Offcanvas

디지털 트랜스포메이션 / 보안

일문일답 | 유나이티드 항공 CISO가 비즈니스에 사이버 보안 가치를 더하는 방법

2023.05.31 Dan Roberts
유나이티드 항공의 CISO는 IT 및 사이버 보안 기술을 비즈니스 전반의 이익과 연결하는 노력을 진행 중이다. 그 핵심에 스토리텔링, 이해관계 조율, 마케팅 마인드가 있다. 
 
데닌 드피오레 유나이티드 항공 CISO ⓒ 유나이티드 항공

데닌 드피오레(Deneen DeFiore)는 현재 유나이티드 항공의 부사장 겸 최고 정보보안 책임자(CISO)로 사이버 보안 및 디지털 리스크 관리 조직을 이끌고 있다. 주로 진화하는 사이버 위협을 예방하고 탐지 및 대응하고 있다. 또한 드피오레는 글로벌 항공 생태계 전반에 걸쳐 상용 항공 사이버 안전 위험 및 사이버 복원력 향상에 대한 이니셔티브도 주도하고 있다.

드피오레는 최근 팟캐스트 테크위스퍼러에 참여해 CISO 역할이 가진 복잡성과 일상의 균형을 잡는 법, 리더십을 주제로 다양하게 의견을 제공했다. 특히 커뮤니케이션 원칙과 보안 기술을 비즈니스로 연결한 방법에 대해 흥미로운 생각을 나누었다. 다음 내용은 드리오레의 발언을 요약한 것이다. 

Q. CISO에게 ‘스토리텔링’ 능력은 왜 중요한가? 스토리텔링을 할 수 있는 사비어 보안 조직과 그렇지 않은 조직은 어떤 차이를 만드는가?
A. 리스크를 관리하는 활동과 이를 비즈니스 성과와 연계해 이야기를 할 수 있는 능력은 분명히 가치가 있다. 기업을 보호하고 필요한 작업을 수행하는 두 개의 조직이 있다고 치자. 스토리를 전달할 수 없는 조직은 사실상 기술적인 수준에서만 운영되는 것이다. 일을 잘하고 기술적 성과가 나와도, 비즈니스 영역과 연결할 수 없다면 기술적 논의에만 갇힌다. 그런 상황에서는 ‘XYZ를 해야 한다’고 말하는 것은 더 어려울 것이다. 왜냐하면 그것은 ‘사이버 보안부서에서만 신경 쓰면 되는 일’로 치부될 것이기 때문이다. 

스토리를 만들 수 있는 곳이라면, ‘고객이 시스템에 액세스할 수 있도록 보다 원활한 환경으로 나아가야 한다’와 같은 가치 사례를 만들 수 있다. 그 과정에서 새로운 고객 ID 플랫폼과 비밀번호 목록으로의 전환, 그리고 이를 통해 어떻게 훌륭한 고객 경험을 창출할 수 있는지 등을 다양하게 논의할 수 있다. 다른 수준에서 가치를 추가하고 범위를 확장하면서 기업 내 다양한 영역에서 보안 기술을 논의할 수 있는 것이다. 

조직은 목표를 설정하고 이를 달성하며 최고의 기술자가 될 수 있다. 하지만 스토리텔링이 안되면 아무리 목표를 세워도 주변에서 이를 이해하지 못하며 보안 외 영역으로 확장할 수 없다. 반면에, 스토리텔링을 잘하는 조직은 훨씬 빠른 속도와 높은 수준으로 계속 성장하고 진화할 것이다.

Q. 어떤 이해관계자들은 공통의 관심사를 가지고 있지만, 그 목표를 달성하는 방법에 대해 서로 다른 생각을 갖는다. 어떤 이해관계자들은 처음부터 서로 상충하는 이해관계를 갖는다. 커뮤니케이션과 메시지를 전달할 때 이러한 상황에 어떻게 대처하는가?
A. 팀 간에는 항상 우선 순위가 서로 다르고 목표 달성을 위한 방법에 대한 의견 차이가 있을 수 있다. 내가 시도하는 것은 최종 결과에 초점을 맞추는 것이다. 왜냐하면 결과에 맞춰진다면 의견 충돌이 있는 가운데서도 관련된 문제가 무엇이 문제인가를 제대로 이해할 수 있기 때문이다. A라는 방식으로 하면 원하는 결과를 얻고, B라는 방식으로 하면 원하는 것을 얻지 못할 수 있다. 우리는 모두 결과를 얻고 싶다. 그렇지 않은가? 즉 나는 결과에 더 초점을 맞춘다. 해결하고자 하는 문제에 초점을 맞추고, 공유된 요구와 목표를 만들고, 최종 상태가 무엇인지, 어떻게 거기에 도달할 것인지에 대한 세부 사항을 모두가 이해하도록 하는 것이다.

