2018.01.11

칼럼 | 차기 CISO는 어떤 인물이 돼야 할까?

David Gee | CIO Australia
공인된 CISO가 부족해 전략적인 소임을 다할 수 있는 믿을만한 후보자가 없는 상황이다.



CISO가 계속 공석으로 두는 것은 좋은 선택이 아니며 그 자리에 딱 맞는 사람을 찾기까지 5~6개월의 시간이 걸린다고 예상해야 한다.

어떻게 하면 이 틈을 좁힐 수 있을까?

이상적으로 CISO는 기술자이자 비즈니스 파트너다. 이러한 전문가에 대한 수요가 공급을 초과하고 있음을 감안할 때 '완벽한 후보자'를 찾는 것이 선택 사항이 아닐 수도 있다. 잠재적으로 보안을 다룰 수 있는 다양한 CISO 모델을 살펴보자.

CISO의 다른 모델
보안 책임자의 경력은 다양하지만 후보자는 일반적으로 다음과 같은 유형으로 나뉜다.

• 리스크관리자
• IT전문가
• 화이트햇 해커
• 경찰

리스크관리자
리스크관리자는 전통적으로 감사 출신이다. 이들은 대인 관계 기술이 훌륭하며 2차 방어선으로 운영해본 적이 있다. 또한 위험 평가 및 관리를 위한 프레임워크를 통해 견고한 기술을 습득했다.

리스크관리자 프로파일은 4대 회계감사 또는 컨설팅회사에서 쉽게 찾을 수 있다. 기술적인 면에서 부족한 경향이 있지만, 대신 프리젠테이션 역량과 전문가 인맥이 뛰어나다.

일부 IT위험 및 보증 전문가는 IT전문성을 보유하고 있으며 침투 테스터인 경우가 몇 가지 있다. 그러나 리스크전문가는 전통적으로 문제를 확인하고 충분한 통제가 이뤄지도록 해야 한다.

이는 유용하긴 하지만 충분하지는 않을 것이다. 책임감이 있고 기꺼이 배우고 있음을 보여주는 이력서가 있는 사람을 찾아야 한다.

IT전문가
IT전문가는 일반적으로 네트워크와 인프라에 관해 지식과 경험이 많다. IT전문가는 과거에 CTO일 수도 있고, 보안팀을 관리했을 수도 있다. 운영과 프로젝트에 중점을 둘 확률이 높으며 패치 적용과 같은 작업을 완료하는 데 필요한 노력을 인식하게 된다.

CISO는 기술적으로 기이 알아야 하며, 기술 아키텍처 기본 사항에 관한 이해가 중요하다. 이 후보자는 변화 관리와 인프라 운영 및 유지관리 사이의 균형을 맞추는 문제를 다룰 때 정말 유용한 '반흔 조직(scar tissue)'을 가지고 있다.

IT전문가를 고려할 때 다른 직원과 함께 일하는 방법과 같은 소프트스킬에 주의하라. CISO의 핵심 역할은 조직 전체에 사이버보안 문화를 구축하는 것이며, IT전문가는 이러한 의도의 중요성을 이해할 수 있지만, 이 의제를 어떻게 전달할 것인가에 대한 강력한 관심이 필요하다.

화이트햇 해커
이 잠재적인 후보자는 지원자가 아니라 추천받은 사람일 것이다.

화이트햇 해커의 자연스러운 본능과 '실습' 기술은 이들이 협상 테이블 앞에 앉게 하는 가장 큰 자산이다. 이 해커는 사이버위협을 예측하고 대응할 수 있는 매우 강력한 기술을 갖추고 있다.

이들이 계획력이 약하고 비즈니스 참여 기술이 부족할 수 있을지 모르지만, 시장에서 인지도 높은 인물을 고용하면 상징성도 있고 대변인 역할까지도 할 수 있다.

화이트햇 해커는 팀을 얼마나 잘 관리하고 커뮤니티에 긍정적인 영향을 주는지 명확하게 이해해야 한다. 여러 면에서 이는 해커에게 당연한 일이다.

