2014.06.18

사고 이후 CISO 선임한 타깃··· "CIO에게 보고한다고?"

Antone Gonsalves | CSO
대규모 데이터 유출 사고 이후 타깃(Target)은 최고 정보보안 책임자(CISO)직을 신설했다. 그러나 보안 전문가들은 타깃이 취한 방법론에 문제가 있다고 지적하고 있다. CISO에서 CIO로 이어지는 보고 체계가 지적 대상이다.

이번 주 타깃은 제너럴 모터스(General Motors)의 최고 정보보안 및 IT 리스크 책임자 출신인 브래드 마이오리노를 자사의 CISO로 신규 임명한다고 발표했다. 마이오리노는 제너럴 모터스의 글로벌 정보 보안 부문을 총괄해온 인물이다.

이번 임명은 이 기업이 6개월 전 겪은, 4,000만 건의 신용카드 정보 및 7,000만 건의 고객 개인 정보(주소, 휴대전화 번호 등) 유출 사태 이후 정보 보안 영역과 관련해 이뤄진 개혁 행보라는 점에서 주목을 받고 있다.

전문가들은 일단 타깃의 CISO 임명에 긍정적인 평가를 내리고 있다. 그러나 CISO의 활동 방식에 있어서는 의문이 제기되고 있기도 하다. 이번에 임명된 마이오리노의 직접 보고 대상이 기업의 임시 CEO 겸 회장인 존 뮬리건이 아닌, 밥 드로즈 CIO로 설정돼 있음에 대한 의문이다.

이에 관해 몇몇 전문가들은 CISO와 CIO가 동등한 지위를 누리지 못하고 업무 상의 상하관계가 형성될 경우, 보안 활동의 중요도가 저평가될 우려가 있다고 지적했다.

제이블린 스트레티지&리서치(Javelin Strategy & Research)의 애널리스트 알 파스큐얼은 “보안은 운영 과정의 문제점을 지적하는, 자칫 귀찮은 선생님의 역할로 비춰질 수 있는 활동이다. 그러나 이제 우리 모두는 보안이 단순히 번거로운, 부차적 문제로 치부될 수 없는 것임을 배웠다. CIO와 CISO는 상호보완적인 관계다. 이들은 효율성과 안정성이라는 비즈니스 운영을 지탱하는 두 축으로써, 진정한 파트너가 돼야 한다”라고 강조했다.

CISO의 역할은 기업의 전반적인 보안 접근 방향을 설정하고 관련 정책이나 절차의 성공 및 실패에 대한 전적인 책임을 지는 것이다. 이를 위해서는 회사 이사회 및 CEO가 기술적 문제에 대해 잘 알도록 해야 한다.

CISO는 또한 대규모 IT 보안 관련 지출에 대해 CEO나 재무담당 최고책임자(CFO)를 설득할 수 있어야 한다. 그러면 CEO 및 CFO는 CIO의 요청과 CISO의 요청을 저울질 해 적절한 결정을 내릴 수 있다.

결과 발언권이 CIO에게 주어질 경우, IT 운영과 보안 사이의 균형은 전자에 치우칠 위험이 있다고 전문가들은 지적하고 있다.

IT-하비스트(IT-Harvest)의 최고 연구 애널리스트 리차드 스티넌은 “CIO의 주요 역할은 프로젝트를 전달하고, 운영 과정을 관리하는 것이다. 그런데 보안 통제는, 이 과정에 문제점을 지적하고, 따라서 활동의 ‘발목을 잡는' 역할을 할 수도 있다. 그렇다고 보안 전문가의 의견을 차치하고 무작정 새로운 프로젝트 등을 런칭한다면, 호미로 막을 구멍을 가래로 막는 일이 벌어질지도 모른다”라고 말했다.

스티넌은 CISO가 CEO나 이사회 회계 감사 위원회에 직접적으로 보고를 할 경우, 상황에 따라 CIO의 결정을 번복할 수도 있다고 설명했다.

타깃은 데이터 유출 사태로 막대한 타격을 입었다. 이들 기업이 문제 해결을 위해 소요한 비용은 2월 1일 기준 6,100만 달러 규모인 것으로 보고되고 있다. 그러나 애널리스트들은 현재도 90여 건의 소송이 진행 중이라는 등의 사실을 감안할 경우, 실제 타격은 이보다 수 십 배 더 클 것이라 바라보고 있다.

굿 하버 시큐리티 리스크 매니지먼트(Good Harbor Security Risk Management)의 사이버보안 컨설턴트인 제이콥 올컷은 대형 보안 사고의 위험을 잘 아는 타깃이 마이오리노를 좀 더 높은 경영직에 임명하지 않은 것에 놀라움을 표시했다.

그는 “보안 및 리스크 문제에 깨어 있는 CIO가 있는 회사라면 CISO가 CIO를 통해 보고하도록 할 수도 있다. 그러나 CIO가 보안 상황에 대해 제대로 알지 못할 경우 이 구조가 실패할 수도 있다”라고 말했다.

그는 “핵심은, 최고 임원에게 기업의 보안 상황에 대한 시각이 제공되지 않는 상황은 또 다른 거대한 문제를 야기할 수 있는, 좋지 못한 자세라는 점이다”라고 덧붙였다. ciokr@idg.co.kr



2014.06.18

사고 이후 CISO 선임한 타깃··· "CIO에게 보고한다고?"

