2019.08.14

디지털 보안 리더십을 위한 현직 헤드헌터의 제언

Stephen A. Spagnuolo | CSO
미국에서 조직 내 CISO/CSO 의무화가 시행된 지 몇 년 만에 많은 진전이 있었다. 필자가 강조하고 수없이 언급한 것처럼, 보안 탄력성은 물론 운영 효과와 효율을 극대화하려면 CISO/CSO에게 CIO와 CRO와 동등한 지위를 부여해야 한다. 만일 이것이 여의치 않으면 CFO나 COO에 대한 간접 보고 체계라도 있어야 한다.

그 너머에는 극명한 보안 공백이 존재하여 필자가 우려하는 부분도 바로 여기에 있다. 이는 상위 보고 체계보다 더욱 중요할 뿐 아니라 보안 공백 문제를 해결하고 보안 인력을 활용하기가 더 수월하게 해준다.

필자는 견고함과 탄력성을 동시에 갖춘 디지털 보안 리더십이 있어야 한다고 강력히 주장하며 이중 효과를 거두려면 이러한 리더십을 각 조직 내에 구성해야 한다고 기업 경영진에게 절박하게 호소한다. 

인류의 전쟁과 장기전이 시작한 이래 작금의 사이버 전쟁은 가장 오랜 기간 지속되는 국가 보안급 분쟁으로 역사에 기록될 것이다. 사이버전 참전 병사와 그 지휘부는 휴식과 재정비를 반복하지 않을 수 없었다. 최전선 병력을 말하자면 ‘전선 밖’으로 후퇴시킨 것이다. 인간의 육체와 정신은 공격이든 방어든 전선에서 무기한으로 끝없이 벌어지는 전투를 견딜 수 없기 때문이다. 어느 시점에 가면 병사, 소대, 대대, 사단은 무너지고 전투 효율성은 급락하기 마련이다.
 
ⓒGetty Images Bank

선견지명을 갖춘 유능한 지휘관은 이러한 점을 오랫동안 알고 있었다. 따라서, 개인과 부대가 일선에서 물러나 휴식과 재정비를 할 수 있도록 조처를 했다. 고조된 감정과 장기간 고도로 집중된 정신에 긴장을 풀어주고 휴식을 취한 후 정신과 육체, 그리고 특히 마음을 새롭게 하는 것이다. 사이버 전쟁터라고 해서 달라야 할 이유는 없다. 물론 총탄이 날아다니는 것은 아니다. 치명상을 입은 부상자도 없다. 그러나 분명 CISO는 계속되는 살육전을 벌이고 있다. 그 대상은 눈에 보이지 않게 은밀하게 활동하는 디지털 적(들)이다. 이들의 목적은 자신의 전문 분야, 즉 회사의 조직과 자금, 운영 전략에 피해를 주는 것이기 때문이다.

그동안 나아지기는 했어도 기업은 여전히 안이한 태도를 보이고 있다. 우수한 직원 수는 부족하고 예산은 대부분 빠듯하다. 내부자 위협은 여전히 팽배하다. 설상가상으로, 사이버는 제로섬 게임이며 “‘훌륭한’ CISO를 영입하면 승리한 것이나 마찬가지”라는 어리석은 생각이 (전부는 아닐지라도) 많은 기업에 만연해 있다. 이러한 생각 때문에 침해가 일어나면 그 책임을 자동으로 CISO의 무능으로 돌리게 된다. 어리석고 터무니없지만, 상황이 이렇다 보니 CISO들은 혹시 미지의 악성 침입자가 자신의 디지털 기업과 가정에 아직 알려지지 않은 피해를 주려고 하는 것은 아닌지 불안한 생각에 시달리느라 매일 밤 한쪽 눈은 뜬 상태로 잠자리에 든다.

다시 한번 강조하지만, 사이버전은 그 속성상 지속적일 수밖에 없다. 개인의 휴식 없이 계속되는 운영 주기는 지속 가능하지 않고 해롭다. 큰 위험 속에 치열한 속도전이 전개된다. 따라서 심신이 피폐해질 가능성이 높다. 최대의 장기적 운영 효율과 강화된 보안 탄력성을 보장하기 위해서는 CISO/CSO들을 간헐적으로 ‘전선 밖’으로 빼 주어야 한다. 사무실에서 멀리 떨어진 곳에서 휴대폰은 서랍에 넣어둔 채 하루에 30분만 사용하는 식으로 제대로 된 휴식과 재정비가 필요하다는 말이다.

