성공하는 CISO의 3가지 공통점

CIO

최근 연구에서 IBM은 성공적인 보안 조직에는 CSO가 전략적인 비전을 가지고 현업 임원들에 귀 기울인다는 공통점이 있다고 결론 내렸다.

보안 위협에 대처할 수 있도록 준비한 기업들에는, 그렇지 않은 기업들과 차별되는 몇 가지 공통점이 있다. IBM 센터 포 어플라이드 인사이츠(IBM Center for Applied Insights)는 보안 책임자들의 전략과 접근방식을 더욱 심도 있게 파악하기 위해 최근 CISO(Chief Information Security Officer)와 기업에서 정보 보안을 책임지는 IT 및 영업부문 경영진 등 138명을 대상으로 인터뷰를 실시한 결과 이런 사실을 발견했다.

IBM 시큐리티 시스템즈(IBM Security Systems)의 전략 부사장 마크 반 자델로프는 이 연구 덕분에 IBM이 보안 책임자들을 조직의 성숙도와 침입 대비도에 기반해 3가지 범주로 분류할 수 있게 됐다고 말한다.

가장 낮은 단계의 분류는 ‘대응자(Responders)’로 응답자의 28%가 여기에 속했다. 대응자들의 특징은 대응 모드에서 빠져 나오지 못한다는 점이다. 반 자델로프에 따르면, 이들은 기업을 보호하고 규정과 표준을 준수하기 위해서 노력하지만, 이들이 전략적 진행속도를 설정하기 위해서 고군분투하고 있으며 상당한 수준의 변화를 이끌어낼 수 있는 자원이나 비즈니스적 영향력을 가지고 있지 못할 수도 있다.

중간 단계의 분류는 ‘보호자(Protectors)’로 응답자의 47%가 속해 있었다. 반 자델로프는 “보호자들은 보안이 전략적 우선순위라는 사실을 인지하고 있다. 하지만 기업의 보안 접근방식을 변화시키기 위한 메트릭스적(Metrics) 관점과 예산이 없는 상태다”라고 말했다.

가장 앞선 사고방식을 가진 보안 책임자들은 영향력을 행사하는 사람(Influencers)들로 응답자의 25%가 속해있었다. 영향력을 행사하는 사람들은 기업 내에서 비즈니스적 영향력과 통제권을 수반하는 전략적 목소리를 가지고 있다.

IBM은 보안 전담 조직과 관리, 전사적인 보안의 영향력, 정량적인 효과 측정 등 보안 프로파일을 구축하면서 이 3가지 범주를 탐구했다.

체계적인 보안 조직과 관리
영향력을 행사하는 CSIO와 보호자에 속하는 CISO가 대응자와 구분되는 가장 큰 특징은 전략적이며 기업 전반적인 시야를 가진 보안관 역할을 위한 보안전담 책임자가 존재한다는 점이다. 영향력을 행사하는 CSIO가 있는 기업은 이들을 공식적으로 임명할 가능성이 높다. 왜냐하면 고위 관리직들이 조직화된 접근방식의 필요성을 인식하기 때문이라고 반 자델로프는 설명했다.

"많은 기업들이 공식적으로 임명된 CISO를 두지 않는다"라고 반 자델로프는 말했다. "조사에 응한 기업들 중 절반 정도가 이런 역할을 담당하는 사람이 없는 것으로 나타났다. 이런 역할을 담당하는 영향력을 행사하는 사람을 확보한 기업은 단순히 대응자를 확보한 기업과는 달리 전담 CISO를 두는 경향이 있다."

또한 보안에 대해 선진적인 기업들일수록 고위 임원이 이끄는 보안 위원회를 보유하는 것으로 조사됐다. CISO가 전체적으로 보안 문제를 평가하고 통합된 기업 전략을 개발하는 역할을 담당하기도 한다. 보안/위험 위원회는 법무, 경영 활동, 재무, 인력 등의 기능을 포괄하는 체계적인 변화를 책임지고 있다. 특히 대응자적 기업들에는 CISO와 보안 위원회가 부재한 경우가 종종 있다.

IBM은 보안 전담 책임자와 보안 위원회가 없는 기업들이 보안에 대해 좀 더 전술적이고 분열된 접근방식을 갖는다고 말했다.

