Home > 전체기사

보안 수칙 위에서 살고 있는 임원진들과 보안 공감대 형성하려면

  |  입력 : 2021-03-18 17:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
직원들까지야 어떻게 해서든 보안 수칙을 지키게 만들 수 있어도, 저 높은 곳에 계시는 분들의 야생마와 같은 종횡무진은 어쩔 수 없다는 토로가 보안 담당자들 사이에서 끊이지 않는다. 어떻게 보면 그들 역시 보안 위협이다. 보안 위협은 CISO들의 영원한 숙제다. 자, 숙제를 풀어보자. 이 방법, 저 방법으로.

[보안뉴스 문가용 기자] CISO들에게 있어 2020년만큼 힘든 해가 없었을 것이다. 코로나의 창궐로 인해 개인과 가족의 안위를 걱정해야 하지, 조직 내 직원들을 안전하게 집으로 돌려보내야 하지, 증폭하는 사이버 공격자들의 악성 행위들을 막아내야 하는 3중고를 견뎌낸다는 것이 결코 쉽지 않았을 터이다. 어쩌면 그 위기가 아직 끝나지 않았다는 것이 더 큰 문제일지도 모른다.

[이미지 = utoimage]


일반적인 상황에서 고위급 임원진들 중 기술에 빠삭한 사람은 드물다. 하지만 점점 바뀌고 있는 추세다. 기술에 대해서 어느 정도 이해도를 갖추지 못하면 사업 행위를 할 수가 없는 때이기 때문이다. 따라서 CISO들이 보안 수칙을 이야기하기가 한 결 편해진 것이 사실이다. 물론 한두 번 이야기를 나눈다고 모든 것을 전문적으로 이해하지야 못하겠지만, 긍정적인 변화가 시작되고 있다. 그래서 이런 분위기에 편승해 보안 교육을 이뤄내는 것이 중요하다.

최근 필자는 사이버 보안을 담당하는 전문가들을 위한 회의에 참가한 적이 있다. 회의의 주제는 ‘도대체 임원진들과 어떻게 대화하느냐’하는 것이었다. 결국 어떻게 해야 보안을 더 쉽고 편안하게 알아들을 수 있도록 할 수 있느냐, 라는 영원한 난제에 대해 논한 것인데, 꽤나 유익한 이야기가 나왔다. 그래서 이를 이 지면을 통해 나누고자 한다.

1. 불편할 수 있는 자리를 일부러 만들라
일단 임원진과 보안에 관하여 공감대를 형성하려면 1:1 면담 및 상담 시간을 가져야 한다. 임원진이 많더라도 어쩔 수 없다. 시간을 내서 한 사람 한 사람 만나고 얘기할 수 있어야 한다. 그러면서 지금 CISO로서 당신이 세운 전략이 무엇이며, 어디쯤 와 있는지를 알려주고 그들이 이해하고 있음을 확인하는 게 중요하다. 코로나가 끝난 후라면, 임원진 전체 회의 전날 식사라도 하면서 주요 인물들과 1:1 세션을 갖는 것을 제안한다. 불편한 자리라는 거 안다. 하지만 그런 걸 감안하라고 CISO 자리에 당신이 있는 것이다. 정 어색하면 커피라도 한 잔 나누라. 목표는 비전문가가 생각하는 높다란 ‘보안의 장벽’을 낮추는 것이다.

자, 임원진들과 1:1로 앉게 되었다. 그러면 무슨 이야기를 어떻게 진행해야 할까? 다짜고짜 보안 이야기를 꺼내면 그냥 평소의 업무 보고와 다를 게 없어진다. 여기서도 팁을 하나 준다면, 임원진이 회사와 어떤 관계에 있는지를 짚어보는 것이 꽤나 좋은 시작점이 될 수 있다. 예를 들어 창립 멤버라면, 그래서 회사를 스스로와 동일시 하는 정도의 사람이라면 ‘회사가 잘 되는 길이 보안 담당자로서 내가 바라는 것’이라는 걸 강조하는 ‘회사와 보안은 하나’라는 화법을 구사하는 게 좋다. 임원진마다 회사와 맺고 있는 관계의 색깔은 조금씩 다르니, 이 부분을 미리 조사해 공략 포인트로 삼으면 도움이 된다.

그런 후에는 ‘내 몸과 같은 회사’가 마주하게 될 가장 큰 위협이 무엇이고, 제 때 해결하지 않을 때 어떤 부정적인 결과가 나올 수 있는지를 분명히 해야 한다. 과장할 것도 없고, 축소할 것도 없다. 다만 현실적이어야 한다. 허황되게 느껴질 법한 위험 요소들까지 나열하는 건 설득력을 낮춘다. 굵직한 것, 정말로 큰 타격을 줄 수 있는 위협들을 선별해서 알리는 것이 현명하다.

