보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

보안 업계에서 일어나고 있는 또 다른 융합 : CISO + CIO

입력 : 2024-02-15 16:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
최근 디지털 환경의 변화가 급격하게 일어나는 바람에 전통의 역할론도 영향을 받고 있다. 아직 아무도 정답을 말해줄 수 없는 상황이라 명쾌하게 길을 정의하기가 어렵지만, 지금으로서는 CISO와 CIO의 구분이 흐려지고 있다는 게 눈에 띈다.

[보안뉴스 = 아서 로진스키 CEO, Oomnitza] IT를 기반으로 한 사업 행위의 기본 요건들이 바뀌면서, IT를 담당하는 다양한 책임자들의 역할과 지위도 바뀌고 있다. 그 변화가 소용돌이처럼 휘몰아쳐 정신이 없는데, CIO들과 CISO들도 이런 변화의 한 가운데에 들어가 있다. 전통적인 의미에서 구분되어 있던 각자의 역할이 뒤섞이고 다시 나눠지는 등의 일들이 벌어지고 있는 것이다.

[이미지 = gettyimagesbank]


CISO는 원래 디지털 생태계에서 발생하는 위험들을 제어하는 역할을 담당하는 게 보통이다. 하지만 디지털 리스크를 관리하고 억제하는 것이 이제는 너무나 중요한 것이 되어버려, 그 역할을 점점 더 많은 사람들이 수행할 수밖에 없는 상황으로 변하고 있다. 그러나 이게 공식적인 절차나 미리 수립된 표준에 따라 진행되는 것이 아니기 때문에 중구난방의 느낌이 없지 않다. 그래서 여러 사람의 역할이 애매하게 겹치고, 그러면서 책임의 문제가 결론이 나지 않기도 한다. 그리고 요즘, CISO와 CIO의 역할과 책임이 점점 합쳐지고 있다는 흐름이 나타나기에 이르렀다.

CIO의 변천
잠시 시간을 20년 전으로 되돌려보자. 2000년대 초반, CIO들은 IT 인프라와 애플리케이션 전체를 책임지고 관리하는 일을 담당했다. 당시 IT 인프라와 앱들은 거의 전부 기업 건물 안에 얌전히 있었다. 바깥에 있는 것이라고 해봐야 다른 지방이나 나라에 있는 지부 정도였다. 혹은 파견 근무자 정도. CIO들은 이런 IT 자산을 관리하여 기업이 멈추지 않고 사업 행위를 이어갈 수 있도록 해야 했고, 거기에 더해 효율성을 높여야 하는 역할도 도맡았다.

그러면서 IT 업계의 트렌드가 꾸준히 변하기 시작했다. BYOD가 떠오르고, 클라우드 컴퓨팅이 대두되었으며, 급기야 회사 전 인원이 회사 밖으로 뿔뿔이 흩어져 근무를 하는 시대가 됐다. 이전처럼 CIO가 한 건물에 상주하며 그 건물 내의 IT 자산만 돌보며 기업의 효율을 높이기가 힘들어졌다. 즉 내가 지금 당장 손에 쥐고 눈으로 볼 수 있는 장비와 기술들을 관리하는 게 아니라, 전혀 다른 공간에 있는 IT 자산들까지도 눈에 보는 듯, 손으로 만지는 듯 다룰 수 있어야 했다는 것이다. 그래서 CIO들은 컴퓨터를 직접 뜯고 조립하던 정비공과 같은 존재에서, 사용자와 IT 기술 사이의 중간자 혹은 브로커와 비슷한 존재가 되어갔다.

물론 기존의 역할 중 상당 부분이 여전히 남아있기도 하다. 인프라를 구축하는 것, 회사에서 요구하는 기술적 필요를 충족시키는 것, IT 예산을 운영하는 것, 사업적으로 기술을 활용할 방안을 고안해 내는 것, 혁신을 이끌어내는 것 등이 바로 그것이다. 또한 상당수의 기업들은 여전히 온프레미스 환경을 고수하고 있어 20년 전 CIO들이 하던 일들이 지금도 CIO들에 의해 수행되고 있는 것도 사실이다. 하지만 시간에 따라 하나 둘 사라지고 변할 역할들이다.

