Offcanvas

리더십|조직관리 / 비즈니스|경제 / 소프트스킬

칼럼 | CIO와 CISO의 갈등 해소, ‘징조’를 파악해야 한다

2024.05.22 David Gee  |  CIO
CIO와 CISO는 경쟁적인 압박과 우선순위 속에서 종종 갈등을 겪는다. 파트너십을 생산적으로 유지하려면 긴장이 고조되는 지점과 상대방의 운영 방식을 파악하는 것이 필수다.
 
ⓒ Getty Images Bank

CIO와 CISO가 일하는 환경은 대부분 스트레스가 많다. 이로 인해 종종 서로의 관계에 부담을 주기도 한다. 유익한 결과를 달성하는 데 이런 갈등은 방해가 될 수 있다.

필자는 CIO와 CISO를 모두 역임했으며, 두 역할의 관점에서 문제를 직접 경험했다. 특히 CIO에게 보고하는 경우가 많은 CISO라면 양측이 합리적이고 건전하며 존중할 수 있는 관계가 되도록 문제를 해소하기가 어려울 수 있다. 관계를 개선하려면 상대방의 역할에 대한 부담과 우선순위, 그리고 운영 방식을 이해해야 한다.

갈등이 깊어지는 관계
CIO와 CISO 사이에 자연스럽게 마찰이 발생하는 이유를 이해하려면 먼저 각자의 부담과 우선순위를 생각해 봐야 한다. 

CIO 역할은 여러 업무로 가득 차 있으며 모두 주의가 필요하다. 심지어 경영진과 이사회에서는 늘 CIO를 주시하고 있다. 이들은 CIO가 IT 아젠다의 중심에 서기를 원한다.

CIO의 존재 이유이기도 한 아젠다는 기술을 활용해 비즈니스 혁신과 성장을 주도하는 일이다. 회사의 주요 이해관계자들은 기술 기반의 변화와 긍정적인 고객 경험을 플랫폼에서 제공할 것을 요구하며, CIO는 새로운 디지털 솔루션의 제공뿐만 아니라 서비스 중단 등의 문제로 운영 프로세스가 영향을 받지 않도록 하는 역량에 따라 평가받게 된다.

한편 CISO의 임무는 외부 위협으로부터 기업을 보호하는 일이다. 물론 CIO도 이를 중요하게 여기긴 하지만, CIO는 기업 보안에 필요한 절충안을 두고 비즈니스 이해관계자의 압력을 받는 경우가 많다.

이 절충안은 CIO와 CISO의 권한이 교차하는 지점이며, 양측은 상충하는 우선순위를 강조하게 될 수 있다. 시간이 지나면서 이런 상황과 처리 방식이 당사자 간의 실질적인 마찰로 이어질 가능성이 있다. 마찰은 공개적으로 드러나 끓어오를 수도 있고, 다른 동료들이 모르게 발생할 수 있다.

CIO와 CISO 사이에 갈등이 일어나는 일반적인 이유
성숙 단계의 기업이라면 위험이 발생했을 때 당분간 해결을 미루고 이를 수용해야 하는 경우가 있다. 취약점 패치는 CIO와 CISO 사이에 긴장이 일어날 수 있는 사례 중 하나다.

이미 악용된 심각한 취약점의 경우 CISO가 즉시 패치를 적용하기를 원할 것이며 CIO도 이런 긴급 상황에 공감할 가능성이 높다. 그러나 중간 수준의 취약점이라면 CIO는 운영 시스템 중단을 미루라는 압박을 받을 수 있다. 또한 패치를 적용하기 전에 일주일 또는 몇 달을 기다리라고 CISO를 압박할 수도 있다.

디지털 고객 경험에 영향을 미치는 프로그램에도 동일한 양상이 나타난다. 예를 들어 다단계 인증 기능을 새로운 도입하려면 고객 커뮤니케이션이 필요하고 관련된 단기 채널에 중단이 발생할 수 있다. 비즈니스에서 이를 받아들이기 어려워할 수 있다.

또한 CIO와 엔지니어링팀은 API 플랫폼에서 비즈니스 부서와 협력해 새로운 고객 기능을 지원할 수도 있다. CISO의 관점에서 이런 API는 예기치 않은 데이터 손실 벡터를 생성하지 않도록 적절하게 관리돼야 하며 침투 테스트를 거쳐야 한다. CISO는 더 많은 제어 기능을 적용하기를 원하는데, CIO는 원칙적으로 동의하면서도 이해관계자들을 만족시키기 위해 해당 기능을 단기간 내에 배포해야 할 수 있다.

