2012.12.04

CFO에게 보안 문제가 기업 리스크라고 어떻게 설득할까?

Martha Heller | CIO

정보보호는 누릴 수 있는 이득보다 들어가는 수고와 비용이 더 많은 천덕꾸러기 취급을 받곤 한다. 큰 사고가 터져 엄청난 손실을 보기 전까지는 말이다. 어떻게 하면 정보보호를 기업 리스크 관리의 일부로 만들 수 있을까?

한 남자가 박수를 치고 있는 다른 남자에게 다가가 묻는다. "왜 박수를 치고 계시죠?" 두 번째 남자가 답하길, "악어를 쫓아버리려고요"라고 한다. 첫 번째 남자는 혼란스러워져서 "여기 악어가 어디 있다고 그러세요?"하고 되묻는다. 그러자 두 번째 남자 왈, "그렇죠? 박수 치는 게 효과가 있다니까요!"

경영진에게 IT 보안 제품 구매를 설득 시켜야 하는 CIO들은 흔히 위와 같은 상황에 처한 듯한 기분을 느낀다. "'정보 보안에 이러이러한 정도의 돈을 쓰겠습니다'라고 보고하는 CIO에게 '그걸로 충분합니까? 더 필요하지 않습니까?'라고 묻는 경우는 거의 없다"고 전자 외환 플랫폼 FX올(FXall)의 CIO 스티브 루비나우는 말했다. "대신, '이렇다 할 보안 문제도 없었는데, 보안에 돈을 너무 많이 쓰는 것 아니냐'는 말을 듣게 마련이다."

ROI패러독스. IT 보안의 가장 분명한 패러독스는 아마 "보안에서 ROI가 쉽게 나오는 경우가 없다는 것이다”라고 루비나우는 말했다. 게다가 보안을 통해 시스템이 100% 안전해진다는 보장도 없다고 그는 덧붙였다. 또 요즘은 고객 정보 보다는 지적 재산을 타깃으로 하는 경우가 많아지며 보안 위협의 감지 역시 어려워지고 있기도 하다.

당장 보안 문제에 직면해 있는 것이 아닌 상황에서, 루비나우가 제안하는 방법은 같은 산업에 속한 다른 기업들에게 닥친 위기를 예시로 드는 것이다. 그는 "물론 어느 업체에게도 보안 문제가 생겨선 안 될 것이다. 그렇지만 그런 경우가 생길 경우 '좋아, 보안 관련 파워포인트 파일 준비해. 기회가 온 거야'라고 말하게 된다"라고 설명했다.

대부분의 금융 서비스 업체 CIO들과 마찬가지로 루비나우 역시 컨설턴트들을 순환식으로 고용해 모의 해킹 테스트를 하도록 하고 경쟁 업체의 보안 투자를 벤치마킹 하여 자사의 보안 상태를 점검했다. "만일 다른 업체에서 일하는 사람을 우리 회사에 데려 온다면, 우리의 투자를 어떻게 평가할 것인가? 객관적인 3자의 눈으로 봤을 때도 적당한 만큼 투자하고 있다고 생각할 것인가?"라고 그는 전했다.

제품 패러독스.  얼라이언스 데이터 시스템 리테일 서비스(Alliance Data Systems Retail Service)의 IT 부사장인 마이크 로셀로는 시장 경쟁력과 보안 사이의 균형을 유지하는데 패러독스가 있다고 말했다. "우리는 데이터를 관리하는 업체인 만큼 보안은 논란의 여지 없이 필수이다. 효과적인 보안 프로토콜을 유지하면서 동시에 시장에서의 경쟁력도 포기할 수 없다"라고 그는 주장했다.

이에 대한 해결책으로 그의 회사에서는 설계 팀에 보안 직원을 두고 있다. 솔루션을 제안할 때마다 그에 따른 보안 문제도 발생하기 때문이다. "보안 팀이 회사 측에 원하는 것을 할 수 없다고 말하는 일이 일어나서는 안 되기 때문"이라고 로셀로는 설명했다.

다시 말해 설계팀이 갖추지 못한 기술을 옆에서 코칭해 주는 것이다. 보안 팀에서 기업 내 다른 부서를 교육하고 보안 서비스를 사용하도록 설득할수록 정보 보안 문제에 대해 경영진을 설득 시키는 일도 수월해진다.


