CISO, 진정한 전략가로 업그레이드해야

[컬럼]운영기능의 간판보다 위험관리 노하우를 가져라

나는 많은 CISO를 친구로 두었다. 그 친구들과 나는 중요한 비즈니스를 해 왔고 나 역시 CISO였다. 지난 5년간 나는 CISO의 역할에 업데이트가 필요하다고 생각했다. 그러나 이것을 인식하지 못한 CISO들은 그들의 경력을 인정받지 못하게 될 것이다.

우선, 내가 마주친 대부분의 CISO는 방화벽 관리자, 침투감지전문가, 법학자들 같은 일선 운영직원들과 함께 제국을 구축하고 유지하려고 한다. 하지만 대부분의 IT 기업에는 이미 잘 조직화된 운영팀이 네트워크 기반시설, 서버와 데스크탑의 관리, 애플리케이션 개발 및 유지, 그리고 다른 영역들을 관할하고 있다.

보안이 틈새시장에서 발전해서 모든 IT 전문가들이 알아야 할 무언가가 된 것처럼, 유사한 운영기능을 보안과 중첩된 잘 구축된 그룹으로 이동시키는 전략적인 방법이 더 타당하다. 머릿수를 세는 전쟁에서 이기려 노력하는 것은 보안 관리자들이 전투에서 지는 것이다.

대규모의 보안 스탭이 있는 대형 기업에서조차 많은 CISO들이 정치적 영향력을 거의 갖고 있지 않다. 한 조사에서 이런 문제는 정보보안 관리에 대한 형편없는 정의에서 비롯된다고 지적했다. 지난 해 가트너는 CISO들에 대한 상위 5개 연구를 발표했는데 그중 1위는 CISO들이 보고하는 대상과 또한 누가 CISO들에게 보고하느냐는 것이었다. 대부분의 기업들은 CISO를 IT 위계조직의 어딘가에 위치시킨다. 이것은 반드시 CISO가 예산, 머릿수, 이사회로부터의 주목을 얻기 위한 동일한 전략을 가진 또 다른 운영자가 되게 만든다.

시간이 흐르면 정보보안운영은 IT의 다른 영역으로 옮겨갈 것이다. 네트워크 침투 감지와 방화벽 관리는 네트워크 운영으로 이동할 것이고 서버 강화와 파일 보전 감시는 시스템 관리 하에 놓이게 될 것이며 애플리케이션 보안은 개발팀의 책임이 될 것이다. 이것은 CISO들과 다른 보안 관리자들을 어디에 남겨둘 것인가? CISO가 어떻게 IT의 운영체계 속에서 단지 보안의 얼굴마담이 아닌 진정한 전략적인 역할을 하게 될 것인가?

지난 몇 년 동안, 우리는 CISO가 그들의 비즈니스 기술을 향상시킬 필요가 있다고 들어왔다. 그러나 오늘날의 보안 관리자들은 또 다른 중요한 능력이 부족한데 그것은 위험관리이다. 컴플라이언스 이니셔티브가 우리의 비즈니스 문화 속에 더욱 깊이 뿌리를 내리게 되고보안이 대부분의 IT 분야에서 역할을 담당하게 되면서 IT 이니셔티브의 뉘앙스를 실제 위험 메트릭스로 해석할 수 있는 내부적인 ‘신뢰할 만한 어드바이저’가 필요하다.

예를 들면 보안 컨트롤은 전통적으로 무릎 반사적 구매나 오로지 기술적인 의견과 관심에 의존해왔다. 보안관리는 비즈니스 결정에 영향을 미치고 비즈니스 전략에 보안이 왜 필수적인지를 설명하기 위한 더 일관된 체제는 물론, 보안 설계와 실행을 위해 더 실용적인 근거를 필요로 한다.

CISO인 좋은 친구 하나는 그 상황을 잘 설명한다. 그의 관점에 의하면 CISO는 실제로는 CRO(Chief Risk Officer)로 불리거나, 그런 사람에게 보고해야 하고 그 위치의 주요한 일은 정책관리가 되어야 하는데 그것은 기업의 위험 대응력을 적절히 파악하고 정책이 부합하도록 운영관리팀과 같이 일하는 것이다.

보안 전문가들은 요즘 정책에 대해 많은 말을 하지만, 우리는 그런 중요하고 상세한 위험 분석 요소들을 생략하는 경향이 있다. 오늘날 CISO들이 이런 중요한 분야에 대해 배우고 상위 관리자들에게 잘 설명하는 데 정통하지 않으면 우리가 알고 있는 CISO의 역할은 충분히 사라지고도 남음이 있다.

<글: 데이브 섀클포드[Dave Shackleford] : 인터넷보안센터의 CTO>

[월간 정보보호21c 통권 제88호(info@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)