2018.07.04

CIO에게 듣는 'CISO가 필요한 이유'

Thomas Macaulay, Laurie Clarke | CIO UK
사이버 위협의 본질이 진화하고 양이 급증함에 따라 최고 정보보안 책임자(CISO)가 기업에서 보편화되고 있다. 기밀 데이터를 취급하는 회사들은 당혹스러운 데이터 유출 위험이 있고, 이로 인해 클라이언트의 보안과 비밀을 훼손해 경제적으로나 평판 측면에서 대가를 치를 수 있다.

회사의 사이버 보안에 특화된 노련한 보안 전문가는 이런 종류의 공격을 좀더 완화할 수 있을 것이고, 그래서인지 CISO를 영입하려는 기업이 늘고 있다.

2017년 출범한 리프트(Lyft), 포춘500 소매업체 스테이플스(Staples), 델타항공, 그리고 영국, 호주 뉴사우스웨일즈 등의 정부기관들은 쓰라린 데이터 침해 사건을 경험한 직후 CISO 직을 처음으로 신설했다. 2017년에는 CIO 100대 기업 가운데 70%가 CIO 직책에 보고하는 보안 리더를 둔 것으로 나타났다.

보안 전문성이라는 강력한 기반 위에 사업 감각과 전문 기술이 가미되는 쪽으로 이 직무가 진화하면서 이들의 수도 늘어났다. 오늘날 CISO는 조직의 보안 위험 및 요건에 대해 임원에게 자문을 제공하고, 이를 최소화하는 전략을 수립한다.

트레인라인 보안 디렉터인 미에크 쿠이지는 <CIO UK>에 “보안은 기술에만 편중된 것이 아니며, 마찬가지로 CISO 직무도 기술적인 것만 있는 게 아니다. 보안은 사람들이 상호작용하는 방법을 바꿈으로써 정보와 시스템을 보호하는 문화를 조성하는 개념이다. 가능한 경우 우리는 이를 위해 기술과 자동화를 이용하지만, 궁극적으로 이는 소비자 신뢰를 얻고, 전폭적 지지를 받고, 행동을 변화시키는 것이다”고 말했다.

포네몬 인스티튜트가 이행한 연구에서는 CISO를 임명함으로써 침해 비용이 레코드당 미화 7달러 줄어든 것으로 나타났다. 그리고 하비 내시의 디렉터인 로버트 그림시에 따르면 이러한 부가 가치를 반영하여 CISO의 급여는 하늘 높이 치솟고 있다.

일부 조직은 CISO가 굳이 필요하지 않다고 여전히 믿고 있지만 그 수는 급격히 줄고 있다.

2018년 CISO가 어느 때보다 필요한 이유
가트너는 2018년 세계 보안 지출이 2017년 대비 8% 증가한 960억 달러로 최고점에 이를 것으로 전망한다. 그리고 지출로부터 최대의 가치를 뽑아내는 조직은 데이터 보호 및 위험 관리에 대해 강력한 인식을 가지고 있을 것이다. CISO는 회사의 보안 예산이 효과적으로 쓰이도록 보장하는데 기여할 수 있다.

GCHQ의 전직 정보 및 사이버 업무 부책임자인 브라이언 로드는 “최근의 유명한 사이버 공격 사건은 모두 비교적 적은 비용의 솔루션으로 해결될 수 있고, 그랬어야 했다”라고 말했다.

이어 “침해 사건이 증가하는 이유는 회사가 자신을 제대로 보호하지 못하기 때문이다. 이들은 사이버 보안 업체들 때문에 혼란을 겪는다”고 덧붙였다.

프라이버시에 대해 커지는 대중의 우려, 그리고 GDPR 등 엄격해진 데이터 보호 규정의 도입 역시 사이버 보안 예산의 증가와 무관하지 않다. 참고로, GDPR 규정에 따르면 침해 발생 시 최대 1,700만 파운드의 벌금이 부과될 수 있다.

트렌드마이크로의 보안 전략가인 배럿 미스트리는 CIO UK에게 “날이 갈수록, 데이터 침해를 당한 회사는 엄청난 벌금과 명예 손상 그리고 심지어 소송까지 걸릴 수 있기 때문에 경영진의 고통이 심각하다”라고 말했다.

