2018.08.17

블로그 | 페이스북에게는 CSO 직책이 필요 없는 것일까?

Terena Bell | CSO
8월 1일, 페이스북의 CSO인 알렉스 스테이머스는 8월 17일 회사를 떠난다는 게시글을 올렸다. 그리고 페이스북의 대변인은 회사가 새로운 CSO를 임명하지 않을 것이라고 밝혔다. 앤드류 플릭 대변인은 “대신 제품 및 엔지니어링 팀들에 보안 엔지니어, 애널리스트, 인베스티게이터, 여타 전문가들이 배치돼 있다”라고 전했다.

다시 말해, 17일을 기해 회사의 전체 보안을 책임지는 구심점이 사라지는 것이다. 플릭은 “이들 팀의 상임 리더들이 페이스북과 사람들의 정보를 안전하게 유지하는 책임을 질 것이다”라고 밝혔다.

소셜 미디어 업종은 다른 분야와 달리 데이터 보호 모범 가이드라인이라고 할만한 게 없다. 우선 이 업종은 너무 협소하다. 퓨 리서치 센터에 따르면 미국의 경우 주로 사용되는 플랫폼은 8개에 불과하다. 그리고 이들이 서로 동일한 종류의 데이터를 취급하는 것도 아니다. 유튜브와 페이스북이 이 업계의 수위 기업들인데, 페이스북이 동영상 서비스를 제공하기는 하지만 두 회사는 근본적으로 다른 파일과 정보를 수집하고 저장한다.

4월 트위터를 그만두었던 트위터의 전임 CISO인 마이클 코어츠는 “소셜 미디어 업계에서는 기업마다의 위험과 우려, 범위가 크게 다르다. 트위터나 페이스북에 주어질 수 있는 요구사항이나 기대치는 핀터레스트나 스냅챗과는 크게 다르다는 이야기다”라고 말했다.

최고 보안 임원직을 없애기로 한 페이스북의 최근의 결정에 대해 코어츠에게 의견을 물었을 때 그가 답변을 망설였던 이유가 바로 이것이다. 그는 “페이스북에서 정확히 무슨 일이 일어나고 있는지 알 수 없다”라고 말했다. 그는 “그러나 중앙에 보안 리더가 있는 구조로부터 분산 모델로 이동하는 회사들을 보면 언제나 걱정스러운 것이 사실이다”라고 덧붙다.

페이스북 보안: 무엇이 위험한가
코어츠는 이어 “중앙에 보안 리더가 있는 구조로부터 분산 모델로 이동할 때 수많은 위험이 있다”라고 말했다. 우선, “보안이 시간 여유가 있을 때 행하는 무엇일 경우 아무도 이를 제대로 이행하지 않는 문제가 발생한다”라고 그는 지적했다.

그렇게 되면 보안 위험을 식별하는 것조차 어렵고, 또는 새로운 제품 기능에 대해 보안 위험을 우선시키는 방법을 놓고 지휘부가 합의를 도출하기가 어렵다.

코어츠는 또 ‘보안 극장(security theater)’, 즉 홍보 차원의 보안이라는 문제가 발생할 수 있다고 지적했다.

출처에 따라 다르지만, 페이스북은 2014년 및 2015년에 이용자 데이터를 침해했거나 영국 회사인 캠브리지 애널리티카에 판매했다. 이 때 러시아는 미국의 대통령 선거를 조작하기 위해 이 회사에 접근했다. 이는 마크 저커버그 CEO가 4월 11일 국회에서 사과하는 결과로 이어졌다.

6월 5일, 페이스북은 다시 데이터 악몽에 직면했다. 뉴욕 타임즈에 따르면 페이스북은 미국 정보기관이 주목하는 한 중국 회사에게 이용자 정보를 판매했다. 그 후 8월 6일, 월스트리트 저널은 페이스북이 이용자의 신용카드 거래 및 계정 잔고를 은행들에게 문의한 것으로 보도했다. 페이스북은 이를 완강히 부인하고 있다. 이런 상황에서 CSO 직위를 없애는 것이 적절할까?