IT 패러독스. 그러나 보안만이 IT가 해결해야 하는 유일한 문제는 아니다. "보안을 '비즈니스 리스크' 관련 이슈가 아닌 IT이슈로 논하게 될 경우 그리 예산을 많이 받지도 못하고, 중요하지도 않은 주제가 돼버린다"라고 지멘스 헬스케어(Siemens Healthcare)의 부서 정보 관리 책임자로 일하고 있는 마크 실버는 말했다. 그는 "그렇지만 문제가 생기면 IT가 모든 책임을 져야 한다. 그래서 나는 CFO와 얘기할 때면 ROI가 가 ‘투옥 리스크(Risk of Incarceration)’를 의미하기도 한다고 말하곤 한다"라고 설명했다.

실버는 “CISO들(실버는 이들이 CFO나 최고법률책임자(CLO)에게 보고해야 한다고 생각한다)이 회사의 전체적인 리스크 프로파일에 맞춰 접근 방식을 조정할 필요가 있다. 한 번 스스로에게 물어보자. 당신의 회사 전망은 낙관적인가? 규제가 심한 편인가? 혹 프로파일이 변화하고 있진 않은가?  SEC가 경쟁 업체들의 특정 활동에 벌금을 물리기 시작한다면, 당신의 리스크 프로파일이 상승했다는 의미다"라고 덧붙였다.

CISO가 리스크 프로파일을 결정하고 나면, 다음은 정보 보안을 시스템화 시켜야 한다. 실버는 "어떤 프로젝트를 시작하든, 처음에 시간과 리소스, 그리고 품질을 고려한다. 품질을 고려할 때 정보 보안을 고려 대상에 포함 시키는 일은 확대 해석이라 할 수 없다. 보안이 프로젝트 관리 방법의 핵심이 되면, 모든 이해 관계자들 역시 프로젝트를 평가할 때 그것이 리스크 프로파일과 부합 하는지를 평가하게 될 것이다"라고 강조했다.

*Martha Heller는 CIO와 IT임원 전문 헤드헌팅 업체인 헬러서치어소시에이츠(Heller Search Associates)의 사장이며 CIO 패러독스의 저자다. ciokr@idg.co.kr



2012.12.04

CFO에게 보안 문제가 기업 리스크라고 어떻게 설득할까?

Martha Heller | CIO

정보보호는 누릴 수 있는 이득보다 들어가는 수고와 비용이 더 많은 천덕꾸러기 취급을 받곤 한다. 큰 사고가 터져 엄청난 손실을 보기 전까지는 말이다. 어떻게 하면 정보보호를 기업 리스크 관리의 일부로 만들 수 있을까?

한 남자가 박수를 치고 있는 다른 남자에게 다가가 묻는다. "왜 박수를 치고 계시죠?" 두 번째 남자가 답하길, "악어를 쫓아버리려고요"라고 한다. 첫 번째 남자는 혼란스러워져서 "여기 악어가 어디 있다고 그러세요?"하고 되묻는다. 그러자 두 번째 남자 왈, "그렇죠? 박수 치는 게 효과가 있다니까요!"

경영진에게 IT 보안 제품 구매를 설득 시켜야 하는 CIO들은 흔히 위와 같은 상황에 처한 듯한 기분을 느낀다. "'정보 보안에 이러이러한 정도의 돈을 쓰겠습니다'라고 보고하는 CIO에게 '그걸로 충분합니까? 더 필요하지 않습니까?'라고 묻는 경우는 거의 없다"고 전자 외환 플랫폼 FX올(FXall)의 CIO 스티브 루비나우는 말했다. "대신, '이렇다 할 보안 문제도 없었는데, 보안에 돈을 너무 많이 쓰는 것 아니냐'는 말을 듣게 마련이다."

ROI패러독스. IT 보안의 가장 분명한 패러독스는 아마 "보안에서 ROI가 쉽게 나오는 경우가 없다는 것이다”라고 루비나우는 말했다. 게다가 보안을 통해 시스템이 100% 안전해진다는 보장도 없다고 그는 덧붙였다. 또 요즘은 고객 정보 보다는 지적 재산을 타깃으로 하는 경우가 많아지며 보안 위협의 감지 역시 어려워지고 있기도 하다.