그는 “이런 변화에 임원들은 초조할 수밖에 없다. 이들은 시스템이 전적으로 안전하다는, 그리고 규정을 전적으로 준수하고 있다는 보장을 원한다. 따라서 위 연구에서 지적한 대로 CISO를 채용하는 조직이 늘고 있음을 목격할 수 있다”라고 말했다.

CISO가 절대적으로 필요할 때
CISO는 보안을 보장할 수 없지만, 이를 개선할 수는 있다. 보안 침해의 영향을 완화하는 방법에는 CISO의 보안 시스템에 대한 전문적 이해를 바탕으로 한 대응 계획 개발이 포함된다.

CISO가 필요한 확실한 징후라면 IT기술 쪽의 책임자급 부족, 보안 침해 사건, 보안 및 비즈니스 요건 사이의 부실한 공조 등이 있다.

CISO의 임명은 시스템이 안전한 것처럼 보이는 동안은 불필요하게 보일 것이다. 그러나 침해가 발생할 때까지 기다리는 것은 재앙적이다. 보안 문제에서는 대응적이 아닌 선제 접근이 훨씬 더 합리적이다. 이 직무는 보안 전략을 수립하도록 구조화되어 있다. 그러나 채용된 순간부터 침해와 싸워야 한다면 이 목표는 지장을 받을 것이다.

모든 회사가 CISO를 채용할 의지가 있는 것은 아니다. 예컨대 업무 보안에 대한 요건이 좀더 느슨한 중소기업(SME)이라면 보안 표준을 수립하고 조직을 대대적으로 변화시킬 보안 전문 임원이 아직은 필요하지 않을 수 있다.

CISO는 자신의 역량에 대한 전적인 신뢰, 그리고 독자적으로 계획을 수립하고 어떤 사건에든 즉시 대응할 수 있는 자유가 필요하다. 아울러 경영진과 직접 접촉할 수 있어야 하고, 나아가 다른 최고 임원들과 동등한 대우를 받아야 한다.

이들은 임원과 엔지니어 간 가교 역할을 해야 하고, 비즈니스 전략과 IT목표가 어떻게 상호작용하는지 이해해야 한다. 이들은 CIO와 부하직원이 아닌 동반자로서 함께 일해야 하고, 어느 한쪽의 우선순위가 다른 한쪽의 차선순위가 되는 일이 없어야 한다.

ESG와 정보시스템보안협회(the Information Systems Security Association, ISSA)가 최근 사이버보안 전문가를 대상으로 한 설문조사에 따르면 응답자의 36%가 CISO가 직업을 바꾸려는 가장 흔한 이유는 기업 문화가 사이버보안을 강조하지 않기 때문이라고 말했다. 또 다른 34%의 응답자는 임원급으로 활발히 참여할 수 없다면 떠날 가망이 극히 높다고 말했다.

바클레이 그룹 보안 기능 CIO인 엘레나 크보츠코(사진)는 <CIO UK>에 “오늘날, 대다수 대기업 집단은 조직적, 업무적, 기술적 수준에서 고립된 채 운영된다”라고 말했다.

그러면서 “보안 취약성을 완화하고 치유하려면, 그리고 패턴을 인식하고, 업무 공백을 줄이며, 협업 효율을 개선하고, 실시간으로 대응하려면, CISO는 총체적 엔드투엔드 대응할 수 있어야 한다“라고 지적했다.

사이버보안에 대한 여러 접근법
대다수 회사는 전반적 보안 책임을 하나의 정식 직책에 맡기는 것을 선호할 것이다. 그러나 위험과 예산이 상대적으로 소규모인 일부 회사는 기존 직원에 의존하여 이러한 요건을 충족하도록 선택할 수 있다.

CISO를 채용하는 일은 시간과 돈의 투자를 요하고, 아울러 이 직무를 성공시키려면 전사적 의지를 요한다. 일부 사례에서 CISO는 사이버보안을 둘러싼 기업 문화의 변혁을 주도한다. 포토박스 그룹의 CTO인 리처드 옴은 CIO UK에게 자신의 회사가 CISO를 채용했을 때 보안은 흔히 신규 제품 또는 서비스 개발에 이어지는 부수적 행위였다고 말했다.

옴은 “그래서 외부에서 디니즈 크루즈라는 사람을 영입했다. 현재 우리 CISO이고 보안 공동체에서 활발히 활동 중이다. 그는 수많은 회의를 소집했고, 이 방면의 생각 리더로 인정받는다. 우리는 그에게 일종의 전권을 주고, 그에게 이렇게 물었다. “좋습니다. 우리가 하는 모든 일을 보여줄 테니 현재 우리가 보안 측면에서 다시 생각해야 할 게 무엇인지 말해보세요?”라고 말했다.

