'보안전문가들은 비즈니스에 대한 지식이 있어야 한다'

감사관과 사이버 위험의 압력으로 가득 찬 세계에서 성공하려면

비즈니스, 기술, 인력, 그리고 더 많은 것을 다룰 기술이 요구된다.

진화하는 사이버 위협의 중압감, 규정 요구사항, 회계감사는 보안관리자를 압박하는 요소를 생산하는 공장과 같다. 기업의 경쟁력 강화는 물론이고, 기업 내에서 보안관리자를 살아남게 하기 위해서는 어떻게 해야 할까? 기술의 성숙만으로 충분하다고 할 수 없다. 보안전문가들은 비즈니스에 대한 지식이 있어야 한다. 성공적인 보안전문가는 비즈니스가 어떻게 이뤄지는지 이해해야 하고, 최고경영자를 설득할 수 있어야 한다.

캐나다 온타리오의 독립 전기 시스템 운영자(IESO : Independent Electricity System Operator)의 보안 책임자인 데이브 루이스(Dave Lewis)는 “우리는 비즈니스를 방해하기 위해서가 아니라, 촉진하기 위해 존재한다. 이를 위해서는 1과 0에서 벗어나 1과 0을 이해하지 못하는 사람들에게 지혜롭게 말할 수 있어야 한다”고 말했다.

이는 보안전문가 중 공격을 막는데에만 급급해 어떤 위험이 특정한 비즈니스에 영향을 미치는지 신경을 쓰지 않는 경향을 지적한 것이다. 루이스는 “당신은 비즈니스가 무엇인지, 위험이 비즈니스와 어떻게 관련되는지 이해해야 한다”고 강조했다.

보안 도급업체인 노드롭 그루맨(Northrop Grumman)의 부사장이자 CISO인 팀 맥나이트(Tim McKnight)도 “보안 위협을 비즈니스 위험으로 재해석하는 능력이야말로 중역의 위치로 올라가는데 중요하다”고 말한 바 있다.

버튼 그룹(Burton Group)의 선임 컨설턴트이자 레이몬드 제임스 파이낸셜(Raymond James Financial)의 CSO였던 진 프레드릭슨(Gene Fredriksen)은 “최고경영진과 함께 있는 시간을 지혜롭게 사용하라”고 충고했다. 그는 “FUD(기존의 체계를 바꾸지 않으려 하는 기업의 관성)를 강요하는 최고경영자는 없다. 기회가 있을 때 마다 기회를 통해 더 많은 것을 얻을 수 있도록 노력하라”고 말했다.

최고경영자에게 어필할 수 있는 기회를 잡기 위해서는 바이러스 통계를 제시하면서 보안솔루션을 들여야 한다고 말하는 것 보다 보안이 기업의 위험을 줄이고 각종 규제를 만족시키며 비용을 절감시킬 수 있는지 설명해야 한다. 이를 통해 어떻게 시장에 대응할 수 있는지도 분석해야 한다. 프레드릭슨은 “기업이 M&A를 통해 성장하고 있다면, 보안 시스템이 어떻게 M&A에 도움이 되는지 말해야 한다”고 조언했다.

맥나이트는 “보안관리자는 강력한 지도력과 커뮤니케이션 기술이 필요하고, 직원들의 재능을 발전시키는 데 집중해야 한다. 최고로 재능 있는 사람이 옆에 없다면 성공할 수 없다”고 말한다.

포레스터(Forrester)의 선임 애널리스트인 칼리드 카크(Khalid Kark)는 심지어 “미래의 최고정보보호책임자(CISO : Chief Information Security Officer)에게 가장 필요한 소양은 기술적인 능력이 아니라 사람을 다루는 기술”이라고 단언하기도 했다.

경영진의 한 사람으로서 CISO는 구매를 결정할 능력과 단말기 사용자들에게 보안위험과 보안업무에 대해 교육하고 훈련시켜야 하기 때문이다. 커크는 “CISO는 기술적 전문가가 아니다. 그 직업에서 성공하기 원한다면 오히려 인력관리 전문가가 돼야 한다”고 말했다.

“기술적 능력은 매우 중요하다. 새로운 프로젝트들이 몰려오면서 당신의 회사에 어떤 위험이 다가올지 예상하지 못한다. 이 때 당신이 최근의 기술이 어떻게 진행되고 있는지 알지 못하고, 시대에 뒤쳐져 버리며, 위험을 막을 기회를 놓치고 만다.”

미시간에 있는 보건보증회사인 프라이어리티 헬스(Priority Health)의 정보보안과 정보서비스 보안 담당자인 팀 말레틱(Tim Maletic)은 이렇게 설명하면서 “기술의 핵심은 인력관리 기술이다. 보안전문가들은 팔방미인이 되어 기업 내의 다양한 많은 그룹을 상대해야 한다”고 강조했다. 그는 “비즈니스와 기술이라는 두 개의 세계 사이에 끼어있는 나를 발견했다. 강력한 팀을 만드는 것은 두 세계를 잘 조화시키고 관리하는데 도움이 된다“고 강조했다.

