2016.03.02

타임워너 CISO가 보안 협력사로 이직한 이유

Clint Boulton | CIO
CIO 겸 CISO인 태미 모스카티츠에 따르면, IoT 시대에서 안전하지 않은 디지털 인증서에서 발생하는 위험이 점점 더 커지고 있다. 이러한 사이버보안 위협 때문에 모스카티츠는 베나피에서 2개의 C-레벨 임원직을 수행하게 됐다.


이미지 출처 : Thinkstock

이직을 원하는 CIO나 CIOS들은 임원 헤드헌팅 전문 기업에 의뢰해 회사를 옮기기도 한다. 하지만 IT리더 스스로 적극적으로 새로운 회사를 물색해 이직해야 할 때도 있다.

타임워너 케이블(Time Warner Cable)의 CISO였던 태미 모스카이츠(왼쪽 사진)는 자신을 고용할 기업 CEO에 직접 연락해 이직에 성공한 사례다. 모스카이츠는 타임워너의 컴캐스트 합병(결국 실패)을 위한 구조조정으로 다른 임원들과 함께 2014년 2월 회사를 떠나게 됐다. 모스카이츠의 이직 가능성에 대한 소문이 퍼지자 최고의 기업들이 일자리를 제안했다. 하지만 모스카이츠에겐 다른 생각이 있었다.

모스카이츠는 자신의 오랜 협력사였던 보안 소프트웨어 업체 베나피(Venafi)의 CEO 제프 허드슨에게 전화해 해당 기업에 임원으로 입사할 수 있는지 문의했다. 허드슨은 TWC와 홈데포(Home Depot)에서 CISO를 지낸 노련한 IT책임자인 모스카이츠가 자신에게 한 이야기를 믿을 수 없었으며 그녀의 제안을 거절하면서 전화를 끊었다. 모스카이츠는 당시를 회상하며 "그는 내게 나쁜 의도가 있다고 생각하고는 전화를 끊어 버렸다. 허드슨은 내가 항상 수만 명의 직원을 거느린 조직들과 일하고 거대한 보안 조직을 구축했다는 사실을 알고 있었다"고 말했다.

IT리더에게 참신하면서도 매력적인 기술
모스카이츠는 이후 다시 전화를 걸어 진심이라고 말했으며, 두 사람은 그녀의 직책을 CIO 겸 CISO로 신속하게 합의했다. 베나피와 모스카이츠의 인연은 그녀가 홈데포 CISO로 있을 때 베나피를 사용하기 시작했던 2010년으로 거슬러 올라간다. 모스카이츠는 2011년 베나피의 고객 자문 위원회에 가입했으며 당시 TWC로 이직한 후에도 베나피를 사용했다. 모스카이츠는 자신이 베나피의 팬이었다고 밝혔다.

이런 행보를 보인 IT 책임자로 모스카이츠만 있는 것이 아니다. IT기업들은 종종 고객사 출신의 노련한 CIO와 CISO를 기용하곤 한다. 그들은 경험에서 우러나온 기술의 가치를 입증할 줄 알기 때문이다. 박스(Box)는 박스를 사용하면서 이 클라우드 협업 소프트웨어의 가치를 알게 된 사람을 CIO로 기용한 적이 있다. 콜린 블랙은 KDSS(Kratos Defense and Security Solutions)에서 CIO로 근무하면서 이 신생벤처의 소프트웨어를 사용한 후 지난가을 크라우드스트라이크(Crowdstrike)의 CIO로 자리를 옮겼다.

그렇다면, 포춘 선정 500대 글로벌 기업의 CISO가 베나피의 어떤 점에 끌렸던 것일까?

베나피는 은행, 소매기업 등이 인터넷으로 정보를 교환하는 중요한 소프트웨어 일부인 디지털 인증서의 모니터링 및 관리를 자동화하는 소프트웨어 개발업체다. 인증서의 서명이 유효하면 인증서를 검사한 사람이 서명자를 신뢰하고 그 키를 이용해 소유자와 공유할 수 있게 된다.

인증서가 만료되면 웹 사이트가 정지되거나 항공사 수하물 시스템이 멈출 수 있다. 또 인증서가 유출될 경우 상당한 보안 위협이 발생할 수 있다. 모스카이츠는 "과거에 볼 수 없었던 새로운 것이 등장하면 처음에는 쓸모없는 것으로 생각하기 쉽다"고 말했다. 하지만 최근 등장한 하트블리드(Heartbleed), 스턱스넷(Stuxnet), 기타 인증서 관련 취약성은 CIO와 CISO들을 공포에 빠뜨리며 점점 더 큰 위협이 됐다.