"여기서 우리는 성공하는 CISO와 실패하는 CISO 사이의 많은 차이점을 발견할 수 있다"라고 반 자델로프는 지적했다. "성공하는 CISO들은 보안과 관련 없는 경영진으로부터 지원을 받는다."

또한 영향력을 행사하는 기업들은 보안 예산 전담 항목을 가지고 있다. 기관의 범주에 따라 CIO들은 예산을 관리하지만 보호자와 영향력을 행사하는 사람들은 이런 권한을 현업 임원들에게 이양하기도 한다. 영향력을 행사하는 기업들 중에서 CEO들은 CIO들과 마찬가지로 정보 보안 예산을 조정한다. 반 자델로프는 예산 전담 항목이 없을 경우 보안 기관은 특정 기능이나 사일로에 대한 계획의 범위를 재정적으로 지원하거나 그 범위를 정하기 위해 끊임없이 협상할 수 밖에 없다고 말했다.

전사적인 보안의 영향력
IBM은 가장 발전적인 보안 체계를 갖춘 기업들은 단기적인 주제가 아니라 비즈니스적 논의의 규칙적인 부분으로서 현업 임원과 이사회의 관심을 받고 있다고 밝혔다. 이를 통해 CISO들은 기업 전반의 교육, 협업, 의사소통에 노력을 집중할 수 있게 된다.

사실 전략 지향적인 대응자들이 보안 격차를 줄이기 위해 새로운 보안 기술, 비즈니스 프로세스의 재설계, 새로운 인력 채용 등 기초적인 부분에 초점을 맞추는 반면에, 영향력을 행사하는 기업들은 직원들이 기업을 보호하는데 좀 더 선제적인 역할을 담당할 수 있는 ‘문화 형성’에 초점을 맞추는 것으로 조사됐다.

그리고 IBM은 현업과의 확대된 통합을 통해 새로운 제품과 서비스의 설계에 영향력을 행사할 수 있는 추가적인 능력을 확보할 수 있으며 그 결과 제품과 서비스의 개발 단계부터 보안을 고려하게 된다고 밝혔다.
 


정량적인 효과 측정
가장 성공적인 보안 조직들은 자체적으로 효과를 측정할 수 있다. 성공하는 보안 조직은 앞서 말한 이 3가지 범주 모두를 준수하며, 리스크, 미래의 위협, 취약성 대응력을 정량적으로 표기하는 데 중점을 둔다. 또한 영향력을 행사하는 조직은 사건과 일상적인 보안 활동으로부터 교육, 인식, 회복의 속도 등에 대한 정량 분석을 강조하는 것으로 조사됐다.

"영향력을 행사하는 보안 조직들은 일관성 있게 측정할 뿐 아니라 좀 더 광범위하게 측정한다"라고 반 자델로프는 말했다.

보안의 A부터 Z까지 확보
반 자델로프는 이런 범주들이 다양한 방식으로 보안 조직의 점진적인 범위에서의 연속체를 의미한다고 전했다. 그리고 이것은 대응자들이 적절한 계획을 통해 스스로를 보호자와 궁극적으로 영향력을 행사하는 조직으로 변화시킬 수 있다는 것을 뜻한다.

대응자들은 몇 가지 단계를 거쳐 인프라를 개선할 수 있다. 그는 우선 그들이 보안 책임 전담 역할을 설정하는데 초점을 맞춰야 하며 보안과 위험 위원회를 구성하고 진척 상황을 평가해야 한다고 말했다. 그리고 나서 그들은 보안 혁신에 더 많은 시간과 자원을 투입하기 위해서 일상적인 보안 프로세스를 자동화하는 것에 초점을 맞춰야 한다.

보호자들은 어떤 방향으로 가야 할 지를 계획할 수 있다. 반 자델로프는 그들이 미래의 위험을 감소시키는데 더 많은 예산을 투자하고 기업의 우선순위를 확대하기 위해서 정보 보안 계획을 수정하며 보안 전문가들로부터 배우고 그들과 협력함으로써 보안을 전략적 우선순위에 놓을 수 있다고 말했다.

마지막으로, 영향력을 행사하는 사람들은 의사소통, 교육, 비즈니스적 리더십 기술을 강화하고 고가치적 개선 영역을 찾아내기 위해 통계와 데이터 분석으로부터 얻은 통찰력을 활용함으로써 자신의 접근 방식을 지속적으로 수정할 수 있다.

*Thor Olavsrud는 CIO닷컴 기자다. ciokr@idg.co.kr