2014.09.19

칼럼 | CIO가 CISO를 겸직하면 안 되는 이유

Jonathan Hassell | CIO
중요 회사들이 CISO 직책을 배제했던 시대는 과거이다. 포천 500대 기업이 중심이지만, 일부 중소기업에도 해당이 되는 이야기이다.

지금은 정보 보안이 '사치품'인 시대가 아니다. 정보 보안은 '필수품'이다. 아주 오랜 기간 (심지어는 지금도 일부 회사에서는) CIO가 기존 책임과 직무 요구사항의 일환으로 보안을 관장해왔으며, 지금도 관장하고 있다.

오랫동안 보안을 경시하거나, 충분히 주의를 기울이지 않으면 범죄자들의 주의를 끌기 마련이다. 타깃(Target), 이보다 최근 발생한 홈디포(Home Depot)의 사고가 이를 증명한다.

공격자들이 타깃의 경우 몇 주, 홈디포의 경우 몇 달 등 오랜 기간 비밀로 취급되어야 하는 결제 데이터에 접근을 할 수 있었던 중대한 보안 침해 사고였다.

이 점을 고려해야 한다. 범죄자들은 수개월에 걸쳐 기업에서 가장 중요한 시스템을 침입했다. 은행이라는 외부 기업이 침해를 발견하고 홈디포를 설득해 이를 바로잡도록 하는 사태가 발생했다.

오랜 기간 보안 침해사고를 발견하지 못했다. 특히 홈디포 사고의 경우, 외부 회사가 '뭔가가 잘못됐다'고 알려준 것이 계기가 되어, 보안 침해 사실을 발견하고 대처를 한 사고다. 이는 IT가 보안에 주의를 기울이지 않았음을 알려주는 위험 신호이다.

CIO에게는 처리해야 할 프로젝트, 문제, 계획 등이 많다. 이러다 보니 시스템의 보안 태세를 강화하고, 보유한 네트워크 및 머신의 무결성을 감시하는 책임에 소홀해진다. 더 나아가, CIO가 보안 환경의 발전상과 이에 따른 최신 위협 파악 및 대처에 필요한 기술적 전문성을 갖고 있지 않을 수도 있다.

CISO가 보안 관리 및 시스템과 네트워크의 효율적이면서 효과적인 강화를 전적으로 책임져야 한다. CIO는 IT의 비즈니스 및 운영 측면을, CISO는 기업 보안을 책임지는 형태다.



기획, 승인, 커뮤니케이션과 동등한 CISO의 역할
모든 회사에 CISO라는 직책이 있고, 이들 CISO가 다음의 역량과 책임을 발휘하는 경우가 바람직하다.

침해 사고 대응 및 대처 계획에 대한 책임. 앞서 언급했듯, 제3자가 개입하지 않았다면, 홈디포의 보안 침해 사고는 '현재 진행형'이었을지도 모른다. 홈디포는 침해 사실을 파악하고 1주 후, 이를 공식적으로 인정했고, 2주차에 접어들어서야 고객을 위한 대응 계획을 수립해 이행하기 시작했다.

CISO는 홈디포나 타깃 같은 침해 사고가 발생하지 않도록 만전을 기하는 것이 1차 책임이다. CIO가 이런 역할을 해서는 안 된다. 또 침해사고가 발생하면, CISO가 책임을 저야 한다.

이상적으로 말하면, CISO는 관료적인 보고 및 요식행위에 방해 받지 않고 침해 사고에 효율적으로 신속하게 대처할 수 있는 권한과 예산을 갖고 있어야 한다. 최소한 긴박한 위험을 넘기고, 침해사고를 경감하기까지 그렇게 해야 한다.

기존 IT 투자 계획을 검증, 승인, 컨설팅. CIO는 여러 야심 찬 계획을 수립하고, 많은 프로젝트를 수립한다. 그러나 이런 프로젝트와 정책에 있어서 보안상의 함의를 완벽하게 이해하지 못할 수 있다. 더 나아가, 조직 내부에 계획의 무결성과 보안에 초점을 맞춘 업무체계나 프로젝트에 있어 업무흐름이 없을 수 있다. 또 이런 계획에 있어 보안상의 함의를 평가할 수 있는 전문성이 부재할 가능성도 있다.

BYOD(Bring your own device) 정책과 업무 목적에서 드롭박스나 원드라이브 등 일반 소비자를 대상으로 하는 '음지의' 클라우드 스토리지를 사용하는 것을 예로 들 수 있다.