당장 보안 문제에 직면해 있는 것이 아닌 상황에서, 루비나우가 제안하는 방법은 같은 산업에 속한 다른 기업들에게 닥친 위기를 예시로 드는 것이다. 그는 "물론 어느 업체에게도 보안 문제가 생겨선 안 될 것이다. 그렇지만 그런 경우가 생길 경우 '좋아, 보안 관련 파워포인트 파일 준비해. 기회가 온 거야'라고 말하게 된다"라고 설명했다.

대부분의 금융 서비스 업체 CIO들과 마찬가지로 루비나우 역시 컨설턴트들을 순환식으로 고용해 모의 해킹 테스트를 하도록 하고 경쟁 업체의 보안 투자를 벤치마킹 하여 자사의 보안 상태를 점검했다. "만일 다른 업체에서 일하는 사람을 우리 회사에 데려 온다면, 우리의 투자를 어떻게 평가할 것인가? 객관적인 3자의 눈으로 봤을 때도 적당한 만큼 투자하고 있다고 생각할 것인가?"라고 그는 전했다.

제품 패러독스.  얼라이언스 데이터 시스템 리테일 서비스(Alliance Data Systems Retail Service)의 IT 부사장인 마이크 로셀로는 시장 경쟁력과 보안 사이의 균형을 유지하는데 패러독스가 있다고 말했다. "우리는 데이터를 관리하는 업체인 만큼 보안은 논란의 여지 없이 필수이다. 효과적인 보안 프로토콜을 유지하면서 동시에 시장에서의 경쟁력도 포기할 수 없다"라고 그는 주장했다.

이에 대한 해결책으로 그의 회사에서는 설계 팀에 보안 직원을 두고 있다. 솔루션을 제안할 때마다 그에 따른 보안 문제도 발생하기 때문이다. "보안 팀이 회사 측에 원하는 것을 할 수 없다고 말하는 일이 일어나서는 안 되기 때문"이라고 로셀로는 설명했다.

다시 말해 설계팀이 갖추지 못한 기술을 옆에서 코칭해 주는 것이다. 보안 팀에서 기업 내 다른 부서를 교육하고 보안 서비스를 사용하도록 설득할수록 정보 보안 문제에 대해 경영진을 설득 시키는 일도 수월해진다.


IT 패러독스. 그러나 보안만이 IT가 해결해야 하는 유일한 문제는 아니다. "보안을 '비즈니스 리스크' 관련 이슈가 아닌 IT이슈로 논하게 될 경우 그리 예산을 많이 받지도 못하고, 중요하지도 않은 주제가 돼버린다"라고 지멘스 헬스케어(Siemens Healthcare)의 부서 정보 관리 책임자로 일하고 있는 마크 실버는 말했다. 그는 "그렇지만 문제가 생기면 IT가 모든 책임을 져야 한다. 그래서 나는 CFO와 얘기할 때면 ROI가 가 ‘투옥 리스크(Risk of Incarceration)’를 의미하기도 한다고 말하곤 한다"라고 설명했다.

실버는 “CISO들(실버는 이들이 CFO나 최고법률책임자(CLO)에게 보고해야 한다고 생각한다)이 회사의 전체적인 리스크 프로파일에 맞춰 접근 방식을 조정할 필요가 있다. 한 번 스스로에게 물어보자. 당신의 회사 전망은 낙관적인가? 규제가 심한 편인가? 혹 프로파일이 변화하고 있진 않은가?  SEC가 경쟁 업체들의 특정 활동에 벌금을 물리기 시작한다면, 당신의 리스크 프로파일이 상승했다는 의미다"라고 덧붙였다.

CISO가 리스크 프로파일을 결정하고 나면, 다음은 정보 보안을 시스템화 시켜야 한다. 실버는 "어떤 프로젝트를 시작하든, 처음에 시간과 리소스, 그리고 품질을 고려한다. 품질을 고려할 때 정보 보안을 고려 대상에 포함 시키는 일은 확대 해석이라 할 수 없다. 보안이 프로젝트 관리 방법의 핵심이 되면, 모든 이해 관계자들 역시 프로젝트를 평가할 때 그것이 리스크 프로파일과 부합 하는지를 평가하게 될 것이다"라고 강조했다.

*Martha Heller는 CIO와 IT임원 전문 헤드헌팅 업체인 헬러서치어소시에이츠(Heller Search Associates)의 사장이며 CIO 패러독스의 저자다. ciokr@idg.co.kr

X