2021.04.06

한걸음 가까이··· 'CISO'가 CFO 언어를 구사하는 방법

Andrew Rose | IDG Connect
모든 '최고정보보호책임자(Chief Information Security Officer; CISO)'는 사이버 위협이 더욱더 은밀하고 정교하게 진화하고 있다는 사실을 알고 있다. 따라서 이들은 끝이 없어 보이는 기업 보안이란 임무를 수행해야 한다. 여기서 '최고재무책임자(Chief Finance Officer; CFO)'의 비즈니스 언어를 구사한다면 CISO는 예산 확보율을 높이고 책임을 이행하는 데) 필요한 투자를 확보할 수 있을 것이다.
 
ⓒGetty Images

美 보안 전문회사 프루프포인트(Proofpoint)가 영국과 아일랜드의 CISO, CSO를 대상으로 실시한 설문조사에 따르면 전체 응답자의 절반 이상이 2020년에 소속 기업에서 적어도 1건 이상의 사이버 공격을 경험했다고 밝혔다. 또한 약 3분의 2는 2021년에도 소속 기업이 상당한 공격 위험에 처해있다고 답했다. 

하지만 안타깝게도, 많은 CISO가 소속 기업을 보호하는 데 필요한 리소스를 확보하지 못해 어려움을 겪고 있다. 해당 조사에서 전체 응답자의 50%가 이사회에서 효과적인 사이버 보안에 충분한 관심을 기울이지 않는다고 느끼는 것으로 나타났다. 

CISO가 CFO의 비즈니스 언어를 구사한다면 예산 확보율을 높이고 책임을 이행하는 데 필요한 투자를 확보할 수 있다.

최고재무책임자(CFO) 이해하기 
당연히 CFO는 재무 성과, 자산 보호, 가치 창출 및 수익 증대에 관심을 가질 수밖에 없다. 즉 보안과 컴플라이언스는 CFO가 많은 시간을 할애하는 부분은 아니다. 하지만 CFO도 보안 사고로 인한 비용이 엄청날 수 있다는 점은 알고 있다. 

BEC(Business Email Compromise; 기업 관계자를 사칭한 이메일로 돈이나 데이터를 탈취하는 사이버 공격 수법) 공격을 예로 들자면 美 FBI는 이 공격으로 인한 피해 규모가 지난 3년 동안 265억 달러에 달하는 것으로 추산하기도 했다. 

이렇게 재정적 위험이 입증돼 있긴 하지만 그렇다 하더라도 기업들은 예산이 무제한적이지 않으며 CFO들은 보안 및 컴플라이언스를 포함한 비즈니스 과제와 위험을 해결하기 위해 비용을 지출하는 데 있어 심사숙고하기 마련이다. 

CFO의 내부 검토 프로세스
CFO는 CISO가 새로운 투자 요청을 할 때마다 다음과 같은 비교적 정형화된 검토 프로세스를 거친다. 

• 수익 대비 위험 규모
• 보안 사고로 3~5년간 미칠 영향 대비 솔루션 비용
• 이미 확보하고 있는 역량은 무엇이며 얼마나 효과적인가? 이와 비교해 해당 솔루션은 얼마나 효과적인가?
• 대안이 아닌 해당 솔루션이 필요한 이유는 무엇인가?
• 공급업체를 통합해 단순성과 재무 레버리지를 높일 수 있는가? 


CISO는 이러한 내부 검토 프로세스에 적절하게 대응하는 한편 비즈니스 사례에서 이런 요소들을 다룰 수 있어야 한다. 

비즈니스 사례 만들기
CFO와 새로운 투자를 논의하기 전에 사이버 보안 목표와 예산 제안을 광범위한 비즈니스 및 컴플라이언스 목표와 정렬하는 것이 좋다. 

1) 관리 공백(control gap)을 강조하라
사이버 보안 투자를 위한 비즈니스 사례 만들기의 첫 번째 단계는 문제를 명확하고 간결하게 정의하는 것이다. 이를 위해 관리 공백을 비기술적 용어로 설명해야 한다. 

