2019.11.20

CISO가 해고되는 9가지 시나리오

Mary K. Pratt | CSO
유출 사고가 터져 자신이 해고당할 것이라고는 생각하는 CISO는 드물다.

오스터만 리서치(Osterman Research)가 조사해 발간한 ‘LIP: 현대의 CISO 이해하기(Life Inside the Perimeter: Understanding the Modern CISO)’보고서에 따르면 미국에 거주하는 207명의 CISO 중 6.8%만이 중대한 보안 유출이 발생할 경우 자신이 해고될 것이라 생각하는 것으로 나타났다. 21.7%만이 공식적인 경고를 받을 것이라고 말했다. 사실 CISO 중 대부분(56%)은 동료 임원들이 자신을 도와 이를 해결할 것이라고 말했다.

하지만 동시에 CISO들은 스스로의 직업 안정성을 불안하게 보고 있었다. 예를 들어, 해당 연구에서 설문조사에 참여한 미국과 영국의 CISO 408명 중 55%는 평균 직업 보유 기간을 3년 미만으로 보았으며 30%는 2년 미만으로 보았다. (미국 노동부는 실제로 4.2년이라고 밝혔다.)

이런 답변 중 어느 정도가 자발적인지는 판단하기 어렵다. 많은 CISO들이 분명 좋은 대우를 받고 있으며 자발적으로 일하고 있다. 하지만 임원 컨설팅 전문가들은 (그리고 세간의 이목을 끄는 사례에서 입증되었듯이) 많은 이들이 다양한 이유로 쫓겨나고 있으며 일부는 실제로 노골적으로 해고되고 있다고 보고했다.

CISO가 유출 사건 때문에 해고되는 것이 아니라면 무엇 때문에 이런 상황이 빚어지고 있을까? 전문가들이 공유한 보안 임원이 해고될 수 있는 9가지 시나리오는 다음과 같다.
 
ⓒ Jaredd Craig (CC0) 

임원의 용어를 사용하지 못함
사이버 보안은 현재 광범위한 수준의 의제 항목이며 이사회 구성원 및 모든 임원들이 보안 태세의 강점, 그 약점, 개선 방안, 이 모든 것이 조직의 전반적인 전략에 얼마나 부합하는지에 대해 CISO로부터 더욱 철저한 정보를 기대하고 있다. 

하지만 많은 CISO들이 여전히 일련의 기술 직위를 통해 해당 직위로 승진하고 있기 때문에 이사회가 기대하는 전략적인 수준의 프레젠테이션을 제공할 준비가 제대로 되어 있지 않다고 파크뷰 헬스(Parkview Health)의 정보 보안 부사장 겸 카네기멜론대학교의 HCISPP(Heinz College of Information Systems and Public Policy)에서 CISO 임원 교육 및 인증 프로그램 부교수를 역임하고 있는 대럴 킬링이 말했다.

킬링은 “그들은 조직 내의 더 높은 직위에서 발언하기 위한 교육이나 훈련을 받지 못했다”라고 말했다. 그 결과, 일부 CISO는 이사회가 기대하는 전략적인 비즈니스 중심 용어로 보안 관련 문제를 제시하는데 어려움을 겪고 이사회는 해당 보안 책임자에 대해 그리 좋은 인상을 받지 못하게 된다. 

일부 CISO는 CIO, CTO, 기타 임원이 자신을 대신하여 발표하도록 하고 있지만, 이로 인해 이사회와 CISO 사이가 더 멀어지고 있다. 킬링은 “그래서 무슨 일이 생기면 CISO가 이사회에게 투명하지 못했다고 인식하게 된다”라고 덧붙였다.

나쁜 소식 숨기기
킬링은 CISO가 임원 동료 및 이사회와 협력하면서 또 다른 문제가 발생한다고 말했다. 문제를 숨기고 이사회에 긍정적인 지표만을 제시하는 것이 그것이다. 일부 CISO는 능력이 없어 보이고 싶지 않거나 당면 과제가 이사회의 범위를 넘어선 기술적인 논의로 발전하고 있다고 착각하기 때문에 그럴 수 있다고 킬링이 말했다. 

