 관리 프로그램을 사용해 접속하는 것이 불편하지 않게 느껴질 수도 있다. 물론 이런 세상에서도 실수할 수 있고 오판을 내릴 수 있으며, 그러므로 사이버 공격이 여전히 발생할 수 있지만 그 수가 현격하게 줄어들 수밖에 없다.

무엇보다 이런 문화 속에서는 CISO의 가치가 비로소 눈에 띄게 된다. 모두가 신경 쓰고, 모두가 가치 있게 여기는 ‘데이터 보안’을 앞장서서 해내는 사람이라니, 존중 받게 된다. 사고 한 번으로 사퇴를 요구 받지 않게 된다. CISO가 인정을 받는다는 건 데이터 보안 자체가 인정을 받는다는 뜻이 된다. 이건 다시 보안 문화의 강화에 기여한다.

글 : 앤드류 스미어튼(Andrew Smeaton), CISO, Afiniti
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)