Antone Gonsalves | CSO
대규모 데이터 유출 사고 이후 타깃(Target)은 최고 정보보안 책임자(CISO)직을 신설했다. 그러나 보안 전문가들은 타깃이 취한 방법론에 문제가 있다고 지적하고 있다. CISO에서 CIO로 이어지는 보고 체계가 지적 대상이다.

이번 주 타깃은 제너럴 모터스(General Motors)의 최고 정보보안 및 IT 리스크 책임자 출신인 브래드 마이오리노를 자사의 CISO로 신규 임명한다고 발표했다. 마이오리노는 제너럴 모터스의 글로벌 정보 보안 부문을 총괄해온 인물이다.

이번 임명은 이 기업이 6개월 전 겪은, 4,000만 건의 신용카드 정보 및 7,000만 건의 고객 개인 정보(주소, 휴대전화 번호 등) 유출 사태 이후 정보 보안 영역과 관련해 이뤄진 개혁 행보라는 점에서 주목을 받고 있다.

전문가들은 일단 타깃의 CISO 임명에 긍정적인 평가를 내리고 있다. 그러나 CISO의 활동 방식에 있어서는 의문이 제기되고 있기도 하다. 이번에 임명된 마이오리노의 직접 보고 대상이 기업의 임시 CEO 겸 회장인 존 뮬리건이 아닌, 밥 드로즈 CIO로 설정돼 있음에 대한 의문이다.

이에 관해 몇몇 전문가들은 CISO와 CIO가 동등한 지위를 누리지 못하고 업무 상의 상하관계가 형성될 경우, 보안 활동의 중요도가 저평가될 우려가 있다고 지적했다.

제이블린 스트레티지&리서치(Javelin Strategy & Research)의 애널리스트 알 파스큐얼은 “보안은 운영 과정의 문제점을 지적하는, 자칫 귀찮은 선생님의 역할로 비춰질 수 있는 활동이다. 그러나 이제 우리 모두는 보안이 단순히 번거로운, 부차적 문제로 치부될 수 없는 것임을 배웠다. CIO와 CISO는 상호보완적인 관계다. 이들은 효율성과 안정성이라는 비즈니스 운영을 지탱하는 두 축으로써, 진정한 파트너가 돼야 한다”라고 강조했다.

CISO의 역할은 기업의 전반적인 보안 접근 방향을 설정하고 관련 정책이나 절차의 성공 및 실패에 대한 전적인 책임을 지는 것이다. 이를 위해서는 회사 이사회 및 CEO가 기술적 문제에 대해 잘 알도록 해야 한다.

CISO는 또한 대규모 IT 보안 관련 지출에 대해 CEO나 재무담당 최고책임자(CFO)를 설득할 수 있어야 한다. 그러면 CEO 및 CFO는 CIO의 요청과 CISO의 요청을 저울질 해 적절한 결정을 내릴 수 있다.

결과 발언권이 CIO에게 주어질 경우, IT 운영과 보안 사이의 균형은 전자에 치우칠 위험이 있다고 전문가들은 지적하고 있다.

IT-하비스트(IT-Harvest)의 최고 연구 애널리스트 리차드 스티넌은 “CIO의 주요 역할은 프로젝트를 전달하고, 운영 과정을 관리하는 것이다. 그런데 보안 통제는, 이 과정에 문제점을 지적하고, 따라서 활동의 ‘발목을 잡는' 역할을 할 수도 있다. 그렇다고 보안 전문가의 의견을 차치하고 무작정 새로운 프로젝트 등을 런칭한다면, 호미로 막을 구멍을 가래로 막는 일이 벌어질지도 모른다”라고 말했다.

스티넌은 CISO가 CEO나 이사회 회계 감사 위원회에 직접적으로 보고를 할 경우, 상황에 따라 CIO의 결정을 번복할 수도 있다고 설명했다.

타깃은 데이터 유출 사태로 막대한 타격을 입었다. 이들 기업이 문제 해결을 위해 소요한 비용은 2월 1일 기준 6,100만 달러 규모인 것으로 보고되고 있다. 그러나 애널리스트들은 현재도 90여 건의 소송이 진행 중이라는 등의 사실을 감안할 경우, 실제 타격은 이보다 수 십 배 더 클 것이라 바라보고 있다.

굿 하버 시큐리티 리스크 매니지먼트(Good Harbor Security Risk Management)의 사이버보안 컨설턴트인 제이콥 올컷은 대형 보안 사고의 위험을 잘 아는 타깃이 마이오리노를 좀 더 높은 경영직에 임명하지 않은 것에 놀라움을 표시했다.

그는 “보안 및 리스크 문제에 깨어 있는 CIO가 있는 회사라면 CISO가 CIO를 통해 보고하도록 할 수도 있다. 그러나 CIO가 보안 상황에 대해 제대로 알지 못할 경우 이 구조가 실패할 수도 있다”라고 말했다.

그는 “핵심은, 최고 임원에게 기업의 보안 상황에 대한 시각이 제공되지 않는 상황은 또 다른 거대한 문제를 야기할 수 있는, 좋지 못한 자세라는 점이다”라고 덧붙였다. ciokr@idg.co.kr

X