“이유야 어찌되었든 CISO는 ‘이사회에 이건 이야기할 수 없다거나 그건 이야기할 수 없다’라고 결론을 내릴 수 있다”라고 그가 덧붙였다. 하지만 이사회는 바보가 아니다. 

보안 전문가는 아니더라도 이사회 구성원은 조직 보안이 더 복잡하다는 것을 알고 있다. 그리고 그들은 기꺼이 투명하게 보고할 수 없는 CISO에 대한 신뢰를 잃을 가능성이 높다. 

킬링은 “이사회는 모든 것이 좋다는 이야기를 듣고 싶어하지 않는다. 그들에게 조직의 현실에 대해 이야기할 수 있어야 한다. 솔직한 평가를 제시하고 자신에게 미래를 위한 계획이 있다는 신뢰감을 주어야 한다”라고 말했다.

상사 놀래키기
CEO는 다른 임원들과 마찬가지로 놀라는 것을 좋아하지 않는다. CISO가 가능성을 전혀 경고하지 않은 공격 또는 갑작스러운 높은 비용 지출로 인한 의외의 상황을 겪는 것을 좋아하지 않으며, 이런 문제를 이사회 회의 또는 기타 그룹 포럼 또는 공공 환경에서 알게 되는 경우에는 더욱 그렇다고 사이버 보안 교육 조직 SANS 인스티튜트의 신규 보안 트렌드 책임자 존 페스카터가 말했다. 

그는 “CEO는 정말 그런 식으로 보안 필요에 관해 알게 되는 것을 원치 않는다”라며, 그렇게 되면 CISO가 오래가지 못할 것이라고 경고했다.

동떨어지기
CISO는 문제를 지적했지만 아무도 관심을 갖지 않으면 다른 사람들의 지지를 얻지 못할 수 있다고 현재 메릴랜드대학교 글로벌 캠퍼스의 사이버 보안 기술 프로그램 대학원장이자 전 IT임원 맨서 하시브가 말했다. 이런 경우 불화가 나타날 수 있다.

특히 다른 사람들이 관심을 갖지 않을 때 윤리적인 길을 지지하는 상황이 껄끄러울 수 있다고 하시브가 말했다. 그는 이런 상황에서는 보안 임원의 평판이 나빠지기 전에 스스로 움직여야 한다고 조언했다. 가령 CISO가 직책을 맡기 전에 인터뷰 과정 중 조직과 임원들의 핵심 가치에 대해 질문함으로써 조직의 윤리적인 입장을 파악하려 시도하는 것이 더 좋을 수 있다는 설명이다.

‘아니요’ 부서 되기
한편, CISO는 보안 우려 때문에 비즈니스 성장이 저해되는 일이 발생하지 않도록 해야 한다고 페스카터가 말했다. 

“‘제안한 새로운 비즈니스 계획이 안전한지 확신할 수 없기 때문에 이를 허용하는 것에 대해 반대하고 있는 것이다’라고 말하는 보안 그룹이 있다. 이런 시도에 CISO는 비키라는 말을 듣는다. 이런 경우에 CISO는 비즈니스 성공의 장애물로 비쳐지며 해결책을 찾기 보다는 반대만 하고 있을 뿐이다”라고 그는 전했다. 

중요한 것 놓치기
대부분의 CISO는 유출 사건 발생 시 해고당할 것이라 생각하지 않지만 적색 깃발을 간과하거나 놓치면 경력 문제가 발생할 수 있다고 페스카터가 말했다. 자신의 조직이 인수하려 하는 기업의 보안 구멍을 놓치거나 알려진 보안 위협에 대한 자신의 기업이 직면한 위험을 크게 과소평가한 CISO가 쫓겨나는 경우가 많다. 문제가 억제된다 하더라도 CEO와 이사회는 CISO가 그 일에 적합하다는 신뢰감을 잃어버리게 된다고 페스카터가 설명했다.

경쟁자 따라하기
임원팀과 이사회 구성원은 업계에서 유사한 문제가 발생하는 경우 자사 보안 프로그램과 리더십을 측정할 수 있는 기회를 얻게 된다고 페스카터가 경고했다. 