베나피는 어떤 기업?
대부분의 기업은 베리사인(VeriSign)이나 기타 제공자의 인증서를 확보하고 이를 중심으로 많은 문서를 작성한 후 스프레드시트에서 데이터를 추적하는데, 모스카이츠는 이 과정이 매우 비효율적이라고 말했다. 베나피는 이 필수적인 작업을 자동화하여 어떤 인증서가 신뢰받는지 평가하고 신뢰할 수 있는 것을 보호하면서 신뢰할 수 없는 것을 수정하거나 차단하고 비정상적인 활동이 감지되면 IT부서에 경보를 제공한다. 베나피는 악성 또는 비정상 인증서를 식별하고 해결할 수 있는 인증서 평판 시스템을 제공해 준다. 미국 내 상위 5개 유통/소매기업과 은행 중 4곳이 이 소프트웨어를 사용하고 있다.

모스카이츠의 업무 중 90%는 출장, 디지털 신뢰에 관한 컨퍼런스 발표, 백서 작성이 차지한다. 그녀는 지난 2년 동안 약 400명의 CIO, CISO, 기타 임원과 이사를 만나 본 것 같다고 말했다. 그녀는 자신이 베나피의 주요 소프트웨어 테스팅팀을 이끌고 있으며 제품 관리자에게 품질과 기타 세부사항에 대해 조언한다고 말했다.

모스카이츠가 외근 중일 때는 IT 보안 및 인프라 수석 책임자 릭 빌이 새로운 방화벽과 프라이빗 클라우드 등을 감독하게 된다. 모스카이츠는 자신의 IT팀과 긴밀한 관계를 유지하면서 전화, 웹 화상 회의, 인스턴트 메시지, 이메일, 기타 의사소통을 위한 모든 수단을 통해 커뮤니케이션 한다. 모스카이츠는 “특히 사물인터넷(Internet of Things)의 시대에 안전하지 못한 인증서로 위협이 발생할 수 있는 상황에서 베나피의 성장을 지원할 만한 가치가 있다”고 강조했다.

모스카이츠는 연결형 기기의 확산에 대비하면서 CIO와 CISO가 더 민첩하게 일하고 인증서부터 시작해 기업 정보를 더 신속하게 보호해야 한다고 말했다. ciokr@idg.co.kr
 



2016.03.02

타임워너 CISO가 보안 협력사로 이직한 이유

Clint Boulton | CIO
CIO 겸 CISO인 태미 모스카티츠에 따르면, IoT 시대에서 안전하지 않은 디지털 인증서에서 발생하는 위험이 점점 더 커지고 있다. 이러한 사이버보안 위협 때문에 모스카티츠는 베나피에서 2개의 C-레벨 임원직을 수행하게 됐다.


이미지 출처 : Thinkstock

이직을 원하는 CIO나 CIOS들은 임원 헤드헌팅 전문 기업에 의뢰해 회사를 옮기기도 한다. 하지만 IT리더 스스로 적극적으로 새로운 회사를 물색해 이직해야 할 때도 있다.

타임워너 케이블(Time Warner Cable)의 CISO였던 태미 모스카이츠(왼쪽 사진)는 자신을 고용할 기업 CEO에 직접 연락해 이직에 성공한 사례다. 모스카이츠는 타임워너의 컴캐스트 합병(결국 실패)을 위한 구조조정으로 다른 임원들과 함께 2014년 2월 회사를 떠나게 됐다. 모스카이츠의 이직 가능성에 대한 소문이 퍼지자 최고의 기업들이 일자리를 제안했다. 하지만 모스카이츠에겐 다른 생각이 있었다.

모스카이츠는 자신의 오랜 협력사였던 보안 소프트웨어 업체 베나피(Venafi)의 CEO 제프 허드슨에게 전화해 해당 기업에 임원으로 입사할 수 있는지 문의했다. 허드슨은 TWC와 홈데포(Home Depot)에서 CISO를 지낸 노련한 IT책임자인 모스카이츠가 자신에게 한 이야기를 믿을 수 없었으며 그녀의 제안을 거절하면서 전화를 끊었다. 모스카이츠는 당시를 회상하며 "그는 내게 나쁜 의도가 있다고 생각하고는 전화를 끊어 버렸다. 허드슨은 내가 항상 수만 명의 직원을 거느린 조직들과 일하고 거대한 보안 조직을 구축했다는 사실을 알고 있었다"고 말했다.