CISO의 변천
그렇다면 CISO는 어떻게 변해왔을까? 2000년대 초반 CISO들은 보안이나 데이터 침해와 관련된 규정과 표준을 정확하게 지키는 역할을 주로 담당했었다. 거기에 더해 새롭게 떠오르는 보안 위협들을 파악해 대비책을 마련하는 일이 가끔씩 생겼었다. 당시 보안을 선제적으로 강화한다는 개념은 거의 존재하지 않았었기 때문에 CISO들은(혹은 그에 준하는 책임을 가진 담당자들은) 사실상 법무에 가까운 일을 도맡았었다.

그런데 그 ‘규정 준수’라는 일 자체가 상당히 버거워지기 시작했다. 점점 더 지켜야 할 것들이 늘어나고, 규정들끼리 복잡하게 엉켰다. 사건 사고도 증가했다. 자연스럽게 CISO의 존재가 수면 위로 떠오르기 시작했다. 더 많은 사람들이 보안을 인식하기 시작했고, 그런 담당자가 존재한다는 걸 깨달았다. CISO들에게는 더 많은 예산과, 그 예산보다 더 많은 책임이 주어졌다.

그러면서 CISO들은 규정 준수 문제에 하루 종일, 365일 매달려도 실제 보안이 강화되지 않는다는 걸 배웠다. 규정을 100% 준수했는데도 기업은 피싱 공격과 랜섬웨어에 시달렸다. 대형 침해 사고가 매일처럼 발생했다. 금융 사고도 빈번했다. 악성 내부자에 대해 속수무책으로 당할 수밖에 없었다. 이런 상황에서 CISO는 더 나은 기능 수행을 여러 가지 형태로 강요받았는데, 그중 대세가 된 것은 “일반 사업자의 언어로 보안 위협을 이야기 하라”는 것이었다. 그러면서 CISO들도 사업자의 사고방식과 언어를 익혀야만 하는 시대가 됐다.

그러면서 사업에도 슬슬 관여하기 시작했는데, 거기서부터 본격적으로 CIO와의 겹침 현상이 가시적으로 나타났다.

그리고 지금, 디지털 전환
그런 과정을 거쳐 모든 기업들이 디지털 전환을 서두르는 시기가 되었다. IT 기술을 사업적으로 활용해 경쟁력을 강화한다는 게 첫째 목표, 그 과정에서 보안을 놓치지 말자는 게 두 번째 목표로 설정되는 것이 지금의 분위기다. CIO와 CISO가 가깝게 협업해야 할 수밖에 없는 상황이 된 것이다. 물론 아직 CIO가 좀 더 주도권을 갖고 있지만, CISO라고 해서 나중에 필요할 때 가끔 생각나는 그런 존재인 것은 아니다. 이전보다는 대등한 관계에서 CIO와 보조를 맞출 수 있게 됐다.

CIO와 CISO의 역할이 합쳐지고 있다는 건, 어디까지나 큰 틀에서의 현상이다. 세부적으로 들어가보면 회사마다, 사람마다, 상황마다 판이하게 나타난다. 한 마디로 둘의 역할 분담에 있어 정답이라고 할 만한 모델은 없다는 뜻이다. 심지어 둘의 역할이 합쳐지는 게 맞는 방향이라고 보장할 수도 없다. 이걸 판단하려면 시간이 좀 더 지나야 한다. 보안 전문가들도 저마다 의견이 다르다. CIO와 대등한 파트너가 되는 게 올바르다고 믿는 사람도 있고, 예전처럼 분리되는 게 낫다는 의견도 있다.

결국 디지털 전환을 진행하는 기업들이 제각각의 상황에 가장 알맞는 역할의 균형점을 찾아야 한다. 그러려면 CIO의 역할이나 CISO의 역할이라는 고정관념을 탈피해야 하고, 심지어 반드시 변해야만 한다는 압박감에서도 벗어날 수 있어야 한다. 여러모로 유연한 사고가 요구되는 때다.

글 : 아서 로진스키(Arthur Lozinski), CEO, Oomnitza
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)