마지막 주의할 점은 화이트햇 해커와 블랙햇 해커의 차이점을 파악할 방법을 이해하는 것이다. 필자는 쉬운 리트머스 검사가 있는지 잘 모르겠다.

경찰
이 후보자는 컴플라이언스 및 보안 경력이 있으며, '규제 준수'에 관한 한 장담할 수 있다. 후보자는 진행 상황을 측정하는 스코어 카드에 중점을 둔 관리와 징계에 강하다.

경찰관이나 경찰은 권위 있는 인물이거나 기준을 집행하며 다루기 힘든 사람으로 존경받는다. 이 경찰은 조직이 강력한 보안 상태를 유지하고 법 집행 기관 및 기타 외부 단체와 쉽게 연락할 수 있도록 한다.

경찰 출신 후보자는 주위에서 비교적 쉽게 찾을 수 있는 인물이다. 하지만 규제 준수 이외에 리더십도 있어야 한다. 법을 따르는 것만으로는 특정 상황에 대응하지 못할 수 있다.

현상을 유지하는 것뿐 아니라 변화를 관리하기 위해서도 CISO가 필요하다.
 
결단을 내릴 때
이제 후보자 물색이 끝났을 테니 이제 몇 가지 결정을 내릴 때다. CISO 후보자가 현재 몇 가지 다른 옵션을 쥐고 있을 수 있으니 시간을 너무 오래 끌어서는 안 된다.

이상인 CISO는 앞서 언급한 기술을 조합한 인물일 것이다. 하지만 궁극적으로는 실적이 우수한 팀을 구성하는 데 열정적인 리더가 필요하며 전사적으로 사이버보안을 '전파'할 수 있어야 한다.

찾기 어려운 조합이지만, 그래도 행운을 빈다.

*David Gee 일본 메트라이프생명 CIO며 그 전에는 CUA CIO를 지냈다. ciokr@idg.co.kr
2018.01.11

칼럼 | 차기 CISO는 어떤 인물이 돼야 할까?

David Gee | CIO Australia
공인된 CISO가 부족해 전략적인 소임을 다할 수 있는 믿을만한 후보자가 없는 상황이다.



CISO가 계속 공석으로 두는 것은 좋은 선택이 아니며 그 자리에 딱 맞는 사람을 찾기까지 5~6개월의 시간이 걸린다고 예상해야 한다.

어떻게 하면 이 틈을 좁힐 수 있을까?

이상적으로 CISO는 기술자이자 비즈니스 파트너다. 이러한 전문가에 대한 수요가 공급을 초과하고 있음을 감안할 때 '완벽한 후보자'를 찾는 것이 선택 사항이 아닐 수도 있다. 잠재적으로 보안을 다룰 수 있는 다양한 CISO 모델을 살펴보자.

CISO의 다른 모델
보안 책임자의 경력은 다양하지만 후보자는 일반적으로 다음과 같은 유형으로 나뉜다.

• 리스크관리자
• IT전문가
• 화이트햇 해커
• 경찰

리스크관리자
리스크관리자는 전통적으로 감사 출신이다. 이들은 대인 관계 기술이 훌륭하며 2차 방어선으로 운영해본 적이 있다. 또한 위험 평가 및 관리를 위한 프레임워크를 통해 견고한 기술을 습득했다.

리스크관리자 프로파일은 4대 회계감사 또는 컨설팅회사에서 쉽게 찾을 수 있다. 기술적인 면에서 부족한 경향이 있지만, 대신 프리젠테이션 역량과 전문가 인맥이 뛰어나다.

일부 IT위험 및 보증 전문가는 IT전문성을 보유하고 있으며 침투 테스터인 경우가 몇 가지 있다. 그러나 리스크전문가는 전통적으로 문제를 확인하고 충분한 통제가 이뤄지도록 해야 한다.