IT리더에게 참신하면서도 매력적인 기술
모스카이츠는 이후 다시 전화를 걸어 진심이라고 말했으며, 두 사람은 그녀의 직책을 CIO 겸 CISO로 신속하게 합의했다. 베나피와 모스카이츠의 인연은 그녀가 홈데포 CISO로 있을 때 베나피를 사용하기 시작했던 2010년으로 거슬러 올라간다. 모스카이츠는 2011년 베나피의 고객 자문 위원회에 가입했으며 당시 TWC로 이직한 후에도 베나피를 사용했다. 모스카이츠는 자신이 베나피의 팬이었다고 밝혔다.

이런 행보를 보인 IT 책임자로 모스카이츠만 있는 것이 아니다. IT기업들은 종종 고객사 출신의 노련한 CIO와 CISO를 기용하곤 한다. 그들은 경험에서 우러나온 기술의 가치를 입증할 줄 알기 때문이다. 박스(Box)는 박스를 사용하면서 이 클라우드 협업 소프트웨어의 가치를 알게 된 사람을 CIO로 기용한 적이 있다. 콜린 블랙은 KDSS(Kratos Defense and Security Solutions)에서 CIO로 근무하면서 이 신생벤처의 소프트웨어를 사용한 후 지난가을 크라우드스트라이크(Crowdstrike)의 CIO로 자리를 옮겼다.

그렇다면, 포춘 선정 500대 글로벌 기업의 CISO가 베나피의 어떤 점에 끌렸던 것일까?

베나피는 은행, 소매기업 등이 인터넷으로 정보를 교환하는 중요한 소프트웨어 일부인 디지털 인증서의 모니터링 및 관리를 자동화하는 소프트웨어 개발업체다. 인증서의 서명이 유효하면 인증서를 검사한 사람이 서명자를 신뢰하고 그 키를 이용해 소유자와 공유할 수 있게 된다.

인증서가 만료되면 웹 사이트가 정지되거나 항공사 수하물 시스템이 멈출 수 있다. 또 인증서가 유출될 경우 상당한 보안 위협이 발생할 수 있다. 모스카이츠는 "과거에 볼 수 없었던 새로운 것이 등장하면 처음에는 쓸모없는 것으로 생각하기 쉽다"고 말했다. 하지만 최근 등장한 하트블리드(Heartbleed), 스턱스넷(Stuxnet), 기타 인증서 관련 취약성은 CIO와 CISO들을 공포에 빠뜨리며 점점 더 큰 위협이 됐다.

베나피는 어떤 기업?
대부분의 기업은 베리사인(VeriSign)이나 기타 제공자의 인증서를 확보하고 이를 중심으로 많은 문서를 작성한 후 스프레드시트에서 데이터를 추적하는데, 모스카이츠는 이 과정이 매우 비효율적이라고 말했다. 베나피는 이 필수적인 작업을 자동화하여 어떤 인증서가 신뢰받는지 평가하고 신뢰할 수 있는 것을 보호하면서 신뢰할 수 없는 것을 수정하거나 차단하고 비정상적인 활동이 감지되면 IT부서에 경보를 제공한다. 베나피는 악성 또는 비정상 인증서를 식별하고 해결할 수 있는 인증서 평판 시스템을 제공해 준다. 미국 내 상위 5개 유통/소매기업과 은행 중 4곳이 이 소프트웨어를 사용하고 있다.

모스카이츠의 업무 중 90%는 출장, 디지털 신뢰에 관한 컨퍼런스 발표, 백서 작성이 차지한다. 그녀는 지난 2년 동안 약 400명의 CIO, CISO, 기타 임원과 이사를 만나 본 것 같다고 말했다. 그녀는 자신이 베나피의 주요 소프트웨어 테스팅팀을 이끌고 있으며 제품 관리자에게 품질과 기타 세부사항에 대해 조언한다고 말했다.

모스카이츠가 외근 중일 때는 IT 보안 및 인프라 수석 책임자 릭 빌이 새로운 방화벽과 프라이빗 클라우드 등을 감독하게 된다. 모스카이츠는 자신의 IT팀과 긴밀한 관계를 유지하면서 전화, 웹 화상 회의, 인스턴트 메시지, 이메일, 기타 의사소통을 위한 모든 수단을 통해 커뮤니케이션 한다. 모스카이츠는 “특히 사물인터넷(Internet of Things)의 시대에 안전하지 못한 인증서로 위협이 발생할 수 있는 상황에서 베나피의 성장을 지원할 만한 가치가 있다”고 강조했다.

모스카이츠는 연결형 기기의 확산에 대비하면서 CIO와 CISO가 더 민첩하게 일하고 인증서부터 시작해 기업 정보를 더 신속하게 보호해야 한다고 말했다. ciokr@idg.co.kr
 

X