보안 임원이라는 직책
CIO닷컴이 보도한 바와 같이, CSO가 모든 회사에게 필요한 것은 아니다. 심플 타이어의 CIO인 CJ 다스는 한 CSO 행사에서 “이사회의 한 자리를 필요로 하는 것은 사람이 아니다. 보안이라는 주제가 이사회의 한 자리를 필요로 할 뿐이다”라고 말했다.

실제로 핀터레스트와 텀블러에는 CSO가 없다. 이들 회사와 트위터는 모두 인터뷰 요청을 거절했다. 그러나 코어츠는 자신이 떠난 직후 임시 보안 리더가 그의 공백을 메웠고, 정규 임원 영입 계획이 발표됐다고 전했다.

코어츠는 “보안 리더 직무의 임명(신설)은 의도적이든 그렇지 않든 대중에게 전해지는 메시지가 으레 있다. 어떤 면에서, 최고 보안 임원은 보안 문제가 이사회에서 한 자리를 차지할 정도로 비중 있는 무엇이라는 확신을 심는데 핵심적이기도 하다”라고 언급했다.

그의 말에 따르면 여러 정부 및 자자체에서 금융기관에게 CSO를 의무화한 이유가 바로 이것이기도 하다. 코어츠는 “보안 업무가 중앙의 책임자 없이 팀들에 분산되어 있을 때 어려운 점이 있다. 보안 조직이 가져오는 일부 경험과 중앙적 시야를 상실할 수 있다. 보안을 고위직 개인에게 일임하는 일은 회사가 그러한 수준까지 성숙했음을, 그리고 회사가 보안을 그 정도로 생각하고 있음을 보여주는 것이다”라고 설명했다.

코어츠는 그러나 “페이스북이 성숙하지 않다는 것은 전혀 아니다”라고 경계하면서 “다만 최고 보안 임원의 존재와 관련해 사람들의 인식이 그렇다는 것이다”라고 말했다.

전통적인 CISO 직무가 소셜 미디어에 적합한가?
결국, CSO 직위를 없애는 결정은 페이스북이 알아서 할 일이다. 페이스북은 독립 회사이지, 공기업이나 연방 규제 하의 은행이 아니다. 또  페이스북이 가진 문제들 중 일부는 전통적 보안 직무에 적합하지 않을 수도 있다. 페이스북이 데이터를 고의로 팔았든, 그렇지 않든, 판매와 침해는 엄연히 다르다.

가령 비즈니스 거래를 감시하거나, 이용자가 실제 사람임을 확인하는 것이 보안 분야의 직무일까? 일반적으로, 그렇지 않다. 그러나 업종 특성상 소셜 미디어는 예외일 수 있다.

코어츠는 “표본 규모가 작아 말하기 힘들다. 업종에 속한 회사가 얼마 되지 않고, 업종 내 회사들 간에도 보안 조직 구조가 현저히 다르다”라고 말했다. 이어, 플랫폼의 비즈니스 구조에 따라, “엔지니어링 팀에서 가짜 뉴스나 봇 등을 다루는 것은 이례적이지 않다”라고 덧붙였다.

그는 “IT보안, 그리고 요즘 부각되는 애플리케이션 및 제품 보안 등은 이 직무와 연관된 전통적 요소들이다. 그러나 계정 탈취 보안, 안티-봇 고려사항들, 가짜 뉴스는 비교적 새로운 문제들이다”라고 설명했다.

따라서 “어떤 지침이라는 것이 있을 수 없고, 이러한 문제에 어떻게 대처할 것인가는 회사가 알아서 할 일”이라는 설명이다.

이어 그는 “일부 CSO는 심지어 물리적 보안 요소들, 예컨대 임원 보호, 건물 보안, 물리적 주변 통제까지 감독한다”라고 전했다.

코어츠는 “CISO와 CSO 사이에 엄밀한 구분이 없다. CSO 직무는 그야말로 회사가 무엇을 원하느냐에 달려 있다”라고 말했다. 

어찌됐건 페이스북은 CSO라는 직책에게 기대할 만한 책임이 존재하지 않는다는 결론을 내린 것으로 보인다. 일련의 보안 관련 사고를 감안할 때 의구심을 자아내는 행보인 것은 분명하다. 해당 결정이 어떤 결과로 이어질지 시간이 말해줄 것이다. ciokr@idg.co.kr 



2018.08.17

블로그 | 페이스북에게는 CSO 직책이 필요 없는 것일까?

