세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
CISO들의 역량 및 기업 내 영향력 향상에 필요한 것은?
  |  입력 : 2017-02-14 16:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
제대로 된 보안 팀을 꾸리려면 IT 기술이 반드시 필요할까?
기술에 관한 능력뿐만이 효과적인 커뮤니케이션 능력도 필요


[보안뉴스 홍나경 기자] 반복되는 보안 사고에, 기업들의 데이터를 지키는 CISO들의 능력과 영향력이 부족하다는 목소리가 나오고 있다. 반드시 CISO들만의 잘못이라고 한다면 억울하지만, 더 완벽해질 수 있는 부분이 있을 수는 있다. 현재 CISO들이 대체적으로 놓치고 있는 것은 무엇일까? 리스크 관리 리서치 기관인 IANS(Institute for Applied Network Security)에서 기업 내 CISO들의 역량을 효과적으로 향상하고 가치를 증명할 수 있게 하기 위해 새로운 보고서를 발표했다.

결과부터 말하자면, IANS는 보고서를 통해 CISO들이 기업 내에서 더 나은 결과를 창출하는 데 필요한 것이 크게 두 가지라고 제안한다. 1) 기술적 능력(복구, 사고 대응, 분석 및 탐지 등 기술 관련 업무 수행 능력)과 2) 비즈니스적 마인드(기업 내에서의 영향력)가 바로 그것이다. 그리고 현재 성공적으로 자신의 역량을 뽐내고 있는 CISO 1,200명을 상대로 조사를 하여 그 결과를 5가지 팁으로 정리했다.

1. 레오노버스(LeoNovus)의 CEO인 마이클 개프니(Michael Gaffney)는 클라우드의 성장으로 인해 보안이 더 중요해지고 있으나 CISO의 역량은 이러한 변화를 제대로 따라가기에 충분하지 않다고 언급했다. 또한, 웹 보안의 기본적인 지식만을 가지고 있는 CIO들의 영향력과 역할이 더 커지고 있다고 말하며 실제로 요즘은 CIO가 임원급 보고를 수행하는 경우가 대부분이라고 짚었다. “CISO들이 아직도 조직 내에서 자리를 잡지 못한 것이죠.”

IANS의 최고 연구개발 책임자인 스탠 돌버그(Stan Dolberg)는 CISO 및 그에 준하는 책임자들이 아직도 보안 업무를 수행하는 데에 있어 필요한 권한을 다 가지고 있지 못한 경우가 많다는 점을 지적한다. “보안 업무를 원활히 하려면 권한이 보장되어야 합니다. 일을 하는 데에 필요한 권한도 주지 않고 사고에 대한 비난만 집중적으로 받는 게 지금 CISO들입니다.”

그러면서 돌버그는 권한은 기업에서 주기도 하지만 CISO들이 주도적으로 차지하기도 해야 한다며 CISO들이 마냥 억울하게만 생각할 문제는 아니라고도 말한다. “기업이 가진 취약점을 파악하고 완화하는 과정을 주도적으로 진행하고 결과에 대한 책임을 지는 것을 통해서 자신들의 권한을 늘려갈 수 있습니다. 실제로 우수한 성과를 내는 기업의 CISO들은 식으로 고유 권한을 갖고 업무를 수행하고 있지요.”

또한, CISO들은 비즈니스의 전반적인 부분인 기업의 목표, 전략 등을 이해하고 있어야 하는데 그 이유는 사건이 터졌을 때 그런 큰 그림을 파악해야 보다 정확한 판단을 내릴 수 있기 때문이다. 기업 임원들로부터 협력을 얻어내고 효율적으로 협력하는 데 있어 커뮤니케이션의 기술도 상당히 중요하다. 궁극적으로 데이터의 소유권은 기업에 있고 상황을 수습할 때 이들의 협조를 얻기 위해서는 기업을 전반적으로 이해하고 있어야 한다.

2. 두 번째로 중요한 것은 변화를 주도하려는 자세를 갖는 것이다. 미래에 발생할 수 있는 사이버 공격에 대비하여 소프트웨어의 개발 과정을 변화시키는 등 CISO와 팀원들은 새로운 시도를 할 필요가 있다. 실제로 역량이 뛰어난 CISO들 4명 중 3명이 이러한 자세를 갖추고 있다고 한다. “사람들에게 있어 변화라는 것은 사실 그리 달가운 것만은 아닙니다. 돈과 시간이 드는 일이기 때문에 사람들은 주로 변화를 기피하죠. 하지만 CISO와 보안 관리자들은 변화의 주도자 역할을 기꺼이 받아들이는 자세를 갖춰야합니다.”

변화를 주도한다는 건 능동적인 것과 일맥상통한다. IANS역시 능동적인 참여 또한 보안 전문가로써 갖춰야할 덕목이라고 강조한다. 자신 속한 기업의 비즈니스가 어떻게 돌아가는 지 잘 인지 했을 때 그에 맞는 적절한 실천사항을 추천하며 본인들의 가치를 입증할 수 있기 때문이다.

3. IANS의 세 번째 조언은 보안의 중요성을 알리는 데 관심을 갖고 노력을 하는 것이다. 기업들은 보안 전문가들이 경영에 필요한 존재라고 뚜렷하고 인식하고 있지 않다. 따라서 보안 전문가들 스스로가 자신의 가치를 증명하기 위해 노력하고 기업 내에서 자신의 위치를 잘 챙겨야할 필요가 있다.

“머리가 좋은 CISO는 사람들이 갑자기 제 발로 와서 도움이 필요하다고 요청하지 않을 것이라는 사실을 인지하고 있습니다. 회사 밖 전문가가 아니라 회사 내 CISO라면 도움이 필요할 법한 사람을 찾아낼 줄도 알아야 합니다.” 대부분의 기업들은 자신들에게 닥친 위험을 모른다. 모든 사이버 공격에 관해 이미 강력한 시스템을 구축한 기업에 입사하는 운 좋은 CISO들은 극소수이다. 그러니 CISO들은 도움이 필요한 곳을 찾아 나서야 한다.

“사이버 공격이 실제 발생한 것처럼 모의 보안 훈련 등의 방법을 사용하면 도와줄 곳이 드러나죠. 네트워크의 기술적인 부분의 취약점도 드러날 수 있지만 전체적인 보안 문화 상태, 임직원들의 인식 등도 살필 수 있습니다. 더불어 이 훈련을 실제처럼 꾸미면 꾸밀수록 보안의 중요성이 강하게 인지되기도 하지요.”

4. 보고서에 따르면 대부분 제 역량을 발휘하고 있는 CISO들은 보안 팀을 소수정예로 꾸리고 있으며 효과적으로 메시지를 전달할 수 있는 커뮤니케이션 능력을 갖추고 있는 팀원을 포함하고 있다고 한다. 따라서 CISO들은 기술적인 부분 외에 필요한 인재를 찾는 데에 많은 노력을 기울여야 한다. IT 기술 능력이 보안 팀에 합류하는 데에 있어 불가결의 요소인가를 심각하게 고민해볼 필요가 있다.

5. 마지막으로 추천하는 것은 인내심이다. 사실 보안 팀의 가치를 기업에 입증하려면 많은 시간을 기다려야 한다. 실제로 이번 조사에 응한 CISO들의 응답에 의하면, 기업들 내의 사이버 보안팀이 완벽한 팀을 꾸리고 타 조직에게까지 신뢰를 쌓는 데에 5년에서 7년에 걸린다고 한다.
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)