만약 경쟁 업체 또는 유사한 기업을 모방하여 서비스를 복구하고 정상화하려 한다면, CISO는 책임을 추궁당할 것이다. 그는 “해당 기업이 같은 문제를 겪은 경쟁사보다 더 많은 것을 잃는다면 해고 사유가 충분하다”라고 말했다.

사인하여 희생양 되기
조직도에서 직위가 몇 단계 격하되고 급여가 다른 임원들보다 훨씬 낮은 기업에서 해당 역할을 맡게 되는 CISO는 자신이 해고될 수 있음을 인지해야 한다고 하시브가 경고했다. 

그는 이런 조직의 경우 무엇인가 필연적으로 잘못되었을 때 단독 책임을 지는 희생양을 원하곤 한다고 전했다.

“일부 조직은 의도적으로 책임을 질 사람을 고용한다”라고 말하면서 하시브는 임원 구조에서 CISO의 위치를 보면 조직이 보안을 비즈니스 조력자로 보는지 아니면 원가 중심적으로 보는지 알 수 있다고 설명했다. 

적절한 팀 구성에 실패하기
모든 것을 직접 다 할 수 있는 CISO는 없다. 이를 시도한다면 오히려 업무에 파묻혀 조직의 보안을 위험에 빠뜨리고 자신의 경력을 망치게 될 것이다. 

하시브는 “주변에 적절한 일을 하기 위해 필요한 지식이 있는 사람들이 없다면 성공하지 못할 것이다. 따라서 CISO는 적절한 사람을 고용할 권한이 있어야 한다”라고 말했다. 

하시브는 일부 CISO가 여전히 프로세스 및 사람과의 균형보다는 기술 기반의 보안 솔루션을 과도하게 강조하고 있다고 말했다. 그와 다른 사람들은 CISO가 이렇게 수요가 높은 시대에 자격을 갖춘 보안 전문가를 원한다면 최고의 팀을 구성하는 것을 우선순위로 삼아야 한다고 말했다. 또 이를 통해 임원 동료들에게 자신들이 실제로 상위 리더십층에 속해 있음을 입증할 수 있다고 그는 강조했다.
 
ciokr@idg.co.kr



2019.11.20

CISO가 해고되는 9가지 시나리오

Mary K. Pratt | CSO
유출 사고가 터져 자신이 해고당할 것이라고는 생각하는 CISO는 드물다.

오스터만 리서치(Osterman Research)가 조사해 발간한 ‘LIP: 현대의 CISO 이해하기(Life Inside the Perimeter: Understanding the Modern CISO)’보고서에 따르면 미국에 거주하는 207명의 CISO 중 6.8%만이 중대한 보안 유출이 발생할 경우 자신이 해고될 것이라 생각하는 것으로 나타났다. 21.7%만이 공식적인 경고를 받을 것이라고 말했다. 사실 CISO 중 대부분(56%)은 동료 임원들이 자신을 도와 이를 해결할 것이라고 말했다.

하지만 동시에 CISO들은 스스로의 직업 안정성을 불안하게 보고 있었다. 예를 들어, 해당 연구에서 설문조사에 참여한 미국과 영국의 CISO 408명 중 55%는 평균 직업 보유 기간을 3년 미만으로 보았으며 30%는 2년 미만으로 보았다. (미국 노동부는 실제로 4.2년이라고 밝혔다.)

이런 답변 중 어느 정도가 자발적인지는 판단하기 어렵다. 많은 CISO들이 분명 좋은 대우를 받고 있으며 자발적으로 일하고 있다. 하지만 임원 컨설팅 전문가들은 (그리고 세간의 이목을 끄는 사례에서 입증되었듯이) 많은 이들이 다양한 이유로 쫓겨나고 있으며 일부는 실제로 노골적으로 해고되고 있다고 보고했다.

CISO가 유출 사건 때문에 해고되는 것이 아니라면 무엇 때문에 이런 상황이 빚어지고 있을까? 전문가들이 공유한 보안 임원이 해고될 수 있는 9가지 시나리오는 다음과 같다.
 
