CISO, 아직 책임에 비해 권한이 턱없이 부족하다

입력 : 2015-07-21 00:00

사고가 났을 때 CISO가 책임져야... 50%
CISO가 전략수립·솔루션 구매도 맡아야... 38%

[시큐리티월드 문가용] CISO들의 권한이 책임에 비해 터무니없이 작다는 설문 결과가 나왔다. 미국의 CEO를 비롯해 다른 C 레벨 운영진들 중 절반이 미국의 기업 환경에서 정보유출 사고가 발생했을 때 CISO들이 책임을 져야 한다고 응답했지만 보안 전략을 수립하고 실제 장비나 솔루션을 구매할 권한을 가져야 한다고 답한 이는 38%에 불과한 것으로 나타났다.

“CISO에게 주어진 책임감은 참으로 막대합니다. 그러나 그런 책임을 다 소화하기 알맞은 권한은 다 주어지지 않고 있습니다.” 200개 미국 기업을 대상으로 해당 설문조사를 실시한 쓰레트트랙 시큐리티(ThreatTrack Security)의 부회장인 스튜어트 잇킨(Stuart Itkin)의 토로 같은 설명이다. “그 이유는 CISO라는 직책이 비교적 새롭기 때문입니다. 아직 정착되어 가는 과정인 것이지요.”

또한 같은 설문에서는 운영진들 중 2/3가 CISO들이 아직 운영진 수준의 리더십을 가지는 것에 반대하는 것으로 나타났다. “그러니까 CISO가 아직 대다수 회사에서 경영회의에 참석하지 못한다는 소리입니다. 즉 사업의 진행 방향의 결정이나 계획에 있어서 전혀 목소리를 낼 수 없는 것이죠. 조직이 걷는 큰 방향과 틀을 모르는 상태로 보안 전략을 수립하는 건 무척이나 어려운 일입니다.”

설문에 참여한 기업들 중 56%가 아직 CISO는 CIO를 직속상관으로 모시고 있으며 41%는 CEO를 직속상관으로 모시고 있다고 답했다. 그나마 다행인 건 CISO는 IT 시스템 구축 전략에 있어 조언을 해주는 역할을 반드시 수행해야 한다고 답한 이도 있었는데, 작년에 실시한 설문에서는 이렇게 응답한 사람이 18%였고 올해는 21%로 증가했다는 사실이다.

그러나 CISO가 사이버 보안에 있어서 가치 있는 조언을 제공한다고 제공한 응답자는 절반에 그쳤으며, 이는 그나마 작년의 설문에 비해 1% 포인트 깎인 수치이다. 현재 우리 회사 CISO의 업무 수행 능력에 점수를 주는 항목에서 A를 준 응답자는 10%, B는 45%, C는 34%, D는 11%였다. 근래 들어 대형 사고를 겪은 산업에 종사하는 응답자일수록 낮은 점수를 주었다. 즉, 소매, 금융, 의료 업계에서 주로 C나 D가 나왔다. 이 역시 사고에 대한 책임을 CISO에게 물리는 사고방식의 연장선이라고 볼 수 있다.

응답자의 1/4은 CISO가 사업과 보안에 대단히 좋은 영향을 미쳤다고 답했으며 19%는 CISO의 결정사항들이 사업에 방해가 된다고 했고, 20%는 아직 CISO가 이렇다 할 영향력을 발휘하고 있지 못하다고 답했다. 이처럼 CISO가 제대로 대접받고 있지 못하다는 증거들이 드러나고 있지만 이는 그저 과도기의 한 과정일지도 모른다. “얼마 전까지만 해도 CIO들이 제대로 대접받지 못한다고 했었죠. 그러나 지금은 전혀 아닙니다. 새로운 직책에 기업들도 적응해 나가는 과정일 겁니다. 시간이 해결할 문제로 보입니다.”

또 눈에 띄는 건 CIO와 CISO 사이에서 이루어지는 대립관계다. CIO들은 대부분 생산성이란 측면에서 IT를 다룬다. 즉 이윤에 직접적인 영향을 줄 수 있는 직책이다. 하지만 CISO들은 보호와 단속에 일가견이 있다. 둘은 부딪힐 수밖에 없다. “CIO들은 회사 내로 새로운 기술을 도입할 때 제일 먼저 ‘가격’부터 고려하죠. 가격대비 효율성을 본다는 겁니다. 하지만 CISO는 가장 위험할 수 있는 시나리오부터 떠올립니다. 그 차이가 생각보다 큽니다.” 팔로알토 네트웍스의 릭 하워드(Rick Howard)의 설명이다.

그럼 이 ‘암울할 수 있는’ 설문결과를 통해 CISO들은 무엇을 얻을 수 있을까? “자신의 업무환경에 대한 기대치를 조절할 수 있겠죠. 아직 높은 수준의 대우를 받을 환경이 안 되어 있다는 걸 알고 작업에 임해야 할 것입니다. 그러면 실망도 줄고, 화도 덜 나겠죠. 그리고 책임감과 권한의 균형 상태를 가늠해볼 수도 있을 겁니다.”

재미있는 건 응답자의 62%가 “우리 회사 CISO는 IT 보안만 아니라면 어딜 가도 성공할 사람”이라고 답했다는 것이다. 이건 무슨 뜻일까?

Copyrighted 2015. UBM-Tech. 117153:0515BC

[글 시큐리티월드 문가용 기자(sw@infothe.com)]

<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>

▲ 이번에 유출된 해킹팀의 RCS 홍보 PPT 일부. 공격적인 보안을 강조하고 있다.

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  SK하이닉스, ‘SK hynix’ 사칭 사이...

• 2

  오이스터 백도어, MS 팀즈 설치파일로 위장...

• 3

  [bnTV] 증권가가 주목한 이 기업, 19...

• 4

  [영화&보안] 아버지들의 작은 용기, 가정을...

• 5

  해양 사이버보안, 선박의 특수성 고려한 대응...

• 1

  기업의 최대 보안 구멍, 문서형 악성코드 “...

• 2

  전 세계 ‘딥페이크 스캠 및 피싱’ 공격 확...

• 3

  [bnTV] 위험한 ‘중고거래’, 안전하지 ...

• 4

  금융권 망분리 규제개선, ‘개봉박두’ 했지만...

• 5

  미국 CISA, 이반티에서 발견된 취약점의 ...

• 1

  KISIA 클라우드 보안 협의체, 금융권 망...

• 2

  ‘월드코인’ 관계사 개인정보 보호법 위반.....

• 3

  전 세계 ‘딥페이크 스캠 및 피싱’ 공격 확...

• 4

  북한 IT 노동자들, 서방 국가들에 위장 취...

• 5

  금융권 망분리 규제개선 3단계 키포인트