CISO가 계획과 미래의 서비스 및 용도를 엄격하게 평가하는 책임을 지는 것이 이상적이다. 보안을 기준으로 특정 계획이나 프로젝트를 판단하고, 이들 계획에 보안상의 단점이 있다면 이를 경감하도록 변경을 요청하고, 현실적으로 해결이나 경감이 불가능한 중대한 보안 문제가 있다면, 이런 계획을 반대하는 능력과 권한이 있어야 한다.

이해관계자와 짧지만 효과적으로 커뮤니케이션을 할 수 있는 능력. 보안 침해는 본질적으로 기술적인 문제이다. 그렇지만 CISO들은 다른 임원, 이사, 기타 관심을 가진 제3자에게 많은 질문을 받게 된다.

CISO는 보안 문제의 '뿌리'를 이해할 수 있는 능력을 갖추고 있어야 한다. 침해 사고인지, 아니면 추진하고 있는 투자 계획에 반하는 요소인지 등이다. 그리고 이해 관계자들에게 이런 문제의 심각성, 그 경감 방법을 간략하지만 이해할 수 있게 소통할 수 있어야 한다.

CIO가 이런 두 가지 능력을 모두 갖고 있지 않을 수 있다. 또 이런 경우, 자신이 제안한 계획을 반대하는 괴이한 상황에 처할 수 있다. CISO를 비롯해 내부 감사를 담당한 사람과 이야기를 나누고 싶어하는 사람은 없다. 그러나 효율적인 CISO라면 기술적인 이해력은 물론이고, 나아가야 할 방향과 의사결정을 기술적으로 설명하고, 효과적으로 주장할 수 있는 능력을 갖추고 있어야 한다.

2015년부터 미국에서는 대금 결제용 카드 처리 네트워크에 관한 새 규정이 발효된다. 칩과 PIN, 서명 처리, 많은 POS 및 금융 관련 어플라이언스에 탑재된 윈도우 XP의 '퇴역' 등 큰 변화가 예상된다. 앞으로 처리해야 할 보안상의 일정과 이정표가 많다는 의미다. 이런 문제들을 CIO에게 맡기면 문제가 초래될 위험이 있다. CISO가 CIO의 역할을 나눠 맡는 것이 현명한 투자다.

* Jonathan Hassell은 컨설팅 기업 82벤처스 대표다. ciokr@idg.co.kr



2014.09.19

칼럼 | CIO가 CISO를 겸직하면 안 되는 이유

Jonathan Hassell | CIO
중요 회사들이 CISO 직책을 배제했던 시대는 과거이다. 포천 500대 기업이 중심이지만, 일부 중소기업에도 해당이 되는 이야기이다.

지금은 정보 보안이 '사치품'인 시대가 아니다. 정보 보안은 '필수품'이다. 아주 오랜 기간 (심지어는 지금도 일부 회사에서는) CIO가 기존 책임과 직무 요구사항의 일환으로 보안을 관장해왔으며, 지금도 관장하고 있다.

오랫동안 보안을 경시하거나, 충분히 주의를 기울이지 않으면 범죄자들의 주의를 끌기 마련이다. 타깃(Target), 이보다 최근 발생한 홈디포(Home Depot)의 사고가 이를 증명한다.

공격자들이 타깃의 경우 몇 주, 홈디포의 경우 몇 달 등 오랜 기간 비밀로 취급되어야 하는 결제 데이터에 접근을 할 수 있었던 중대한 보안 침해 사고였다.

이 점을 고려해야 한다. 범죄자들은 수개월에 걸쳐 기업에서 가장 중요한 시스템을 침입했다. 은행이라는 외부 기업이 침해를 발견하고 홈디포를 설득해 이를 바로잡도록 하는 사태가 발생했다.

오랜 기간 보안 침해사고를 발견하지 못했다. 특히 홈디포 사고의 경우, 외부 회사가 '뭔가가 잘못됐다'고 알려준 것이 계기가 되어, 보안 침해 사실을 발견하고 대처를 한 사고다. 이는 IT가 보안에 주의를 기울이지 않았음을 알려주는 위험 신호이다.

CIO에게는 처리해야 할 프로젝트, 문제, 계획 등이 많다. 이러다 보니 시스템의 보안 태세를 강화하고, 보유한 네트워크 및 머신의 무결성을 감시하는 책임에 소홀해진다. 더 나아가, CIO가 보안 환경의 발전상과 이에 따른 최신 위협 파악 및 대처에 필요한 기술적 전문성을 갖고 있지 않을 수도 있다.

