2017.08.01

CISO가 결국 CIO보다 상위 직급이 될 이유

Jeffrey Guy | CIO Australia
몇년전부터 많은 기업의 보안 전문가가 중간 관리자에서 최고정보보안책임자(CISO)로 승진하고 있다. 그동안 보안은 IT 업무 중 하나로 취급됐고, 보안을 책임진 사람은 CISO라는 직함을 달고 있어도 CIO에 보고를 했었다. 그러나 보안이 단순한 기술이 아니라 기업 리스크 전체를 포괄한 개념이라는 인식이 확산하면서 CISO의 보고 채널이 CIO를 넘어 CEO, CFO, COO 등으로 확대되기 시작했다.



이러한 변화는 지금도 진행중이지만 여기서 끝이 아니다. 결국은 CIO가 CISO에게 보고하는 방식으로까지 바뀔 가능성이 있다. 이유는 CISO의 업무가 바뀌고 있기 때문이다. CIO가 업체에서 구입한 체크박스 제품을 관리하는 정도가 아니라, 제품과 사람, 프로세스를 결합한 작업을 총괄하고 있다. 이러한 작업은 기업이 지속적인 해킹 테스트라는 고통스럽지만 효과적인 피드백을 반복하면서 일어난 현상이다.

실제로 CISO를 통해 기업은 네트워크 관리, 자산 관리, 패칭 같은 IT 기본 작업이 보안을 강화하는 핵심임을 깨닫고 있다. 많은 기업이 여전히 거의 관리하지 않는 것들이다.

반전의 시작은 워너크라이와 패티야였다. 이들 랜섬웨어가 급속도로 확산할 때 중소기업 장비 수백만 대가 수주동안 패치되지 않고 그대로 인터넷에 노출됐다. 물론 패치 작업은 단순하지 않다. 그러나 중소기업이 패치하지 않은 시스템을 그대로 외부에 노출시키는 것은 중대한 과실이다. 이는 단적인 사례일 뿐이다. 기업이 이와 같은 IT 기본을 지키지 않으면 네트워크를 안전하게 방어하는 것은 불가능하다.

네트워크를 보호하기 위해서는 보안 팀만큼 강력하게 IT 프로그램을 운영하고 훈련해야 한다. 그리고 이러한 과정에서 CISO가 보안 작업 뿐만 아니라 네트워크와 기기, 운영체제 등 핵심 인프라를 총괄하게 될 가능성이 높다.

이렇게 되면 CIO는 비즈니스 프로세스를 책임지게 된다. 이제 IT의 핵심 가치는 비즈니스를 더 효율적으로 만드는 것이다. CISO는 네트워크를 운영하는 핵심 인프라스트럭처를 책임지고, CIO는 이 인프라 위에서 실행되는 애플리케이션과 현업 지원을 총괄하는 식이다.

이런 변화를 고려하면 오늘날 직함은 상식적이지 않다. 우리가 현재 CISO라고 부르는 직함은 IT와 보안 프로그램 운영을 담당하는 것을 반영해 CIOO와 더 비슷해질 것이다. 이들은 24/7 보안과 가용성을 유지하고 책임지게 된다. 운영 센터와 기업 애플리케이션 팀 그리고 컴플라이언스 팀의 보고를 받게 될 것이다.

그런데 이러한 조직도는 우리가 이미 10년 전부터 유지해 온 것과 비슷하다. 바로 CIO와 그의 팀이다. 따라서 이러한 변화에 대한 가장 간단한 대응법은 전통적인 조직 구조로 돌아가는 것이다. 단, 변화된 책임 소재를 명확히 하는 것이다. 즉 오늘날 CISO가 CIO로 승진하고 임원진 내에서 유일한 '기술 CxO'가 되는 것이다.