예를 들면 게이트웨이 시스템이 악성 이메일을 어떻게 허용하고 있는지 또는 소속 기업에 서드파티 클라우드 시스템들 간 중요한 데이터를 추적하는 기능이 왜 없는지 등이다. 또 비교할 만한 기업이 이 문제를 해결한 사례를 보여주는 것도 좋다. 이를 통해 CFO는 사건 발생 시 방어해야 할 것을 파악할 수 있다. 

2) 관련 위험과 영향 수준을 정량화하라 
소속 기업의 위험 모델을 사용하여 관리 공백을 검토하고 어떤 보안 사고가 발생할 수 있을지 강조한다. 이를테면 데이터 유출로 인해 발생할 수 있는 잠재적인 손실을 설명한다. 최대예상손실액(Value at Risk) 곡선을 사용하여 다른 재무 모델과 정렬하는 것도 좋다. 

또한 손실과 관련해 연간 매출의 백분율, 서비스 중단으로 인한 영향, 평판 문제 등을 언급해 설명한다. 여기에 규제 위반에 따른 과징금 또는 규제 강화로 인한 추가적인 비용도 포함할 수 있다. 미디어에 보도된 최근 사례를 제시해 잠재적 손실을 강조할 수도 있다. 

3) 솔루션을 설명하라
솔루션을 설명할 때도 비기술적 언어를 사용해야 한다. 또 해당 솔루션이 기존 관리 방식과 다르게 위험을 해결할 수 있는 이유를 설명해야 한다. 솔루션이 확실히 좋다고 생각하더라도 CFO가 고려할 수 있는 몇 가지 대안을 제안하는 게 좋다. 이 밖에 기술 자산을 간소화하거나 레버리지를 높이거나 또는 자동화를 통해 효율성을 개선할 수 있는 기회를 강조하는 것도 좋다. 

4) 가치를 강조하라
비즈니스 사례가 구체적인 비용 및 비즈니스 지원 문제를 다루는지 확인해야 한다. 우선, 제품 가격 그리고 구축 및 배포와 관련된 예상 비용(예: 교육 및 프로젝트 비용 등)을 설명한다. 그다음 솔루션이 전체적으로 어떻게 비용을 절감할 수 있는지 제시한다. 

또한 재정적 위험과 비교해 솔루션을 설명하고 최대예상손실액(VaR)에 대한 매몰 비용을 자세하게 밝힌다. 자동화, 통합, 제품 폐기 등을 통한 잠재적 절감 효과를 언급한 후 이를 통해 피할 수 있는 연간 손실을 다시 강조한다. 

마지막으로 해당 솔루션을 기존의 비즈니스 지원 이니셔티브와 연결한다. 이 투자로 어떤 프로젝트가 이익을 얻을 수 있는지 고려한다. 클라우드 구현 속도가 빨라질까? 아니면 새로운 고객용 기능을 강화할까?

C-레벨에 더 가까이 다가가기
CISO의 ‘C’는 CFO, COO, CRO의 ‘C’ 같은 힘이 없는 경우가 많다. 하지만 보안 업계가 디지털 경제를 위협하는 문제를 진정으로 해결하고 싶다면 변화는 불가피하다. 

CFO는 CEO 다음으로 영향력이 큰 사람이다. 따라서 CISO는 C-레벨과의 더 나은 관계를 구축하고 단순히 비즈니스를 보호하는 게 아니라 운영에 대해 진정으로 이해하고 있음을 입증해야 한다.
 