이 때 임원진들이 생각하는 위험 요소가 무엇인지 묻고 이야기를 끌어내는 것도 추천할 만한 방법이다. 그들 시각에서의 위험 요소를 이해한다는 건 CISO로서 반드시 해야 할 일이기도 하다. 임원진과 보안 담당자가 각기 생각하는 위험 목록들을 대화 속에서 비교해보는 것도 의미 있는 일이 될 것이다.

2. 단어 선택에 신경을 써야 한다 - 그들은 임원진이니까!
몇 번 1:1 세션을 진행한 상태가 아니라면, 쉽고 간편안 용어들을 활용하여 대화하는 걸 추천한다. 꼭 알아야 할 전문용어들이 있을 텐데, 조금씩 조금씩 알려주면서 그들의 ‘어휘력’을 높여줘야 한다. 한 번에 쏟아내면, 당신은 기피 대상이 될 것이다. 예를 들어 ‘마이터 어택(MITRE ATT&CK)’이라는 프레임워크를 이해하는 임원진이 얼마나 될까? 그렇다면 당신은 마이터 어택을 어떻게 설명할 것인가? “이미 세상에 알려진 해커들의 공격 전략, 전술을 모아 놓은 보안 점검 도구”라는 선에서 정리하면 된다. 화학의 “주기율표”에 비유하면 더 나을 수도 있다.

회의를 하기 전 그 무엇보다 CISO에게 당연하다고 여겨지는 개념들을 좀 더 고민해 보고, 어떻게 해서든 쉽게 풀어줄 방법들을 손에 보유할 것을 추천한다. 비전문가들인 임원진들과 회의할 때 개념 설명한 명쾌하게 해 주어도 반 이상 먹고 들어간다. 그런 점이 더 빛나는 회의들이 분명히 있다. 특정 행사나 사건에 비유한다면 좀 더 쉽게 이해할까? 러시아나 북한 이야기를 하면 이해가 빠를까? 중국 쪽에 관심이 많을까? 이런 고민을 바탕으로 어느 정도 공동의 이해가 깔린다면, 다음 이야기를 진행하기가 한결 수월해질 것이다.

3. 보여주면서 이야기하라
필자는 여러 조직의 자문이나 고문, 임원 등으로 활동하고 있는데, 개인적으로 본격적인 논의 전에 회의 주제에 대해 명쾌하게 설명해주는 짤막 기사나 영상 클립 등의 자료를 접했을 때 회의가 훨씬 기분 좋게 흘러간 경험을 여러 번 했다. 회의 참석자 누구나 같은 이해도를 갖출 수 있도록 함으로써, ‘자, 다른 게 아니라 여기서부터 이야기를 진행하자’라는 선언을 하는 것과 같은 깔끔한 시청각 자료의 존재는 대단히 강력한 힘을 발휘한다. 심지어 탁자 위에서 미니 게임을 한두 판 하고 시작한 회의도 있었다.(물론 그냥 게임이 아니라 회의 내용과 관련이 있는 게임이었다.)

임원진들과 ‘이야기가 통하고 싶은’ CISO라면 이런 방법을 도모해보는 것도 충분히 좋아 보인다. 사이버 공격과 사이버 위험 요소들은 눈에 보이지 않기 때문에 비전문가들이 ‘체감’하기가 여간 어려운 것이 아니다. 따라서 과거와 지금의 위험 수준이 완전히 다르다는 것도 잘 이해하지 못한다. 어디서 듣긴 했겠지만, 가슴에 팍 꽂히지 않는다는 것이다. 그런 걸 느끼게끔 도와주는 작업이 필요하다.

한 방의 임팩트가 있는 자료를 마련할 수 있다면 좋겠지만, 여건이 되지 않는다면 공격을 성공적으로 방어했을 때마다 보고서를 제출하는 것도 좋은 방법이다. 오늘 이만큼 공격이 들어왔다는 걸 서류의 물량으로 느끼게 하라는 것이다. 물론 이 서류도 ‘읽을 만한 수준’으로 작성해야 효과가 좋을 것은 당연하다. 같은 산업군에 있는 경쟁사들의 사이버 보안 소식을 끼워넣는다면 임원진의 관심도가 확 올라가기도 한다.

글 : 버지니아 갬베일(Virginia Gambale), JetBlue
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)