CISO가 보안 관리 및 시스템과 네트워크의 효율적이면서 효과적인 강화를 전적으로 책임져야 한다. CIO는 IT의 비즈니스 및 운영 측면을, CISO는 기업 보안을 책임지는 형태다.



기획, 승인, 커뮤니케이션과 동등한 CISO의 역할
모든 회사에 CISO라는 직책이 있고, 이들 CISO가 다음의 역량과 책임을 발휘하는 경우가 바람직하다.

침해 사고 대응 및 대처 계획에 대한 책임. 앞서 언급했듯, 제3자가 개입하지 않았다면, 홈디포의 보안 침해 사고는 '현재 진행형'이었을지도 모른다. 홈디포는 침해 사실을 파악하고 1주 후, 이를 공식적으로 인정했고, 2주차에 접어들어서야 고객을 위한 대응 계획을 수립해 이행하기 시작했다.

CISO는 홈디포나 타깃 같은 침해 사고가 발생하지 않도록 만전을 기하는 것이 1차 책임이다. CIO가 이런 역할을 해서는 안 된다. 또 침해사고가 발생하면, CISO가 책임을 저야 한다.

이상적으로 말하면, CISO는 관료적인 보고 및 요식행위에 방해 받지 않고 침해 사고에 효율적으로 신속하게 대처할 수 있는 권한과 예산을 갖고 있어야 한다. 최소한 긴박한 위험을 넘기고, 침해사고를 경감하기까지 그렇게 해야 한다.

기존 IT 투자 계획을 검증, 승인, 컨설팅. CIO는 여러 야심 찬 계획을 수립하고, 많은 프로젝트를 수립한다. 그러나 이런 프로젝트와 정책에 있어서 보안상의 함의를 완벽하게 이해하지 못할 수 있다. 더 나아가, 조직 내부에 계획의 무결성과 보안에 초점을 맞춘 업무체계나 프로젝트에 있어 업무흐름이 없을 수 있다. 또 이런 계획에 있어 보안상의 함의를 평가할 수 있는 전문성이 부재할 가능성도 있다.

BYOD(Bring your own device) 정책과 업무 목적에서 드롭박스나 원드라이브 등 일반 소비자를 대상으로 하는 '음지의' 클라우드 스토리지를 사용하는 것을 예로 들 수 있다.

CISO가 계획과 미래의 서비스 및 용도를 엄격하게 평가하는 책임을 지는 것이 이상적이다. 보안을 기준으로 특정 계획이나 프로젝트를 판단하고, 이들 계획에 보안상의 단점이 있다면 이를 경감하도록 변경을 요청하고, 현실적으로 해결이나 경감이 불가능한 중대한 보안 문제가 있다면, 이런 계획을 반대하는 능력과 권한이 있어야 한다.

이해관계자와 짧지만 효과적으로 커뮤니케이션을 할 수 있는 능력. 보안 침해는 본질적으로 기술적인 문제이다. 그렇지만 CISO들은 다른 임원, 이사, 기타 관심을 가진 제3자에게 많은 질문을 받게 된다.

CISO는 보안 문제의 '뿌리'를 이해할 수 있는 능력을 갖추고 있어야 한다. 침해 사고인지, 아니면 추진하고 있는 투자 계획에 반하는 요소인지 등이다. 그리고 이해 관계자들에게 이런 문제의 심각성, 그 경감 방법을 간략하지만 이해할 수 있게 소통할 수 있어야 한다.

CIO가 이런 두 가지 능력을 모두 갖고 있지 않을 수 있다. 또 이런 경우, 자신이 제안한 계획을 반대하는 괴이한 상황에 처할 수 있다. CISO를 비롯해 내부 감사를 담당한 사람과 이야기를 나누고 싶어하는 사람은 없다. 그러나 효율적인 CISO라면 기술적인 이해력은 물론이고, 나아가야 할 방향과 의사결정을 기술적으로 설명하고, 효과적으로 주장할 수 있는 능력을 갖추고 있어야 한다.

2015년부터 미국에서는 대금 결제용 카드 처리 네트워크에 관한 새 규정이 발효된다. 칩과 PIN, 서명 처리, 많은 POS 및 금융 관련 어플라이언스에 탑재된 윈도우 XP의 '퇴역' 등 큰 변화가 예상된다. 앞으로 처리해야 할 보안상의 일정과 이정표가 많다는 의미다. 이런 문제들을 CIO에게 맡기면 문제가 초래될 위험이 있다. CISO가 CIO의 역할을 나눠 맡는 것이 현명한 투자다.

* Jonathan Hassell은 컨설팅 기업 82벤처스 대표다. ciokr@idg.co.kr

X