사고 관리 역시 긴장의 연속이다. CISO는 심각한 사이버 또는 비즈니스 중단 사고가 발생했을 때 리더십 역할을 수행하며 종종 나쁜 소식을 전하는 ‘메신저’의 역할을 한다. 당연히 CIO는 즉각적인 정보를 받기를 원하지만, 자세한 내용은 알려지지 않는 경우가 많다. 초기 단계에서는 대개 답변보다 질문이 많기 때문에 CIO가 CISO를 탐탁치 않게 여길 수 있다.

데브옵스의 경우도 있다. 많은 CIO가 빠르고 지속적인 배포를 지지한다. 안타깝게도 프로세스에 사이버 보안 테스트를 포함하는 데브섹옵스(DevSecOps)를 지지하는 CIO는 많지 않다. 이는 아마도 CIO가 경영진 이해관계자로부터 새로운 소프트웨어 빌드를 출시하라는 압력을 받는 경우가 많고, 완벽하지 않은 경우 반복이 필요할 수 있다는 위험을 감수하는 입장이기 때문일 것이다. 반면 CISO는 대부분 소프트웨어 개발자 출신이 아니기 때문에 프로세스를 다루고 도전하는 데 익숙하지 않은 경우가 많다.

CIO와 CISO의 서로 다른 성향 문제
위의 마찰 영역은 CIO와 CISO의 성향과도 무관하지 않다. 이는 일종의 호환성 문제이며, 서로 잘 어울리지 않는 경우 관계에 부담을 더할 수 있다.

기업의 CIO와 CISO는 각기 다른 커리어 경로를 통해 해당 직책에 올랐을 가능성이 높다. 따라서 업무에 대한 접근 방식도 다를 수 있다. 일부는 자연스럽게 어울리겠지만, 다른 일부는 충돌할 것이다.
 
ⓒ David Gee

이에 대한 조언은 상대방의 운영 방식, 타고난 성향, 잠재적인 압박 요인에 접근하는 방식을 모두 고려하라는 것이다. 예를 들어 비즈니스 또는 협력 중심적인 CIO는 이해관계자의 참여를 성공의 핵심으로 여길 것이다. 이런 CIO가 기술 또는 혁신 중심의 CISO와 짝을 이루면 접근 방식이 서로 어긋날 수 있다.

긴장을 관리하는 방법
만약 CIO와 CISO 간의 긴장이 고조되는 환경에서 운영하고 있다는 사실을 발견했거나 두 역할의 접근 방식에 자연스러운 차이가 있다는 것을 인지했다면, CIO와 CISO가 문제를 인정하고 서로의 차이를 조정할 방법을 찾는 것이 중요하다.

이런 상황에서는 비즈니스 목표를 염두에 두고 서로 존중하며 협력할 방법을 논의하는 것이 좋다. 고려할 만한 몇 가지 원칙은 다음과 같다.

1. 회사를 우선시하는 태도를 갖는다.
2. 제안된 모든 조치에 따르는 비즈니스 이점을 파악한다.
3. 사실에 기반한다.
4. 투명하고 정직하되 결코 불쾌감을 주지 않는다.
5. 윈-윈을 추구한다.

양쪽 당사자가 변화를 이끌어내려는 의지가 없다면 이 접근 방식도 효과는 없다. 이 경우 관계를 원활하게 하기 위해 제3자 또는 코치를 참여시켜 원점에서 관계를 돌아봐야 할 수도 있다. 당사자 중 한 명 또는 양쪽 모두 포기하지 않고 약간의 조정으로 관계를 개선할 수 있기를 바라면서 원점에서 다시 시작해 볼 수 있다.

일상적인 업무에서 적당한 긴장은 CIO와 CISO에게 도움이 된다. 하지만 비생산적인 상황을 초래하는 갈등으로는 번지지 않도록 관리해야 한다. 이는 양측 모두에게 손해이며 비즈니스 전체에도 나쁘다.

* David Gee는 금융 서비스 및 제약 업계에서 20년 이상 CIO, CISO를 비롯해 기술, 사이버, 데이터 위험 담당 임원으로 근무했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.