---------------------------------------------------------------
CSO/CISO 인기 기사
->CISO가 알아야 할 4가지 기술들
-> 성공하는 CISO의 3가지 공통점
->'보안 임원의 역할, 급격히 변화 중" IBM
-> 기고 | CSO의 8가지 고민, 그리고 해답
-> 기고 | 첨단 CSO의 조건 '비즈니스와 커뮤니케이션'
---------------------------------------------------------------

ciokr@idg.co.kr



2021.04.06

한걸음 가까이··· 'CISO'가 CFO 언어를 구사하는 방법

Andrew Rose | IDG Connect
모든 '최고정보보호책임자(Chief Information Security Officer; CISO)'는 사이버 위협이 더욱더 은밀하고 정교하게 진화하고 있다는 사실을 알고 있다. 따라서 이들은 끝이 없어 보이는 기업 보안이란 임무를 수행해야 한다. 여기서 '최고재무책임자(Chief Finance Officer; CFO)'의 비즈니스 언어를 구사한다면 CISO는 예산 확보율을 높이고 책임을 이행하는 데) 필요한 투자를 확보할 수 있을 것이다.
 
ⓒGetty Images

美 보안 전문회사 프루프포인트(Proofpoint)가 영국과 아일랜드의 CISO, CSO를 대상으로 실시한 설문조사에 따르면 전체 응답자의 절반 이상이 2020년에 소속 기업에서 적어도 1건 이상의 사이버 공격을 경험했다고 밝혔다. 또한 약 3분의 2는 2021년에도 소속 기업이 상당한 공격 위험에 처해있다고 답했다. 

하지만 안타깝게도, 많은 CISO가 소속 기업을 보호하는 데 필요한 리소스를 확보하지 못해 어려움을 겪고 있다. 해당 조사에서 전체 응답자의 50%가 이사회에서 효과적인 사이버 보안에 충분한 관심을 기울이지 않는다고 느끼는 것으로 나타났다. 

CISO가 CFO의 비즈니스 언어를 구사한다면 예산 확보율을 높이고 책임을 이행하는 데 필요한 투자를 확보할 수 있다.

최고재무책임자(CFO) 이해하기 
당연히 CFO는 재무 성과, 자산 보호, 가치 창출 및 수익 증대에 관심을 가질 수밖에 없다. 즉 보안과 컴플라이언스는 CFO가 많은 시간을 할애하는 부분은 아니다. 하지만 CFO도 보안 사고로 인한 비용이 엄청날 수 있다는 점은 알고 있다. 

BEC(Business Email Compromise; 기업 관계자를 사칭한 이메일로 돈이나 데이터를 탈취하는 사이버 공격 수법) 공격을 예로 들자면 美 FBI는 이 공격으로 인한 피해 규모가 지난 3년 동안 265억 달러에 달하는 것으로 추산하기도 했다. 

이렇게 재정적 위험이 입증돼 있긴 하지만 그렇다 하더라도 기업들은 예산이 무제한적이지 않으며 CFO들은 보안 및 컴플라이언스를 포함한 비즈니스 과제와 위험을 해결하기 위해 비용을 지출하는 데 있어 심사숙고하기 마련이다. 

CFO의 내부 검토 프로세스
CFO는 CISO가 새로운 투자 요청을 할 때마다 다음과 같은 비교적 정형화된 검토 프로세스를 거친다. 

• 수익 대비 위험 규모
• 보안 사고로 3~5년간 미칠 영향 대비 솔루션 비용
• 이미 확보하고 있는 역량은 무엇이며 얼마나 효과적인가? 이와 비교해 해당 솔루션은 얼마나 효과적인가?
• 대안이 아닌 해당 솔루션이 필요한 이유는 무엇인가?
• 공급업체를 통합해 단순성과 재무 레버리지를 높일 수 있는가? 


CISO는 이러한 내부 검토 프로세스에 적절하게 대응하는 한편 비즈니스 사례에서 이런 요소들을 다룰 수 있어야 한다. 

비즈니스 사례 만들기
CFO와 새로운 투자를 논의하기 전에 사이버 보안 목표와 예산 제안을 광범위한 비즈니스 및 컴플라이언스 목표와 정렬하는 것이 좋다. 

1) 관리 공백(control gap)을 강조하라
사이버 보안 투자를 위한 비즈니스 사례 만들기의 첫 번째 단계는 문제를 명확하고 간결하게 정의하는 것이다. 이를 위해 관리 공백을 비기술적 용어로 설명해야 한다. 

