2013.07.25

"CRO는 CSO의 미래다"

Lauren Gibbons Paul | CSO

최근 몇 년 사이 최고 보안 책임자(CSO)의 역할에 이런저런 변화가 있었다. 많은 대기업들에서는 1 명의 CSO가 물리적 보안과 정보 보안을 모두 관리하는 구조가 유행하고 있다. 이와 같은 기능 변화의 배경에는 쉴 새 없이 변화하는 오늘날의 위협 환경이 자리잡고 있다.

그리고 이제는 머지 않아 CSO라는 역할이, 정보 보안, 설비 관리 등과 관련한 기업의 리스크 전반을 관리하고 경감하는, 최고 리스크 책임자(CRO)로 진화할 것이라는(그리고 전통적으로 CRO의 역할로 다뤄졌던 금융 리스크 관리 기능은 타 부문으로 이전 될 것이라는) 예측이 곳곳에서 나오고 있다. 현재 CSO를 맡고 있는 이들이 CRO로 거듭나게 된다면, 그들에겐 기업의 리스크 프로파일을 이해하고 그에 따른 리스크 경감책을 마련해야 한다는 새로운 임무가 주어지게 될 것이다.

캐나다의 3 대 은행으로 손꼽히는 토론토 스코티아 은행의 기업 보안 서비스 사업부 부사장 겸 정보 보안 부책임자(deputy CISO) 그랙 톰슨은 이미 자신에게 운영 리스크 관리의 임무가 어느 정도 부여되고 있다고 설명했다.

톰슨은 "변화의 움직임이 일어나고 있다. 리스크 관리는 10년 전이라면 전적으로 운영 상의 문제로 분류됐을 것이다. 하지만 이런 구조에는 운영 과정에서 발견되는 취약성 관리의 어려움이 있었고, 이 문제를 적절히 처리하기 위해 역할 체계 개편의 필요성이 대두되고 있다"라고 말했다.

톰슨은 많은 리스크와 규제에 둘러싸인 금융 산업에서 CISO로 활동하며 정보 획득의 중요성과 운영 리스크 관리 전문 지식의 필요성을 절감했다고 이야기했다. 현재 그는 횡령, 해킹, 핵티비즘(hacktivism), 개인 정보 유출, 설정 리스크, 국가 주도 공격 리스크, 명성 리스크, 설비 리스크, IT 프로세스 리스크, 규제 리스크, 공급자/서비스 리스크 등 순수 금융 부문을 제외한 모든 종류의 리스크를 추적, 관리하고 있다.

그는 "지금까지 이것들을 단순한 보안 리스크 지표로 다뤄왔다. 하지만 이제는 핵심 리스크 지표로 이들을 관리하고 있다. 우리는 시야를 정보 보안의 영역 너머로 확장해 보다 큰 그림을 이해할 수 있도록 노력하고 있다"라고 말했다. 그는 이런 시각의 변화에 규제 환경의 변화가 일부 역할을 했다고 덧붙였다.

새로운 측정 지표
톰슨은 자신의 역할이 한 층 확대된다는 것에 즐거움을 느꼈지만, 이내 기업의 리스크를 정의하고 추적하는데 필요한 적절한 지표가 부족하다는 사실을 확인하고 곤란함을 느꼈다고 소개했다.

그는 "리스크를 실제적으로 설명하기 위해서는 일련의 측정 지표가 필요했다. 물론 패치 적용을 위한 평균시 지표나 공개 감사 횟수 지표 등은 이전에도 존재했다. 하지만 그것만으론 충분치 않았다. 측정의 결과물을 정의하는 것이 우리의 마지막 관문이었다"라고 말했다.

현재 그의 조직은 기준선 개발 작업을 진행 중이다. 톰슨은 이런 노력이 현재에 뿐 아니라 미래에도 가치 있는 틀로서 역할 할 것이라 생각하고 있다.

CSO의 역할이 변화함에 따라 그들이 필요로 하는 지표 역시 변화하고 있다. 톰슨은 지난 몇 년 새 일부 리스크 측정 지표에 변화가 있었다고 소개했다. 예를 들어 스코티아 은행의 정보 보안 부문에서는 취약성의 지속 기간이 그것의 위험도와 비례한다는 가정 하에 '취약성 수명'을 리스크 수준 파악의 지표로 활용해왔다. 하지만 일련의 리스크 분석 프로세스를 확보한 뒤 이들 은행은 취약성 수명이 아닌, 취약성과 관계가 있는 위협 인자들을 리스크 수준 평가의 지표로 삼고 있다.

톰슨은 "내 경우에는 현재 위협 활성도를 리스크 수준 평가 지표로 고려하고 있다"라고 말했다.

그는 “굳이 직급에 ‘R(Risk)’이 들어가지 않더라도, 오늘날의 CSO 대부분은 이른바 ‘리스크와 관련한 관점'을 일정 부분 다루고 있다. 이는 선택의 문제가 아니다”라고 덧붙였다. 버지니아 주 레스톤에 있는 업체 베리사인(Verisign)의 CSO 대니 맥퍼슨 역시 이런 의견에 동의했다. 그는 “베리사인은 운영 과정의 맥락을 강조하는, ‘지식 주도의 보안' 접근법을 채택하고 있다. 우리는 높은 가치의 자산을 보호하는데 최적의 인력을 투입한다”라고 설명했다.