이어 “어떤 툴을 사면 좋은가라는 그런 종류의 질문이 아니다. 우리가 조직으로서 어떻게 변할 수 있는가? 기업 문화를 어떻게 바꿀 수 있는가? 이런 종류의 질문이다. 이는 우리 CISO가 최고의 위력을 발휘할 수 있는 분야이다. 그는 엔지니어링 팀들을 아직도 교육하고 있다. 그리고 그는 이들을 위한 숙제를 만들 것이다. 그들에게 코드를 맡길 것이다. 그래서 그는 진정으로 그들의 언어로 이야기하고, 이는 엄청난 반향을 불러온다. 보안은 지겹지만 해야 할 무엇이 아니고, 이제 재미난 문제로 다가온 것이다”라고 말했다.

이렇게 노련한 보안 전문가에 걸맞은 구조, 예산, 또는 성숙함을 갖추지 못한 조직들도 있을 것이다. 비용은 적정하지만 결함이 없지 않은 대안은 이를 CIO의 직무에 흡수시키는 것이다.

이보다 나은 선택지라면 가상 CISO가 있다. 때에 따라 현장에서 파트-타임으로 또는 원격으로 일하고, 임시로 책임을 떠맡는다거나 경험이 부족한 보안 책임자를 감독하는 식이다.

CISO를 영입하려는 기업의 안전한 첫 행보는 보안 책임자를 먼저 고용하고 CISO로 승진시키기 전에 그의 보안 리더십 역량을 시험해보는 것이다.

일부 회사의 경우 고비용 및 인력난, 직무에 대한 이해 부족, 회사 계층 구조에 이를 끼워 넣는 방법에 대한 고민으로 시간이 지연될 수 있다. 그러나 대기업의 경우 그 혜택은 거의 언제나 위험보다 크다.

보안은 적합한 전문가를 고용하지 않을 수 없을 정도로 중대하다. 그리고 출현 중인 위협들은 역량이 부족한 임시직의 손에 맡기기에는 너무 복잡하다. ciokr@idg.co.kr 

2018.07.04

CIO에게 듣는 'CISO가 필요한 이유'

Thomas Macaulay, Laurie Clarke | CIO UK
사이버 위협의 본질이 진화하고 양이 급증함에 따라 최고 정보보안 책임자(CISO)가 기업에서 보편화되고 있다. 기밀 데이터를 취급하는 회사들은 당혹스러운 데이터 유출 위험이 있고, 이로 인해 클라이언트의 보안과 비밀을 훼손해 경제적으로나 평판 측면에서 대가를 치를 수 있다.

회사의 사이버 보안에 특화된 노련한 보안 전문가는 이런 종류의 공격을 좀더 완화할 수 있을 것이고, 그래서인지 CISO를 영입하려는 기업이 늘고 있다.

2017년 출범한 리프트(Lyft), 포춘500 소매업체 스테이플스(Staples), 델타항공, 그리고 영국, 호주 뉴사우스웨일즈 등의 정부기관들은 쓰라린 데이터 침해 사건을 경험한 직후 CISO 직을 처음으로 신설했다. 2017년에는 CIO 100대 기업 가운데 70%가 CIO 직책에 보고하는 보안 리더를 둔 것으로 나타났다.

보안 전문성이라는 강력한 기반 위에 사업 감각과 전문 기술이 가미되는 쪽으로 이 직무가 진화하면서 이들의 수도 늘어났다. 오늘날 CISO는 조직의 보안 위험 및 요건에 대해 임원에게 자문을 제공하고, 이를 최소화하는 전략을 수립한다.

트레인라인 보안 디렉터인 미에크 쿠이지는 <CIO UK>에 “보안은 기술에만 편중된 것이 아니며, 마찬가지로 CISO 직무도 기술적인 것만 있는 게 아니다. 보안은 사람들이 상호작용하는 방법을 바꿈으로써 정보와 시스템을 보호하는 문화를 조성하는 개념이다. 가능한 경우 우리는 이를 위해 기술과 자동화를 이용하지만, 궁극적으로 이는 소비자 신뢰를 얻고, 전폭적 지지를 받고, 행동을 변화시키는 것이다”고 말했다.