간단히 말해, (대부분의) 기성 중견기업 및 대기업에게 CISO를 달랑 1명 영입하는 것만으로는 부족하다. 디지털 보안 리더십 구성이 필수적이다. 구성원은 CISO 대행 직함을 주거나 따로 발표 없이 직무상 ‘2인자’ 역할을 맡길 수 있다. 가능하면 내부 ‘승진’, 예컨대, 긴급 사태 담당 업무가 추가된 SOC 책임자직으로의 승진이 바람직하다. 단, 현재 직원 중에 적임자가 없다면 외부에서 CISO를 영입해야 한다.

조직 규모를 막론하고 모든 중견 및 대기업의 디지털 보안 리더십에는 최소 2명을 지명해 대행을 둬야 한다. 단, 4명을 넘어서는 안 된다. ‘대행’이라 함은 침해가 발생하면 보안 운영 업무의 효과에 손실 없이 즉각 투입될 수 있음을 의미한다. 대행들은 대응직에 대한 교차 훈련도 철저하게 되어 있어야 한다. 그래야만 CISO가 회계연도 중에 필요한 여러 현장 가운데 한 곳을 돌보고 있다거나 해외 고객 또는 업체를 방문 중이거나 2~3주 동안 ‘의무적으로’ 가야 하는 휴가 때문에 ‘문을 닫은’ 경우에라도 그 어떤 공백이나 손실 없이 매끄럽게 진행된다.

분명히 말하지만 필자는 CISO/CSO계의 옹호자가 아니다. 사이버보안 헤드헌터다. 무엇보다 운영자다. 조직들이 내재된 능력과 효율성을 극대화하는 것을 볼 때 희열을 느낀다. 반대로, 잘하면 피할 수도 있는 잘못된 결정을 내리면서 제 발등을 스스로 찍는 조직들을 볼 때면 짜증이 난다.

CEO들이 CISO들에게 무조건적인 자유를 주어야 한다는 뜻은 아니다. 장비와 인력에 할당되는 예산이 사실상 무한하다는 말도 아니다. 사실, 최고의 CISO들은 신중함과 억제력을 발휘하며 비교적 적은 자원으로 더 많은 일을 해낼 때가 많다. 그렇지만. . . CISO 자산을 돌아보고 배치하면서 현명하고 포괄적이며 지적으로 솔직해질 것을 CEO들과 그 이사회 및 경영진에게 촉구하는 바다.

우수한 CISO 리더십을 구성하면서 긍정적인 전력 증강 효과도 있다. CEO/경영진이 CISO의 (“조용한” 의무 휴가를 포함해) 예정된 부재를 알리지 않고 보장해 주기 위한 긴급 사태 계획을 강화하여 실시함에 따라, CISO는 고위층의 전적인 지원을 받는다는 사실에 큰 안정감을 얻는다. 그 결과, CISO실은 지속해서 뛰어난 성과를 낼 수 있고, 이에 따라 경영진과 이사회 급에서 차분한 (현실적인) 자신감이 더욱 커진다. 그런데, 혹시 해당 CISO가 외부로 스카우트된다면(실제로 이런 일이 발생한다!) 다른 사람이 쉽게 대신하는 관행이 뿌리를 내린다.

이 사안에 관해 고객과의 상담이 점점 늘어나는 추세다. 미리 대처하는 고객이 있는가 하면 필자의 잔소리에 틈만 나면 “알았으니까 그만해!”라는 식으로 반응하는 경우도 있다. CISO 직무에 맞게 직원을 제대로 배치하지 못한다면 치명적인 문제가 발생할 수 있다는 것을 모두 인식하게 되었다. 이 기사를 읽는 독자 중에 경영진의 일원이 있다면 이 사안을 내부적으로 제기해 주실 것을 겸허하게 부탁드린다. 허심탄회한 논의를 전개해 주시고 정당한 사유가 있다면 단호한 조처를 해 주시기 바란다. 채용 담당자에게 공백 문제 해결을 촉구해야 할 수도 있다. 이미 직원은 충분히 있지만 조직 차원의 창의성과 계획성이 필요한 경우가 더 가능성이 크기는 하다. 어느 쪽이 되었든 추진해 보자.