2013.07.25

"CRO는 CSO의 미래다"

Lauren Gibbons Paul | CSO

최근 몇 년 사이 최고 보안 책임자(CSO)의 역할에 이런저런 변화가 있었다. 많은 대기업들에서는 1 명의 CSO가 물리적 보안과 정보 보안을 모두 관리하는 구조가 유행하고 있다. 이와 같은 기능 변화의 배경에는 쉴 새 없이 변화하는 오늘날의 위협 환경이 자리잡고 있다.

그리고 이제는 머지 않아 CSO라는 역할이, 정보 보안, 설비 관리 등과 관련한 기업의 리스크 전반을 관리하고 경감하는, 최고 리스크 책임자(CRO)로 진화할 것이라는(그리고 전통적으로 CRO의 역할로 다뤄졌던 금융 리스크 관리 기능은 타 부문으로 이전 될 것이라는) 예측이 곳곳에서 나오고 있다. 현재 CSO를 맡고 있는 이들이 CRO로 거듭나게 된다면, 그들에겐 기업의 리스크 프로파일을 이해하고 그에 따른 리스크 경감책을 마련해야 한다는 새로운 임무가 주어지게 될 것이다.

캐나다의 3 대 은행으로 손꼽히는 토론토 스코티아 은행의 기업 보안 서비스 사업부 부사장 겸 정보 보안 부책임자(deputy CISO) 그랙 톰슨은 이미 자신에게 운영 리스크 관리의 임무가 어느 정도 부여되고 있다고 설명했다.

톰슨은 "변화의 움직임이 일어나고 있다. 리스크 관리는 10년 전이라면 전적으로 운영 상의 문제로 분류됐을 것이다. 하지만 이런 구조에는 운영 과정에서 발견되는 취약성 관리의 어려움이 있었고, 이 문제를 적절히 처리하기 위해 역할 체계 개편의 필요성이 대두되고 있다"라고 말했다.

톰슨은 많은 리스크와 규제에 둘러싸인 금융 산업에서 CISO로 활동하며 정보 획득의 중요성과 운영 리스크 관리 전문 지식의 필요성을 절감했다고 이야기했다. 현재 그는 횡령, 해킹, 핵티비즘(hacktivism), 개인 정보 유출, 설정 리스크, 국가 주도 공격 리스크, 명성 리스크, 설비 리스크, IT 프로세스 리스크, 규제 리스크, 공급자/서비스 리스크 등 순수 금융 부문을 제외한 모든 종류의 리스크를 추적, 관리하고 있다.

그는 "지금까지 이것들을 단순한 보안 리스크 지표로 다뤄왔다. 하지만 이제는 핵심 리스크 지표로 이들을 관리하고 있다. 우리는 시야를 정보 보안의 영역 너머로 확장해 보다 큰 그림을 이해할 수 있도록 노력하고 있다"라고 말했다. 그는 이런 시각의 변화에 규제 환경의 변화가 일부 역할을 했다고 덧붙였다.

새로운 측정 지표
톰슨은 자신의 역할이 한 층 확대된다는 것에 즐거움을 느꼈지만, 이내 기업의 리스크를 정의하고 추적하는데 필요한 적절한 지표가 부족하다는 사실을 확인하고 곤란함을 느꼈다고 소개했다.

그는 "리스크를 실제적으로 설명하기 위해서는 일련의 측정 지표가 필요했다. 물론 패치 적용을 위한 평균시 지표나 공개 감사 횟수 지표 등은 이전에도 존재했다. 하지만 그것만으론 충분치 않았다. 측정의 결과물을 정의하는 것이 우리의 마지막 관문이었다"라고 말했다.

현재 그의 조직은 기준선 개발 작업을 진행 중이다. 톰슨은 이런 노력이 현재에 뿐 아니라 미래에도 가치 있는 틀로서 역할 할 것이라 생각하고 있다.

CSO의 역할이 변화함에 따라 그들이 필요로 하는 지표 역시 변화하고 있다. 톰슨은 지난 몇 년 새 일부 리스크 측정 지표에 변화가 있었다고 소개했다. 예를 들어 스코티아 은행의 정보 보안 부문에서는 취약성의 지속 기간이 그것의 위험도와 비례한다는 가정 하에 '취약성 수명'을 리스크 수준 파악의 지표로 활용해왔다. 하지만 일련의 리스크 분석 프로세스를 확보한 뒤 이들 은행은 취약성 수명이 아닌, 취약성과 관계가 있는 위협 인자들을 리스크 수준 평가의 지표로 삼고 있다.

톰슨은 "내 경우에는 현재 위협 활성도를 리스크 수준 평가 지표로 고려하고 있다"라고 말했다.

그는 “굳이 직급에 ‘R(Risk)’이 들어가지 않더라도, 오늘날의 CSO 대부분은 이른바 ‘리스크와 관련한 관점'을 일정 부분 다루고 있다. 이는 선택의 문제가 아니다”라고 덧붙였다. 버지니아 주 레스톤에 있는 업체 베리사인(Verisign)의 CSO 대니 맥퍼슨 역시 이런 의견에 동의했다. 그는 “베리사인은 운영 과정의 맥락을 강조하는, ‘지식 주도의 보안' 접근법을 채택하고 있다. 우리는 높은 가치의 자산을 보호하는데 최적의 인력을 투입한다”라고 설명했다.


X