보안관리자들은 언제나 감사관들로부터의 압력에 대처하는 방도를 찾고 있다. 그런 면에서 인력관리기술은 매우 효과적인 방법이다. 말레틱은 “보안관리자는 감사관을 친구로 만들고 싶어 한다. 그들과 협력해 일할 필요가 있다. 나는 내부 감사관들과 파트너처럼 일한다. 우리는 정보를 공유하고, 동일한 목적을 갖고 일 할 수 있도록 한다”고 말했다.

IESO의 루이스 역시 감사관과의 협력을 강조하며 “IT 관리자들이 흔히 저지르는 실수는 감사관을 적대시하는 것이다. 감사관들은 당신의 비즈니스 개선을 돕기 위해 있는 것이지 당신을 혼내기 위해 있는 것이 아니다”고 설명했다. 외부감사관은 종종 어려운 과제를 제시할 수 있다. 이럴 경우 비즈니스 요구사항을 규정하는데 있어 외부감사관이 협력적이지 않을 수 있다.

말레틱은 “그들이 요구하는 바에 무조건 반기를 들지 말고 그들의 방식대로 일하도록 두라. 외부감사관이 제시하는 목표나 관리방식, 가치판단에 있어 감사자와 합의에 이를 수 있다”고 말했다.

규정 컴플라이언스는 CISO들의 시간을 많이 빼앗을 뿐만 아니라 큰 좌절을 안겨주기도 한다. 그러나 포레스터의 보고서에 의하면 컨트롤 프레임워크는 그들이 부분적으로 조각조각 다루기보다 다수의 규정을 다루는데 도움을 주는 것으로 나타난다. 보고서는 ISO 27001은 범세계적으로 CISO들이 선택할만 하다고 평가한다.

포레스터의 부사장인 마이클 라스무센(Michael Rasmussen)은 “진화하는 모든 규정 요구사항을 통해 보안 관리자들이 법률적 지식을 갖추는 것이 도움이 된다”고 말했다. 그들은 다양한 규정의 IT에 미치는 영향을 따라잡기 위해 기업 자문역에만 의존할 수 없기 때문이다. 라스무센은 “지난 2년간 컴플라이언스가 최우선의 보안동력이었기 때문에 CISO는 법률적 기술이 있어야 한다”고 강조했다.

이에 버튼의 프레딕슨은 보안전문가가 가져야 할 법률·규정 관련 지식에 대해 최고경영자급의 금융서비스 컨소시엄인 BITS 같은 산업 조직이 도움을 줄 수 있다고 설명했다. 앞서가는 보안관리자는 제안된 법률과 관련된 공시 절차에 참여하고 있으며, 이러한 활동을 통해 자신의 기업에게 새로운 문제에 대해 사려 깊은 충고를 할 수 있다는 것이다.

다른 보안전문가들도 기업 내 뿐만 아니라 외부에서도 활발하게 활동하는 것이 중요하다는 데 동의한다. 노드럽 그루맨의 맥나이트는 “법률에 영향을 미치지 않더라도 학문적 세계에서 정보보안에 대한 교육을 옹호하는 것만으로도 중요한 역할을 하는 것”이라고 말했다.

동종업계 종사자들과의 우호적인 관계를 유지하는 것 역시 CISO의 성공요인이 된다. 맥나이트는 “다른 회사의 동료에게 전화를 걸어서 특정한 문제를 어떻게 다루고 있는지 알아볼 수 있다. 이것은 정말 중요하다”고 강조했다.

맥나이트는 “CISO는 점점 더 보안에 집중된 역할에서 전반적인 위험관리 역할로 바뀌고 있다. CISO는 사업 전반에 대한 전체적인 접근을 해야 한다. 여기에는 당신이 책임질 위험의 일정한 수준의 거래조건이 있다”고 지적하며 “기업에 대한 위험을 규정하는 것과 비즈니스 소유자에 대한 거래가 필수”라고 말했다.

포레스터의 카크는 “CISO가 미래에 할 일은 정보보호보다 정보보증이 될 것이다. 단지 보호하는 것보다는 정보에 대한 알맞은 관리능력을 갖고 있다고 보장하는 일이 중요해 질 것”이라고 강조했다.

.edu

보안 전문가들의 경력에 도움이 될 자격증 및 연구 프로그램을 소개한다.

CERTIFICATIONS(자격증)

Certified Information Security Manager (CISM)

정보시스템감사및감독위원회(ISACA) 발행.

정보보안관리 경력자와 정보보안관리 책임자들을 위해 만들어짐.

www.isaca.org

Certified Information Systems Security Professional (CISSP)

국제정보시스템보안인증컨소시엄(ISC)2 제공.

국내외 (ISC)2 가입자면 활용 가능.

www.isc2.org

Certified Protection Professional (CPP) and Professional Certified Investigator (PCI)

ASIS를 통해 CPP는 보안관리를 구성하는 모든 영역에서 역량을 가진 개인들을 지정한다.

PCI는 사건관리, 증거 수집과 사건 프리젠테이션에서 전문성을 입증했다.

www.asisonline.org

Global Information Assurance Certification (GIAC)

보안 통솔력과 보안 감사를 포함한 영역을 관할하는 인증.

SANS는 GIAC 인증시험을 준비하는 사람들을 위한 과정을 제공한다.

www.giac.org

<글: 마르샤 새비지(Marcia Savage)>

[월간 정보보호21c 통권 제88호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)