*Stephen Spagnuolo는 버지니아주 알링턴에 있는 채용 회사인 퀀텀 서치 파트너(Quantum Search Partners)에서 디지털 보안과 위험, 채용 유지 프랙티스를 담당하고 있다. 그는 약 20년 동안 다양한 고객사에 중간 관리자급과 차세대 임원 채용을 도왔다. ciokr@idg.co.kr 
 



2019.08.14

디지털 보안 리더십을 위한 현직 헤드헌터의 제언

Stephen A. Spagnuolo | CSO
미국에서 조직 내 CISO/CSO 의무화가 시행된 지 몇 년 만에 많은 진전이 있었다. 필자가 강조하고 수없이 언급한 것처럼, 보안 탄력성은 물론 운영 효과와 효율을 극대화하려면 CISO/CSO에게 CIO와 CRO와 동등한 지위를 부여해야 한다. 만일 이것이 여의치 않으면 CFO나 COO에 대한 간접 보고 체계라도 있어야 한다.

그 너머에는 극명한 보안 공백이 존재하여 필자가 우려하는 부분도 바로 여기에 있다. 이는 상위 보고 체계보다 더욱 중요할 뿐 아니라 보안 공백 문제를 해결하고 보안 인력을 활용하기가 더 수월하게 해준다.

필자는 견고함과 탄력성을 동시에 갖춘 디지털 보안 리더십이 있어야 한다고 강력히 주장하며 이중 효과를 거두려면 이러한 리더십을 각 조직 내에 구성해야 한다고 기업 경영진에게 절박하게 호소한다. 

인류의 전쟁과 장기전이 시작한 이래 작금의 사이버 전쟁은 가장 오랜 기간 지속되는 국가 보안급 분쟁으로 역사에 기록될 것이다. 사이버전 참전 병사와 그 지휘부는 휴식과 재정비를 반복하지 않을 수 없었다. 최전선 병력을 말하자면 ‘전선 밖’으로 후퇴시킨 것이다. 인간의 육체와 정신은 공격이든 방어든 전선에서 무기한으로 끝없이 벌어지는 전투를 견딜 수 없기 때문이다. 어느 시점에 가면 병사, 소대, 대대, 사단은 무너지고 전투 효율성은 급락하기 마련이다.
 
ⓒGetty Images Bank

선견지명을 갖춘 유능한 지휘관은 이러한 점을 오랫동안 알고 있었다. 따라서, 개인과 부대가 일선에서 물러나 휴식과 재정비를 할 수 있도록 조처를 했다. 고조된 감정과 장기간 고도로 집중된 정신에 긴장을 풀어주고 휴식을 취한 후 정신과 육체, 그리고 특히 마음을 새롭게 하는 것이다. 사이버 전쟁터라고 해서 달라야 할 이유는 없다. 물론 총탄이 날아다니는 것은 아니다. 치명상을 입은 부상자도 없다. 그러나 분명 CISO는 계속되는 살육전을 벌이고 있다. 그 대상은 눈에 보이지 않게 은밀하게 활동하는 디지털 적(들)이다. 이들의 목적은 자신의 전문 분야, 즉 회사의 조직과 자금, 운영 전략에 피해를 주는 것이기 때문이다.

그동안 나아지기는 했어도 기업은 여전히 안이한 태도를 보이고 있다. 우수한 직원 수는 부족하고 예산은 대부분 빠듯하다. 내부자 위협은 여전히 팽배하다. 설상가상으로, 사이버는 제로섬 게임이며 “‘훌륭한’ CISO를 영입하면 승리한 것이나 마찬가지”라는 어리석은 생각이 (전부는 아닐지라도) 많은 기업에 만연해 있다. 이러한 생각 때문에 침해가 일어나면 그 책임을 자동으로 CISO의 무능으로 돌리게 된다. 어리석고 터무니없지만, 상황이 이렇다 보니 CISO들은 혹시 미지의 악성 침입자가 자신의 디지털 기업과 가정에 아직 알려지지 않은 피해를 주려고 하는 것은 아닌지 불안한 생각에 시달리느라 매일 밤 한쪽 눈은 뜬 상태로 잠자리에 든다.

다시 한번 강조하지만, 사이버전은 그 속성상 지속적일 수밖에 없다. 개인의 휴식 없이 계속되는 운영 주기는 지속 가능하지 않고 해롭다. 큰 위험 속에 치열한 속도전이 전개된다. 따라서 심신이 피폐해질 가능성이 높다. 최대의 장기적 운영 효율과 강화된 보안 탄력성을 보장하기 위해서는 CISO/CSO들을 간헐적으로 ‘전선 밖’으로 빼 주어야 한다. 사무실에서 멀리 떨어진 곳에서 휴대폰은 서랍에 넣어둔 채 하루에 30분만 사용하는 식으로 제대로 된 휴식과 재정비가 필요하다는 말이다.