포네몬 인스티튜트가 이행한 연구에서는 CISO를 임명함으로써 침해 비용이 레코드당 미화 7달러 줄어든 것으로 나타났다. 그리고 하비 내시의 디렉터인 로버트 그림시에 따르면 이러한 부가 가치를 반영하여 CISO의 급여는 하늘 높이 치솟고 있다.

일부 조직은 CISO가 굳이 필요하지 않다고 여전히 믿고 있지만 그 수는 급격히 줄고 있다.

2018년 CISO가 어느 때보다 필요한 이유
가트너는 2018년 세계 보안 지출이 2017년 대비 8% 증가한 960억 달러로 최고점에 이를 것으로 전망한다. 그리고 지출로부터 최대의 가치를 뽑아내는 조직은 데이터 보호 및 위험 관리에 대해 강력한 인식을 가지고 있을 것이다. CISO는 회사의 보안 예산이 효과적으로 쓰이도록 보장하는데 기여할 수 있다.

GCHQ의 전직 정보 및 사이버 업무 부책임자인 브라이언 로드는 “최근의 유명한 사이버 공격 사건은 모두 비교적 적은 비용의 솔루션으로 해결될 수 있고, 그랬어야 했다”라고 말했다.

이어 “침해 사건이 증가하는 이유는 회사가 자신을 제대로 보호하지 못하기 때문이다. 이들은 사이버 보안 업체들 때문에 혼란을 겪는다”고 덧붙였다.

프라이버시에 대해 커지는 대중의 우려, 그리고 GDPR 등 엄격해진 데이터 보호 규정의 도입 역시 사이버 보안 예산의 증가와 무관하지 않다. 참고로, GDPR 규정에 따르면 침해 발생 시 최대 1,700만 파운드의 벌금이 부과될 수 있다.

트렌드마이크로의 보안 전략가인 배럿 미스트리는 CIO UK에게 “날이 갈수록, 데이터 침해를 당한 회사는 엄청난 벌금과 명예 손상 그리고 심지어 소송까지 걸릴 수 있기 때문에 경영진의 고통이 심각하다”라고 말했다.

그는 “이런 변화에 임원들은 초조할 수밖에 없다. 이들은 시스템이 전적으로 안전하다는, 그리고 규정을 전적으로 준수하고 있다는 보장을 원한다. 따라서 위 연구에서 지적한 대로 CISO를 채용하는 조직이 늘고 있음을 목격할 수 있다”라고 말했다.

CISO가 절대적으로 필요할 때
CISO는 보안을 보장할 수 없지만, 이를 개선할 수는 있다. 보안 침해의 영향을 완화하는 방법에는 CISO의 보안 시스템에 대한 전문적 이해를 바탕으로 한 대응 계획 개발이 포함된다.

CISO가 필요한 확실한 징후라면 IT기술 쪽의 책임자급 부족, 보안 침해 사건, 보안 및 비즈니스 요건 사이의 부실한 공조 등이 있다.

CISO의 임명은 시스템이 안전한 것처럼 보이는 동안은 불필요하게 보일 것이다. 그러나 침해가 발생할 때까지 기다리는 것은 재앙적이다. 보안 문제에서는 대응적이 아닌 선제 접근이 훨씬 더 합리적이다. 이 직무는 보안 전략을 수립하도록 구조화되어 있다. 그러나 채용된 순간부터 침해와 싸워야 한다면 이 목표는 지장을 받을 것이다.

모든 회사가 CISO를 채용할 의지가 있는 것은 아니다. 예컨대 업무 보안에 대한 요건이 좀더 느슨한 중소기업(SME)이라면 보안 표준을 수립하고 조직을 대대적으로 변화시킬 보안 전문 임원이 아직은 필요하지 않을 수 있다.

CISO는 자신의 역량에 대한 전적인 신뢰, 그리고 독자적으로 계획을 수립하고 어떤 사건에든 즉시 대응할 수 있는 자유가 필요하다. 아울러 경영진과 직접 접촉할 수 있어야 하고, 나아가 다른 최고 임원들과 동등한 대우를 받아야 한다.

이들은 임원과 엔지니어 간 가교 역할을 해야 하고, 비즈니스 전략과 IT목표가 어떻게 상호작용하는지 이해해야 한다. 이들은 CIO와 부하직원이 아닌 동반자로서 함께 일해야 하고, 어느 한쪽의 우선순위가 다른 한쪽의 차선순위가 되는 일이 없어야 한다.

