Home > 전체기사
C레벨 임원들과 CISO들 간의 대화, 진전이 없진 않다
  |  입력 : 2020-02-24 11:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
서로 다른 이야기만 하기 수년...서로에 대한 몰이해 여전하지만 격차 줄어
정보 유출 사고 경험해본 CISO가 무경험자보다 고용 가치 높은 것으로 나타나기도


[보안뉴스 문가용 기자] 코끼리 만지는 장님들 이야기를 기억하는가? 관점에 따라 우리는 같은 현상을 가지고도 다양한 결론을 이끌어낼 수 있다. 마찬가지로 조직이 감당해야 하는 여러 가지 위협도, 관점에 따라 다른 평가가 내려질 수 있다. 조직 내에서 가장 상반된 모습을 보이는 건 아마 CISO와 임원진들일 것이다. CISO는 CISO대로, 사업 운영을 맡은 임원진들은 임원진대로 지난 몇 년 동안 각자의 견해만 내세워 왔다는 걸 우린 잘 알고 있다.

[이미지 = iclickart]


CISO들은 임원진들을 보며 “돈만 생각하는 부류” 혹은 “법만 무서워하는 부류” 등으로 여기고, 반대로 임원진들은 CISO들을 보고 가려운 데를 긁어주지 못하고 자기들만 아는 외계어를 사용하는 흔한 IT 전문가 1인으로 본다. 그래서 둘의 대화는 항상 겉돌며, 의견을 일치시키지 못한다. 조직의 리스크를 줄인다는 공통의 목적이 성취될 리 없다.

보안 업체 옵티브 시큐리티(Optiv Security)가 발표한 연구 보고서와 NACD의 보고서에는 위와 같은 상황에 대한 보다 상세한 내용이 나와 있다. 옵티브의 보고서에 의하면 “CISO와 임원진들은 사업과 보안 리스크의 상관관계를 잘 이해하지 못하고 있었지만(혹은 잘 표현하지 못하고 있었지만) 최근 들어 상황이 나아지고 있다”고 한다. 옵티브 시큐리티의 조사에 응한 자들 중 96%가 “5년 전에 비해 임원진들의 보안 이해도가 상당히 높아졌다”고 답했으며, 86%가 “그 때문에 예산 등의 지원이 실제적으로 늘어났다”고 답했다.

NACD도 보고서를 통해 79.3%의 임원진들이 스스로 사이버 위험에 대한 이해도가 크게 늘어났다고 자평하고 있음을 알렸다. 사이버 보안에 대해 스스로 무지하다고 느끼는 임원진은 8.7%였다. 참고로 옵티브는 CISO들을, NACD는 기업 임원진들을 조사했다. 스스로에 대한 평가와 CISO의 평가 모두 보안에 대한 이해도가 높아지고 있음을 나타내고 있다.

이렇게 서로에 대한 이해가 깊어지고 있으니 두 부류의 소통 방법에도 큰 발전이 있는 것으로 나타나고 있다. 다만 ‘사업적 측면에서의 우선순위를 정할 때’에는 여전히 의견 일치에 어려움이 있는 것으로 보인다. 옵티브의 조사에 의하면 CISO의 76%가 “사이버 보안이 너무나 중요한 가치가 돼 CEO가 CISO를 추적하는 수준으로 찾는다”고 답했다고 한다. 사이버 보안을 가장 중요한 덕목 및 가치로 꼽는 CEO도 비슷한 수준인 것으로 나타났다.

그런데 임원진들을 조사한 NACD의 보고서에는 이와 같은 결과가 반영되지 않았다. 조사에 응한 임원진들 중 28%만이 ‘보안이 가장 중요하다’고 답을 했고, 61%는 ‘보안이 사업 속도를 늦춰서는 안 된다’는 의견을 내비친 것이다. CISO와 임원진들 간 견해 차이가 조금씩 좁혀지고 있는지 모르겠지만, 실제보다 CISO들이 보다 낙천적 혹은 긍정적으로 상황을 보고 있는 듯하다.

흥미로운 건 두 보고서 모두 데이터 침해 사고를 겪어본 CISO를 어떤 식으로 바라보느냐를 조사했다는 것이다. 일반적인 관점에서 데이터 침해 사고를 겪어 본 CISO는, 그 사실을 그리 자랑스러워하지 않는다. 데이터 침해 때문에 해고를 당하는 경우도 많은데, 굳이 그 사실을 이력서에 올리지 않는다. 하지만 옵티브와 NACD의 보고서 모두 이런 관념이 변하고 있다는 걸 드러내고 있다. 임원진들 중 ‘데이터 침해는 어떤 한 사람의 힘으로 막을 수 있는 사건이 아니’라는 걸 이해하는 사람들이 늘어나고 있으며, 사고를 겪어봤다는 것 자체보다 그 후 어떻게 대처했느냐를 더 중시한다고 답한 사람도 많았다. 사고의 처리야 말로 CISO의 진짜 능력이라고 보기 시작한 것이다.

옵티브의 조사에서는 58%의 CISO가 “보안 사고를 경험해봤다는 게 요즘은 CEO들에게 매력으로 다가가는 분위기”라고 답했다. 물론 한 번도 경험하지 않은 사람보다 더 매력적이라는 것이지, 5년 동안 10번도 넘게 사건을 겪은 사람이 매력적인 건 아니다. 또한 NACD의 조사를 통해 92%의 임원진들이 “사고를 겪어본 CISO를 고용하는 게 기업에 더 도움이 될 것 같다”고 답하기도 했다.

아직 임원진들과 CISO들은 완벽히 서로를 이해하고 있지 못하다. 그렇다고 각자의 손에 닿는 부분만을 만지며 코끼리를 논하는 장님들의 신세인 것은 아니다. 서로가 같은 코끼리를 만지고 있다는 것 정도는 알고 있다. 이제는 서로가 만지고 안 것에 대해 이야기를 나누며 코끼리의 진짜 모양을 조합시켜 나갈 차례다.

글 : 조 쇼르(Joe Schorr), Optiv Security
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)