간단히 말해, (대부분의) 기성 중견기업 및 대기업에게 CISO를 달랑 1명 영입하는 것만으로는 부족하다. 디지털 보안 리더십 구성이 필수적이다. 구성원은 CISO 대행 직함을 주거나 따로 발표 없이 직무상 ‘2인자’ 역할을 맡길 수 있다. 가능하면 내부 ‘승진’, 예컨대, 긴급 사태 담당 업무가 추가된 SOC 책임자직으로의 승진이 바람직하다. 단, 현재 직원 중에 적임자가 없다면 외부에서 CISO를 영입해야 한다.

조직 규모를 막론하고 모든 중견 및 대기업의 디지털 보안 리더십에는 최소 2명을 지명해 대행을 둬야 한다. 단, 4명을 넘어서는 안 된다. ‘대행’이라 함은 침해가 발생하면 보안 운영 업무의 효과에 손실 없이 즉각 투입될 수 있음을 의미한다. 대행들은 대응직에 대한 교차 훈련도 철저하게 되어 있어야 한다. 그래야만 CISO가 회계연도 중에 필요한 여러 현장 가운데 한 곳을 돌보고 있다거나 해외 고객 또는 업체를 방문 중이거나 2~3주 동안 ‘의무적으로’ 가야 하는 휴가 때문에 ‘문을 닫은’ 경우에라도 그 어떤 공백이나 손실 없이 매끄럽게 진행된다.

분명히 말하지만 필자는 CISO/CSO계의 옹호자가 아니다. 사이버보안 헤드헌터다. 무엇보다 운영자다. 조직들이 내재된 능력과 효율성을 극대화하는 것을 볼 때 희열을 느낀다. 반대로, 잘하면 피할 수도 있는 잘못된 결정을 내리면서 제 발등을 스스로 찍는 조직들을 볼 때면 짜증이 난다.

CEO들이 CISO들에게 무조건적인 자유를 주어야 한다는 뜻은 아니다. 장비와 인력에 할당되는 예산이 사실상 무한하다는 말도 아니다. 사실, 최고의 CISO들은 신중함과 억제력을 발휘하며 비교적 적은 자원으로 더 많은 일을 해낼 때가 많다. 그렇지만. . . CISO 자산을 돌아보고 배치하면서 현명하고 포괄적이며 지적으로 솔직해질 것을 CEO들과 그 이사회 및 경영진에게 촉구하는 바다.

우수한 CISO 리더십을 구성하면서 긍정적인 전력 증강 효과도 있다. CEO/경영진이 CISO의 (“조용한” 의무 휴가를 포함해) 예정된 부재를 알리지 않고 보장해 주기 위한 긴급 사태 계획을 강화하여 실시함에 따라, CISO는 고위층의 전적인 지원을 받는다는 사실에 큰 안정감을 얻는다. 그 결과, CISO실은 지속해서 뛰어난 성과를 낼 수 있고, 이에 따라 경영진과 이사회 급에서 차분한 (현실적인) 자신감이 더욱 커진다. 그런데, 혹시 해당 CISO가 외부로 스카우트된다면(실제로 이런 일이 발생한다!) 다른 사람이 쉽게 대신하는 관행이 뿌리를 내린다.

이 사안에 관해 고객과의 상담이 점점 늘어나는 추세다. 미리 대처하는 고객이 있는가 하면 필자의 잔소리에 틈만 나면 “알았으니까 그만해!”라는 식으로 반응하는 경우도 있다. CISO 직무에 맞게 직원을 제대로 배치하지 못한다면 치명적인 문제가 발생할 수 있다는 것을 모두 인식하게 되었다. 이 기사를 읽는 독자 중에 경영진의 일원이 있다면 이 사안을 내부적으로 제기해 주실 것을 겸허하게 부탁드린다. 허심탄회한 논의를 전개해 주시고 정당한 사유가 있다면 단호한 조처를 해 주시기 바란다. 채용 담당자에게 공백 문제 해결을 촉구해야 할 수도 있다. 이미 직원은 충분히 있지만 조직 차원의 창의성과 계획성이 필요한 경우가 더 가능성이 크기는 하다. 어느 쪽이 되었든 추진해 보자.

*Stephen Spagnuolo는 버지니아주 알링턴에 있는 채용 회사인 퀀텀 서치 파트너(Quantum Search Partners)에서 디지털 보안과 위험, 채용 유지 프랙티스를 담당하고 있다. 그는 약 20년 동안 다양한 고객사에 중간 관리자급과 차세대 임원 채용을 도왔다. ciokr@idg.co.kr 
 

X