예를 들면 게이트웨이 시스템이 악성 이메일을 어떻게 허용하고 있는지 또는 소속 기업에 서드파티 클라우드 시스템들 간 중요한 데이터를 추적하는 기능이 왜 없는지 등이다. 또 비교할 만한 기업이 이 문제를 해결한 사례를 보여주는 것도 좋다. 이를 통해 CFO는 사건 발생 시 방어해야 할 것을 파악할 수 있다. 

2) 관련 위험과 영향 수준을 정량화하라 
소속 기업의 위험 모델을 사용하여 관리 공백을 검토하고 어떤 보안 사고가 발생할 수 있을지 강조한다. 이를테면 데이터 유출로 인해 발생할 수 있는 잠재적인 손실을 설명한다. 최대예상손실액(Value at Risk) 곡선을 사용하여 다른 재무 모델과 정렬하는 것도 좋다. 

또한 손실과 관련해 연간 매출의 백분율, 서비스 중단으로 인한 영향, 평판 문제 등을 언급해 설명한다. 여기에 규제 위반에 따른 과징금 또는 규제 강화로 인한 추가적인 비용도 포함할 수 있다. 미디어에 보도된 최근 사례를 제시해 잠재적 손실을 강조할 수도 있다. 

3) 솔루션을 설명하라
솔루션을 설명할 때도 비기술적 언어를 사용해야 한다. 또 해당 솔루션이 기존 관리 방식과 다르게 위험을 해결할 수 있는 이유를 설명해야 한다. 솔루션이 확실히 좋다고 생각하더라도 CFO가 고려할 수 있는 몇 가지 대안을 제안하는 게 좋다. 이 밖에 기술 자산을 간소화하거나 레버리지를 높이거나 또는 자동화를 통해 효율성을 개선할 수 있는 기회를 강조하는 것도 좋다. 

4) 가치를 강조하라
비즈니스 사례가 구체적인 비용 및 비즈니스 지원 문제를 다루는지 확인해야 한다. 우선, 제품 가격 그리고 구축 및 배포와 관련된 예상 비용(예: 교육 및 프로젝트 비용 등)을 설명한다. 그다음 솔루션이 전체적으로 어떻게 비용을 절감할 수 있는지 제시한다. 

또한 재정적 위험과 비교해 솔루션을 설명하고 최대예상손실액(VaR)에 대한 매몰 비용을 자세하게 밝힌다. 자동화, 통합, 제품 폐기 등을 통한 잠재적 절감 효과를 언급한 후 이를 통해 피할 수 있는 연간 손실을 다시 강조한다. 

마지막으로 해당 솔루션을 기존의 비즈니스 지원 이니셔티브와 연결한다. 이 투자로 어떤 프로젝트가 이익을 얻을 수 있는지 고려한다. 클라우드 구현 속도가 빨라질까? 아니면 새로운 고객용 기능을 강화할까?

C-레벨에 더 가까이 다가가기
CISO의 ‘C’는 CFO, COO, CRO의 ‘C’ 같은 힘이 없는 경우가 많다. 하지만 보안 업계가 디지털 경제를 위협하는 문제를 진정으로 해결하고 싶다면 변화는 불가피하다. 

CFO는 CEO 다음으로 영향력이 큰 사람이다. 따라서 CISO는 C-레벨과의 더 나은 관계를 구축하고 단순히 비즈니스를 보호하는 게 아니라 운영에 대해 진정으로 이해하고 있음을 입증해야 한다.
 
---------------------------------------------------------------
CSO/CISO 인기 기사
->CISO가 알아야 할 4가지 기술들
-> 성공하는 CISO의 3가지 공통점
->'보안 임원의 역할, 급격히 변화 중" IBM
-> 기고 | CSO의 8가지 고민, 그리고 해답
-> 기고 | 첨단 CSO의 조건 '비즈니스와 커뮤니케이션'
---------------------------------------------------------------

ciokr@idg.co.kr

X