ⓒ Jaredd Craig (CC0) 

임원의 용어를 사용하지 못함
사이버 보안은 현재 광범위한 수준의 의제 항목이며 이사회 구성원 및 모든 임원들이 보안 태세의 강점, 그 약점, 개선 방안, 이 모든 것이 조직의 전반적인 전략에 얼마나 부합하는지에 대해 CISO로부터 더욱 철저한 정보를 기대하고 있다. 

하지만 많은 CISO들이 여전히 일련의 기술 직위를 통해 해당 직위로 승진하고 있기 때문에 이사회가 기대하는 전략적인 수준의 프레젠테이션을 제공할 준비가 제대로 되어 있지 않다고 파크뷰 헬스(Parkview Health)의 정보 보안 부사장 겸 카네기멜론대학교의 HCISPP(Heinz College of Information Systems and Public Policy)에서 CISO 임원 교육 및 인증 프로그램 부교수를 역임하고 있는 대럴 킬링이 말했다.

킬링은 “그들은 조직 내의 더 높은 직위에서 발언하기 위한 교육이나 훈련을 받지 못했다”라고 말했다. 그 결과, 일부 CISO는 이사회가 기대하는 전략적인 비즈니스 중심 용어로 보안 관련 문제를 제시하는데 어려움을 겪고 이사회는 해당 보안 책임자에 대해 그리 좋은 인상을 받지 못하게 된다. 

일부 CISO는 CIO, CTO, 기타 임원이 자신을 대신하여 발표하도록 하고 있지만, 이로 인해 이사회와 CISO 사이가 더 멀어지고 있다. 킬링은 “그래서 무슨 일이 생기면 CISO가 이사회에게 투명하지 못했다고 인식하게 된다”라고 덧붙였다.

나쁜 소식 숨기기
킬링은 CISO가 임원 동료 및 이사회와 협력하면서 또 다른 문제가 발생한다고 말했다. 문제를 숨기고 이사회에 긍정적인 지표만을 제시하는 것이 그것이다. 일부 CISO는 능력이 없어 보이고 싶지 않거나 당면 과제가 이사회의 범위를 넘어선 기술적인 논의로 발전하고 있다고 착각하기 때문에 그럴 수 있다고 킬링이 말했다. 

“이유야 어찌되었든 CISO는 ‘이사회에 이건 이야기할 수 없다거나 그건 이야기할 수 없다’라고 결론을 내릴 수 있다”라고 그가 덧붙였다. 하지만 이사회는 바보가 아니다. 

보안 전문가는 아니더라도 이사회 구성원은 조직 보안이 더 복잡하다는 것을 알고 있다. 그리고 그들은 기꺼이 투명하게 보고할 수 없는 CISO에 대한 신뢰를 잃을 가능성이 높다. 

킬링은 “이사회는 모든 것이 좋다는 이야기를 듣고 싶어하지 않는다. 그들에게 조직의 현실에 대해 이야기할 수 있어야 한다. 솔직한 평가를 제시하고 자신에게 미래를 위한 계획이 있다는 신뢰감을 주어야 한다”라고 말했다.

상사 놀래키기
CEO는 다른 임원들과 마찬가지로 놀라는 것을 좋아하지 않는다. CISO가 가능성을 전혀 경고하지 않은 공격 또는 갑작스러운 높은 비용 지출로 인한 의외의 상황을 겪는 것을 좋아하지 않으며, 이런 문제를 이사회 회의 또는 기타 그룹 포럼 또는 공공 환경에서 알게 되는 경우에는 더욱 그렇다고 사이버 보안 교육 조직 SANS 인스티튜트의 신규 보안 트렌드 책임자 존 페스카터가 말했다. 

그는 “CEO는 정말 그런 식으로 보안 필요에 관해 알게 되는 것을 원치 않는다”라며, 그렇게 되면 CISO가 오래가지 못할 것이라고 경고했다.

동떨어지기
CISO는 문제를 지적했지만 아무도 관심을 갖지 않으면 다른 사람들의 지지를 얻지 못할 수 있다고 현재 메릴랜드대학교 글로벌 캠퍼스의 사이버 보안 기술 프로그램 대학원장이자 전 IT임원 맨서 하시브가 말했다. 이런 경우 불화가 나타날 수 있다.