이는 유용하긴 하지만 충분하지는 않을 것이다. 책임감이 있고 기꺼이 배우고 있음을 보여주는 이력서가 있는 사람을 찾아야 한다.

IT전문가
IT전문가는 일반적으로 네트워크와 인프라에 관해 지식과 경험이 많다. IT전문가는 과거에 CTO일 수도 있고, 보안팀을 관리했을 수도 있다. 운영과 프로젝트에 중점을 둘 확률이 높으며 패치 적용과 같은 작업을 완료하는 데 필요한 노력을 인식하게 된다.

CISO는 기술적으로 기이 알아야 하며, 기술 아키텍처 기본 사항에 관한 이해가 중요하다. 이 후보자는 변화 관리와 인프라 운영 및 유지관리 사이의 균형을 맞추는 문제를 다룰 때 정말 유용한 '반흔 조직(scar tissue)'을 가지고 있다.

IT전문가를 고려할 때 다른 직원과 함께 일하는 방법과 같은 소프트스킬에 주의하라. CISO의 핵심 역할은 조직 전체에 사이버보안 문화를 구축하는 것이며, IT전문가는 이러한 의도의 중요성을 이해할 수 있지만, 이 의제를 어떻게 전달할 것인가에 대한 강력한 관심이 필요하다.

화이트햇 해커
이 잠재적인 후보자는 지원자가 아니라 추천받은 사람일 것이다.

화이트햇 해커의 자연스러운 본능과 '실습' 기술은 이들이 협상 테이블 앞에 앉게 하는 가장 큰 자산이다. 이 해커는 사이버위협을 예측하고 대응할 수 있는 매우 강력한 기술을 갖추고 있다.

이들이 계획력이 약하고 비즈니스 참여 기술이 부족할 수 있을지 모르지만, 시장에서 인지도 높은 인물을 고용하면 상징성도 있고 대변인 역할까지도 할 수 있다.

화이트햇 해커는 팀을 얼마나 잘 관리하고 커뮤니티에 긍정적인 영향을 주는지 명확하게 이해해야 한다. 여러 면에서 이는 해커에게 당연한 일이다.

마지막 주의할 점은 화이트햇 해커와 블랙햇 해커의 차이점을 파악할 방법을 이해하는 것이다. 필자는 쉬운 리트머스 검사가 있는지 잘 모르겠다.

경찰
이 후보자는 컴플라이언스 및 보안 경력이 있으며, '규제 준수'에 관한 한 장담할 수 있다. 후보자는 진행 상황을 측정하는 스코어 카드에 중점을 둔 관리와 징계에 강하다.

경찰관이나 경찰은 권위 있는 인물이거나 기준을 집행하며 다루기 힘든 사람으로 존경받는다. 이 경찰은 조직이 강력한 보안 상태를 유지하고 법 집행 기관 및 기타 외부 단체와 쉽게 연락할 수 있도록 한다.

경찰 출신 후보자는 주위에서 비교적 쉽게 찾을 수 있는 인물이다. 하지만 규제 준수 이외에 리더십도 있어야 한다. 법을 따르는 것만으로는 특정 상황에 대응하지 못할 수 있다.

현상을 유지하는 것뿐 아니라 변화를 관리하기 위해서도 CISO가 필요하다.
 
결단을 내릴 때
이제 후보자 물색이 끝났을 테니 이제 몇 가지 결정을 내릴 때다. CISO 후보자가 현재 몇 가지 다른 옵션을 쥐고 있을 수 있으니 시간을 너무 오래 끌어서는 안 된다.

이상인 CISO는 앞서 언급한 기술을 조합한 인물일 것이다. 하지만 궁극적으로는 실적이 우수한 팀을 구성하는 데 열정적인 리더가 필요하며 전사적으로 사이버보안을 '전파'할 수 있어야 한다.

찾기 어려운 조합이지만, 그래도 행운을 빈다.

*David Gee 일본 메트라이프생명 CIO며 그 전에는 CUA CIO를 지냈다. ciokr@idg.co.kr
X