Terena Bell | CSO
8월 1일, 페이스북의 CSO인 알렉스 스테이머스는 8월 17일 회사를 떠난다는 게시글을 올렸다. 그리고 페이스북의 대변인은 회사가 새로운 CSO를 임명하지 않을 것이라고 밝혔다. 앤드류 플릭 대변인은 “대신 제품 및 엔지니어링 팀들에 보안 엔지니어, 애널리스트, 인베스티게이터, 여타 전문가들이 배치돼 있다”라고 전했다.

다시 말해, 17일을 기해 회사의 전체 보안을 책임지는 구심점이 사라지는 것이다. 플릭은 “이들 팀의 상임 리더들이 페이스북과 사람들의 정보를 안전하게 유지하는 책임을 질 것이다”라고 밝혔다.

소셜 미디어 업종은 다른 분야와 달리 데이터 보호 모범 가이드라인이라고 할만한 게 없다. 우선 이 업종은 너무 협소하다. 퓨 리서치 센터에 따르면 미국의 경우 주로 사용되는 플랫폼은 8개에 불과하다. 그리고 이들이 서로 동일한 종류의 데이터를 취급하는 것도 아니다. 유튜브와 페이스북이 이 업계의 수위 기업들인데, 페이스북이 동영상 서비스를 제공하기는 하지만 두 회사는 근본적으로 다른 파일과 정보를 수집하고 저장한다.

4월 트위터를 그만두었던 트위터의 전임 CISO인 마이클 코어츠는 “소셜 미디어 업계에서는 기업마다의 위험과 우려, 범위가 크게 다르다. 트위터나 페이스북에 주어질 수 있는 요구사항이나 기대치는 핀터레스트나 스냅챗과는 크게 다르다는 이야기다”라고 말했다.

최고 보안 임원직을 없애기로 한 페이스북의 최근의 결정에 대해 코어츠에게 의견을 물었을 때 그가 답변을 망설였던 이유가 바로 이것이다. 그는 “페이스북에서 정확히 무슨 일이 일어나고 있는지 알 수 없다”라고 말했다. 그는 “그러나 중앙에 보안 리더가 있는 구조로부터 분산 모델로 이동하는 회사들을 보면 언제나 걱정스러운 것이 사실이다”라고 덧붙다.

페이스북 보안: 무엇이 위험한가
코어츠는 이어 “중앙에 보안 리더가 있는 구조로부터 분산 모델로 이동할 때 수많은 위험이 있다”라고 말했다. 우선, “보안이 시간 여유가 있을 때 행하는 무엇일 경우 아무도 이를 제대로 이행하지 않는 문제가 발생한다”라고 그는 지적했다.

그렇게 되면 보안 위험을 식별하는 것조차 어렵고, 또는 새로운 제품 기능에 대해 보안 위험을 우선시키는 방법을 놓고 지휘부가 합의를 도출하기가 어렵다.

코어츠는 또 ‘보안 극장(security theater)’, 즉 홍보 차원의 보안이라는 문제가 발생할 수 있다고 지적했다.

출처에 따라 다르지만, 페이스북은 2014년 및 2015년에 이용자 데이터를 침해했거나 영국 회사인 캠브리지 애널리티카에 판매했다. 이 때 러시아는 미국의 대통령 선거를 조작하기 위해 이 회사에 접근했다. 이는 마크 저커버그 CEO가 4월 11일 국회에서 사과하는 결과로 이어졌다.

6월 5일, 페이스북은 다시 데이터 악몽에 직면했다. 뉴욕 타임즈에 따르면 페이스북은 미국 정보기관이 주목하는 한 중국 회사에게 이용자 정보를 판매했다. 그 후 8월 6일, 월스트리트 저널은 페이스북이 이용자의 신용카드 거래 및 계정 잔고를 은행들에게 문의한 것으로 보도했다. 페이스북은 이를 완강히 부인하고 있다. 이런 상황에서 CSO 직위를 없애는 것이 적절할까?