특히 다른 사람들이 관심을 갖지 않을 때 윤리적인 길을 지지하는 상황이 껄끄러울 수 있다고 하시브가 말했다. 그는 이런 상황에서는 보안 임원의 평판이 나빠지기 전에 스스로 움직여야 한다고 조언했다. 가령 CISO가 직책을 맡기 전에 인터뷰 과정 중 조직과 임원들의 핵심 가치에 대해 질문함으로써 조직의 윤리적인 입장을 파악하려 시도하는 것이 더 좋을 수 있다는 설명이다.

‘아니요’ 부서 되기
한편, CISO는 보안 우려 때문에 비즈니스 성장이 저해되는 일이 발생하지 않도록 해야 한다고 페스카터가 말했다. 

“‘제안한 새로운 비즈니스 계획이 안전한지 확신할 수 없기 때문에 이를 허용하는 것에 대해 반대하고 있는 것이다’라고 말하는 보안 그룹이 있다. 이런 시도에 CISO는 비키라는 말을 듣는다. 이런 경우에 CISO는 비즈니스 성공의 장애물로 비쳐지며 해결책을 찾기 보다는 반대만 하고 있을 뿐이다”라고 그는 전했다. 

중요한 것 놓치기
대부분의 CISO는 유출 사건 발생 시 해고당할 것이라 생각하지 않지만 적색 깃발을 간과하거나 놓치면 경력 문제가 발생할 수 있다고 페스카터가 말했다. 자신의 조직이 인수하려 하는 기업의 보안 구멍을 놓치거나 알려진 보안 위협에 대한 자신의 기업이 직면한 위험을 크게 과소평가한 CISO가 쫓겨나는 경우가 많다. 문제가 억제된다 하더라도 CEO와 이사회는 CISO가 그 일에 적합하다는 신뢰감을 잃어버리게 된다고 페스카터가 설명했다.

경쟁자 따라하기
임원팀과 이사회 구성원은 업계에서 유사한 문제가 발생하는 경우 자사 보안 프로그램과 리더십을 측정할 수 있는 기회를 얻게 된다고 페스카터가 경고했다. 

만약 경쟁 업체 또는 유사한 기업을 모방하여 서비스를 복구하고 정상화하려 한다면, CISO는 책임을 추궁당할 것이다. 그는 “해당 기업이 같은 문제를 겪은 경쟁사보다 더 많은 것을 잃는다면 해고 사유가 충분하다”라고 말했다.

사인하여 희생양 되기
조직도에서 직위가 몇 단계 격하되고 급여가 다른 임원들보다 훨씬 낮은 기업에서 해당 역할을 맡게 되는 CISO는 자신이 해고될 수 있음을 인지해야 한다고 하시브가 경고했다. 

그는 이런 조직의 경우 무엇인가 필연적으로 잘못되었을 때 단독 책임을 지는 희생양을 원하곤 한다고 전했다.

“일부 조직은 의도적으로 책임을 질 사람을 고용한다”라고 말하면서 하시브는 임원 구조에서 CISO의 위치를 보면 조직이 보안을 비즈니스 조력자로 보는지 아니면 원가 중심적으로 보는지 알 수 있다고 설명했다. 

적절한 팀 구성에 실패하기
모든 것을 직접 다 할 수 있는 CISO는 없다. 이를 시도한다면 오히려 업무에 파묻혀 조직의 보안을 위험에 빠뜨리고 자신의 경력을 망치게 될 것이다. 

하시브는 “주변에 적절한 일을 하기 위해 필요한 지식이 있는 사람들이 없다면 성공하지 못할 것이다. 따라서 CISO는 적절한 사람을 고용할 권한이 있어야 한다”라고 말했다. 

하시브는 일부 CISO가 여전히 프로세스 및 사람과의 균형보다는 기술 기반의 보안 솔루션을 과도하게 강조하고 있다고 말했다. 그와 다른 사람들은 CISO가 이렇게 수요가 높은 시대에 자격을 갖춘 보안 전문가를 원한다면 최고의 팀을 구성하는 것을 우선순위로 삼아야 한다고 말했다. 또 이를 통해 임원 동료들에게 자신들이 실제로 상위 리더십층에 속해 있음을 입증할 수 있다고 그는 강조했다.
 
ciokr@idg.co.kr

X