물론 이러한 전망 역시 변할 수 있다. 현재의 예상이 어떻게 현실에 반영되는지 지켜보는 것도 흥미로울 것이다. 더 중요한 것은 어떤 형태로 CIO와 CISO가 변화하든 우리의 네트워크는 점점 더 안전해질 것이라는 점이다. ciokr@idg.co.kr

2017.08.01

CISO가 결국 CIO보다 상위 직급이 될 이유

Jeffrey Guy | CIO Australia
몇년전부터 많은 기업의 보안 전문가가 중간 관리자에서 최고정보보안책임자(CISO)로 승진하고 있다. 그동안 보안은 IT 업무 중 하나로 취급됐고, 보안을 책임진 사람은 CISO라는 직함을 달고 있어도 CIO에 보고를 했었다. 그러나 보안이 단순한 기술이 아니라 기업 리스크 전체를 포괄한 개념이라는 인식이 확산하면서 CISO의 보고 채널이 CIO를 넘어 CEO, CFO, COO 등으로 확대되기 시작했다.



이러한 변화는 지금도 진행중이지만 여기서 끝이 아니다. 결국은 CIO가 CISO에게 보고하는 방식으로까지 바뀔 가능성이 있다. 이유는 CISO의 업무가 바뀌고 있기 때문이다. CIO가 업체에서 구입한 체크박스 제품을 관리하는 정도가 아니라, 제품과 사람, 프로세스를 결합한 작업을 총괄하고 있다. 이러한 작업은 기업이 지속적인 해킹 테스트라는 고통스럽지만 효과적인 피드백을 반복하면서 일어난 현상이다.

실제로 CISO를 통해 기업은 네트워크 관리, 자산 관리, 패칭 같은 IT 기본 작업이 보안을 강화하는 핵심임을 깨닫고 있다. 많은 기업이 여전히 거의 관리하지 않는 것들이다.

반전의 시작은 워너크라이와 패티야였다. 이들 랜섬웨어가 급속도로 확산할 때 중소기업 장비 수백만 대가 수주동안 패치되지 않고 그대로 인터넷에 노출됐다. 물론 패치 작업은 단순하지 않다. 그러나 중소기업이 패치하지 않은 시스템을 그대로 외부에 노출시키는 것은 중대한 과실이다. 이는 단적인 사례일 뿐이다. 기업이 이와 같은 IT 기본을 지키지 않으면 네트워크를 안전하게 방어하는 것은 불가능하다.

네트워크를 보호하기 위해서는 보안 팀만큼 강력하게 IT 프로그램을 운영하고 훈련해야 한다. 그리고 이러한 과정에서 CISO가 보안 작업 뿐만 아니라 네트워크와 기기, 운영체제 등 핵심 인프라를 총괄하게 될 가능성이 높다.

이렇게 되면 CIO는 비즈니스 프로세스를 책임지게 된다. 이제 IT의 핵심 가치는 비즈니스를 더 효율적으로 만드는 것이다. CISO는 네트워크를 운영하는 핵심 인프라스트럭처를 책임지고, CIO는 이 인프라 위에서 실행되는 애플리케이션과 현업 지원을 총괄하는 식이다.

이런 변화를 고려하면 오늘날 직함은 상식적이지 않다. 우리가 현재 CISO라고 부르는 직함은 IT와 보안 프로그램 운영을 담당하는 것을 반영해 CIOO와 더 비슷해질 것이다. 이들은 24/7 보안과 가용성을 유지하고 책임지게 된다. 운영 센터와 기업 애플리케이션 팀 그리고 컴플라이언스 팀의 보고를 받게 될 것이다.

그런데 이러한 조직도는 우리가 이미 10년 전부터 유지해 온 것과 비슷하다. 바로 CIO와 그의 팀이다. 따라서 이러한 변화에 대한 가장 간단한 대응법은 전통적인 조직 구조로 돌아가는 것이다. 단, 변화된 책임 소재를 명확히 하는 것이다. 즉 오늘날 CISO가 CIO로 승진하고 임원진 내에서 유일한 '기술 CxO'가 되는 것이다.

물론 이러한 전망 역시 변할 수 있다. 현재의 예상이 어떻게 현실에 반영되는지 지켜보는 것도 흥미로울 것이다. 더 중요한 것은 어떤 형태로 CIO와 CISO가 변화하든 우리의 네트워크는 점점 더 안전해질 것이라는 점이다. ciokr@idg.co.kr

X