사이버보안 대응책 'CIO 목소리부터 키우기'

CIO
IT임원들이 사이버보안부터 예산과 CISO 역할 등 보안 이슈들에 대해 논의하고자 한자리에 모였다.


이미지 출처 : Thinkstock

사이버보안 같은 문제들 때문에 CIO들이 야근해야 하는 상황이 발생하지만 미국 뉴저지 북부에서는 최소한 이게 그들만의 문제가 아니라고 인식하는 것 같다.

뉴저지주 소사이어티 포 인포메이션 매니지먼트(Society for Information Management)의 후원 하에 있는 노스 저지 CIO 라운드테이블(North Jersey CIO Roundtable)의 공동 창립자인 마크 샌더는 보안부터 최고경영진과 CIO의 역할까지 다양한 주제로 기술업계 리더들을 계속해서 회의에 참석하게 할 목적을 가지고 있다.

“엄청난 정보 교환이 일어난다”고 샌더스는 그 회의들에 대해 이야기했다.

“CIO의 업무는 외롭다. 그래서 동료들과 대화를 나누고 그들에게 배우는 게 도움이 된다”고 그는 덧붙였다.

샌더는 뉴욕시 외곽에 있는 대기업의 CIO들이 함께하도록 라운드테이블 세션을 시작했고, 네트워킹 행사라고 너무 자주 날아오는 업체 행사들과 다른 자유로운 공간을 제공하고자 했다고 설명했다.

“이런 대형 CIO들이 일반적인 회의에 참석하지 않는 이유는 이직을 원하는 관리자나 디렉터들을 피하고 싶었기 때문이다”고 그는 말했다.

6월 초 샌더는 FBI와 뉴저지주 사이버범죄 특수부 검사 등을 강연자로 초대해 보안 이슈에 초점을 맞춰 라운드테이블을 개최했다.

여기 참석한 사람들은 점점 늘어가는 사이버 위협이 제시하는 과제들에 대한 솔직한 생각을 전했다. 샌더는 해킹 이유를 크게 정치적인 것과 금전적인 것 2가지로 나눴다.

물론 상당한 뉘앙스로 이야기가 채워졌지만, 크게 보면 회사들은 사이버 위협에 대항해 경계를 강화하는데 아주 어려움을 겪고 있다.

CIO·CISO, 사이버 위협을 격퇴하려면 조직 내에서 다양한 권한 필요
과제의 일부는 조직 자체에 존재한다고 샌더는 주장했다. 그는 회사의 최고 보안 책임자가 기술 부서 내에서 전통적으로 가졌던 것보다 좀더 다양한 권한을 가져야 한다고 생각했다. 그는 CISO가 CIO에게 직접 보고하는 것보다 내부 감사 부서나 감사 위원회 혹은 잠재적으로 CEO에게까지 책임을 다해야 한다고 이야기했다.

라운드테이블의 많은 CIO들은 CISO가 IT 내부에 머물러야 한다며 샌더의 주장에 동의하지 않았다는 점을 그도 인정했다. 하지만 샌더는 보안과 기술 사이의 결합을 무시하지는 않더라도 보안이 기업 전반적으로 우선순위가 돼야 한다고 주장했다.

“CISO가 오늘날 힘을 발휘하기 위해서는 IT 외부의 일에도 영향력을 가져야만 한다”고 그는 말했다. “보안은 단지 암호, 방화벽, 기타 등등의 기술적 업무를 넘어서는 영역이 될 것이다”고 그는 전했다.

어려운 암호는 아마 합리적인 출발점이 될 것이다. 다양한 회사에서 CIO와 고위급 기술 직위를 거쳐온 샌더는 직원들이 책상 밑 종이 쪽지나 모니터에 붙여놓은 포스트 잇에 암호를 적어 놓는 등 많은 회사들의 느슨한 사이버 의식에 대해서도 이야기했다.

“우리가 법 집행기관을 도울 수 있는 최선의 방법은 암호를 너무 쉽게 만들지 않는 것인데 암호가 너무 쉬운 것은 마치 현관문도 잠그지 않고 법 집행기관이 와서 도와달라고 기대하는 것과 같다. 대부분의 기업들은 그들의 현관문과 뒷문을 잠궈 두지 않는다”고 그는 말했다.

더 나은 교육, 훈련, 보안 예산 필요
지속적인 교육과 훈련은 이런 문제 해결로 가는데 도움이 될 수 있으며 이중 인증도 분명 의미 있는 조치라고 샌더는 이야기했다. 하지만 CIO와 CISO들은 예산 제약으로 항상 어려움을 겪는다. CIO 라운드테이블의 출구 조사에서 참석자들은 보안에 할당된 그들의 IT예산이 1%에서 10% 정도라고 답했다.

회의에 참석한 CIO와 CISO들 중 조사에 응한 19명은, 물론 작은 샘플이지만 빠듯한 예산에 대한 걱정은 업계 전반에 걸쳐 공통적인 일이라고 샌더는 이야기했다. 그는 CIO와 CISO들이 그들의 보안 사안을 조직 내 보안 강화에 더 많은 자원을 할당하도록 경영진에 의탁할 수 있는 이사회 안건으로 제안함으로써 비즈니스의 우선순위로 격상시키라고 제안했다.

하지만 CIO들은 써드파티 업체를 상대하는데 보안 전면에서 어느 정도 비난을 감수한다고 샌더는 주장했다. 만약 가장 취약한 부분을 그 전체 강도로 친다면 기업은 그들이 협력하는 회사들과 더 긴밀하게 관계를 가지고 그들의 시스템에 대한 접속을 제공할 필요가 있다. 지난해 물의를 빚었던 타깃 유출사고도 결국 타깃이 계약한 냉난방 장비업체에 침입한 해커들이 저지른 것이기 때문이다.

“경험상 사람들이 이런 부분은 제대로 다루지도 않고 관심조차 두지 않는다”고 샌더는 지적했다. “나는 IT 산업과 CIO들이 이러한 아웃소싱에 대해 자신의 임무를 충분히 수행하지 않는다고 생각한다”고 그는 덧붙였다.

*Kenneth Corbin은 위싱턴D.C에서 정부와 정책 관련 이슈를 CIO닷컴에 기고하고 있다. ciokr@idg.co.kr