ESG와 정보시스템보안협회(the Information Systems Security Association, ISSA)가 최근 사이버보안 전문가를 대상으로 한 설문조사에 따르면 응답자의 36%가 CISO가 직업을 바꾸려는 가장 흔한 이유는 기업 문화가 사이버보안을 강조하지 않기 때문이라고 말했다. 또 다른 34%의 응답자는 임원급으로 활발히 참여할 수 없다면 떠날 가망이 극히 높다고 말했다.

바클레이 그룹 보안 기능 CIO인 엘레나 크보츠코(사진)는 <CIO UK>에 “오늘날, 대다수 대기업 집단은 조직적, 업무적, 기술적 수준에서 고립된 채 운영된다”라고 말했다.

그러면서 “보안 취약성을 완화하고 치유하려면, 그리고 패턴을 인식하고, 업무 공백을 줄이며, 협업 효율을 개선하고, 실시간으로 대응하려면, CISO는 총체적 엔드투엔드 대응할 수 있어야 한다“라고 지적했다.

사이버보안에 대한 여러 접근법
대다수 회사는 전반적 보안 책임을 하나의 정식 직책에 맡기는 것을 선호할 것이다. 그러나 위험과 예산이 상대적으로 소규모인 일부 회사는 기존 직원에 의존하여 이러한 요건을 충족하도록 선택할 수 있다.

CISO를 채용하는 일은 시간과 돈의 투자를 요하고, 아울러 이 직무를 성공시키려면 전사적 의지를 요한다. 일부 사례에서 CISO는 사이버보안을 둘러싼 기업 문화의 변혁을 주도한다. 포토박스 그룹의 CTO인 리처드 옴은 CIO UK에게 자신의 회사가 CISO를 채용했을 때 보안은 흔히 신규 제품 또는 서비스 개발에 이어지는 부수적 행위였다고 말했다.

옴은 “그래서 외부에서 디니즈 크루즈라는 사람을 영입했다. 현재 우리 CISO이고 보안 공동체에서 활발히 활동 중이다. 그는 수많은 회의를 소집했고, 이 방면의 생각 리더로 인정받는다. 우리는 그에게 일종의 전권을 주고, 그에게 이렇게 물었다. “좋습니다. 우리가 하는 모든 일을 보여줄 테니 현재 우리가 보안 측면에서 다시 생각해야 할 게 무엇인지 말해보세요?”라고 말했다.

이어 “어떤 툴을 사면 좋은가라는 그런 종류의 질문이 아니다. 우리가 조직으로서 어떻게 변할 수 있는가? 기업 문화를 어떻게 바꿀 수 있는가? 이런 종류의 질문이다. 이는 우리 CISO가 최고의 위력을 발휘할 수 있는 분야이다. 그는 엔지니어링 팀들을 아직도 교육하고 있다. 그리고 그는 이들을 위한 숙제를 만들 것이다. 그들에게 코드를 맡길 것이다. 그래서 그는 진정으로 그들의 언어로 이야기하고, 이는 엄청난 반향을 불러온다. 보안은 지겹지만 해야 할 무엇이 아니고, 이제 재미난 문제로 다가온 것이다”라고 말했다.

이렇게 노련한 보안 전문가에 걸맞은 구조, 예산, 또는 성숙함을 갖추지 못한 조직들도 있을 것이다. 비용은 적정하지만 결함이 없지 않은 대안은 이를 CIO의 직무에 흡수시키는 것이다.

이보다 나은 선택지라면 가상 CISO가 있다. 때에 따라 현장에서 파트-타임으로 또는 원격으로 일하고, 임시로 책임을 떠맡는다거나 경험이 부족한 보안 책임자를 감독하는 식이다.

CISO를 영입하려는 기업의 안전한 첫 행보는 보안 책임자를 먼저 고용하고 CISO로 승진시키기 전에 그의 보안 리더십 역량을 시험해보는 것이다.

일부 회사의 경우 고비용 및 인력난, 직무에 대한 이해 부족, 회사 계층 구조에 이를 끼워 넣는 방법에 대한 고민으로 시간이 지연될 수 있다. 그러나 대기업의 경우 그 혜택은 거의 언제나 위험보다 크다.

보안은 적합한 전문가를 고용하지 않을 수 없을 정도로 중대하다. 그리고 출현 중인 위협들은 역량이 부족한 임시직의 손에 맡기기에는 너무 복잡하다. ciokr@idg.co.kr 

X