보안 임원이라는 직책
CIO닷컴이 보도한 바와 같이, CSO가 모든 회사에게 필요한 것은 아니다. 심플 타이어의 CIO인 CJ 다스는 한 CSO 행사에서 “이사회의 한 자리를 필요로 하는 것은 사람이 아니다. 보안이라는 주제가 이사회의 한 자리를 필요로 할 뿐이다”라고 말했다.

실제로 핀터레스트와 텀블러에는 CSO가 없다. 이들 회사와 트위터는 모두 인터뷰 요청을 거절했다. 그러나 코어츠는 자신이 떠난 직후 임시 보안 리더가 그의 공백을 메웠고, 정규 임원 영입 계획이 발표됐다고 전했다.

코어츠는 “보안 리더 직무의 임명(신설)은 의도적이든 그렇지 않든 대중에게 전해지는 메시지가 으레 있다. 어떤 면에서, 최고 보안 임원은 보안 문제가 이사회에서 한 자리를 차지할 정도로 비중 있는 무엇이라는 확신을 심는데 핵심적이기도 하다”라고 언급했다.

그의 말에 따르면 여러 정부 및 자자체에서 금융기관에게 CSO를 의무화한 이유가 바로 이것이기도 하다. 코어츠는 “보안 업무가 중앙의 책임자 없이 팀들에 분산되어 있을 때 어려운 점이 있다. 보안 조직이 가져오는 일부 경험과 중앙적 시야를 상실할 수 있다. 보안을 고위직 개인에게 일임하는 일은 회사가 그러한 수준까지 성숙했음을, 그리고 회사가 보안을 그 정도로 생각하고 있음을 보여주는 것이다”라고 설명했다.

코어츠는 그러나 “페이스북이 성숙하지 않다는 것은 전혀 아니다”라고 경계하면서 “다만 최고 보안 임원의 존재와 관련해 사람들의 인식이 그렇다는 것이다”라고 말했다.

전통적인 CISO 직무가 소셜 미디어에 적합한가?
결국, CSO 직위를 없애는 결정은 페이스북이 알아서 할 일이다. 페이스북은 독립 회사이지, 공기업이나 연방 규제 하의 은행이 아니다. 또  페이스북이 가진 문제들 중 일부는 전통적 보안 직무에 적합하지 않을 수도 있다. 페이스북이 데이터를 고의로 팔았든, 그렇지 않든, 판매와 침해는 엄연히 다르다.

가령 비즈니스 거래를 감시하거나, 이용자가 실제 사람임을 확인하는 것이 보안 분야의 직무일까? 일반적으로, 그렇지 않다. 그러나 업종 특성상 소셜 미디어는 예외일 수 있다.

코어츠는 “표본 규모가 작아 말하기 힘들다. 업종에 속한 회사가 얼마 되지 않고, 업종 내 회사들 간에도 보안 조직 구조가 현저히 다르다”라고 말했다. 이어, 플랫폼의 비즈니스 구조에 따라, “엔지니어링 팀에서 가짜 뉴스나 봇 등을 다루는 것은 이례적이지 않다”라고 덧붙였다.

그는 “IT보안, 그리고 요즘 부각되는 애플리케이션 및 제품 보안 등은 이 직무와 연관된 전통적 요소들이다. 그러나 계정 탈취 보안, 안티-봇 고려사항들, 가짜 뉴스는 비교적 새로운 문제들이다”라고 설명했다.

따라서 “어떤 지침이라는 것이 있을 수 없고, 이러한 문제에 어떻게 대처할 것인가는 회사가 알아서 할 일”이라는 설명이다.

이어 그는 “일부 CSO는 심지어 물리적 보안 요소들, 예컨대 임원 보호, 건물 보안, 물리적 주변 통제까지 감독한다”라고 전했다.

코어츠는 “CISO와 CSO 사이에 엄밀한 구분이 없다. CSO 직무는 그야말로 회사가 무엇을 원하느냐에 달려 있다”라고 말했다. 

어찌됐건 페이스북은 CSO라는 직책에게 기대할 만한 책임이 존재하지 않는다는 결론을 내린 것으로 보인다. 일련의 보안 관련 사고를 감안할 때 의구심을 자아내는 행보인 것은 분명하다. 해당 결정이 어떤 결과로 이어질지 시간이 말해줄 것이다. ciokr@idg.co.kr 

X