Q. 항공 업계는 자체 규정도 많고, 교통안전국(TSA) 지침, 증권거래위원회(SEC) 지침, 보안 지침 등 따라야할 요소가 많다. 복잡성이 높은 업계에서 어떻게 이해하기 쉽게 핵심 내용을 전달하는가?
A. 아무리 복잡한 규정이어도 결국 대화하고자 하는 사람이 이해할 수 있는 언어와 용어로 말해야 한다. 나는 일상 생활에서 정책 문서를 그대로 읽듯이 말하지 않는다. 가끔 우리는 정부 관료가 법률을 공표하듯이 딱딱한 용어로 말할 때가 있다. 온갖 기술 용어와 약어를 사용해서 말이다. 이런 방식은 나는 지양하려고 한다. 목소리 톤과 단어 선택에도 주의를 기울여야 한다. 함께 대화하려는 사람들이 무슨 일이 일어나고 있는지, 왜 그런 일이 일어나고 있는지, 그리고 우리가 그것에 대해 무엇을 할 것인지 이해할 수 있게끔 설명한다.

어떤 보안 사고나 사건이 일어났을 때 사람들이 듣고 싶어 하는 것은 단순히 교통 당국의 규정 내용이 아니다. 사람들이 결국 알고 싶은 내용은 현재 어떤 상황이고, 무엇을 해야 하고, 우려해야 할 위험성이나 문제가 있느냐는 부분이다. 이 부분을 설명해야 한다. 

Q. CIO가 자체적으로 진행한 설문 조사에 따르면, CISO들은 EQ(정서 지능), 영향력 있는 기술 및 커뮤니케이션 기술에 중점을 둔 리더십 기술을 구축하는 것을 최우선 과제로 두고 있었다. 리더의 마케팅 마인드를 높이고 직원의 커뮤니케이션 근육을 키울려면 어떻게 해야 할까?
A. 나는 회의 전에 사전 회의를 하는 것을 싫어한다. 하지만 중요한 발표, 회의, 토론에서 직원의 참여를 유도해야 하거나 누군가의 헌신이 필요한 경우 팀원들과 함께 사전 점검을 한다. 발표 자료나 주요 메시지를 살펴보는 식인데, 나는 악역을 맡는다. 가령 발표에서 나온 내용 일부를 가르켜 "그것을 왜 신경을 써야 하는가?"라고 묻는다. 그런 식으로 연습을 계속하다 보면 팀원들은 핵심 메지시를 이해하게 되고, 더 이상 회의 전에는 회의를 할 필요가 없어진다.

이런 커뮤니케이션 방식을 연습하면 그 방식은 알아서 몸에 배게 된다. 연습에서 나온 질문이 나오면 자동으로 답이 나올 것이다. 커뮤니케이션에서도 일정 패턴이 있다. 이를 염두에 두고 어떻게 해야 하는지 알고 있어야 한다. 따라서 연습이 정말 중요하다.

Q. 사이버 보안이 비즈니스에 창출하는 가치는 무엇이라고 정의할 수 있을까?
A. 가치는 여러가지로 정의될 수 있다고 생각한다. 각 정의를 통해 사이버 보안 리더의 주요 책임을 확실히 이행할 수 있다. 기본적으로 사이버 보안 기술을 잘 대비하면 심각한 데이터 손실, 다운타임 또는 운영 중단이 발생하지 않는다는 가치를 만든다. 

그 외에 부수적인 것들도 있다. 위험을 제거하거나 완화함으로써 비즈니스가 이전에는 할 수 없었던 일을 할 수 있도록 지원할 수 있다. 아예 보안 아키텍처 덕분에 이전에는 할 수 없었던 비지니스를 운영할 기회가 생길 수 있다. 또는 신뢰성을 높였기에 이전에는 할 수 없었던 방식으로 협업하거나 데이터를 공유할 수 있다. 이런 것들이 바로 비즈니스 결과 관점에서 가치를 창출하는 것이다.

기술적 관점 외에도 고객이나 주주를 위한다는 측면에서 조직이 무엇을 할 수 있을지 고민해보며 가치를 정의해볼 수 있다. 

Q. 중점적으로 다루는 메트릭(평가 지표)은 무엇인가?
A. 평가 지표는 팀원들과 함께 계속 연구하고 개선하고 있다. 운영 관련 지표는 우리가 설정한 정책과 표준, 기술 서비스 내에서 이러한 정책과 표준을 얼마나 잘 다루고 있는지를 중점으로 확인하고 그리고 그것들이 얼마나 잘 수행하고 있는지를 본다. 다시 말해 평가 지표는 범위와 효과성이라는 두 가지 유형으로 나눠 보고 있다. 

물론 웹 애플리케이션 방화벽 뒤에 있는 모든 외부 엔드포인트가 평가 영역에 포함되길 원할 수 있다. 문제는 실제로 얼마나 많은 위협을 막았는가라는 부분이다. 또한 어떤 보안 위협이 있고, 애플리케이션 보안 표준에 포함되었는지, 사람들이 계속 문제 있는 인증이나 부적절한 세션 관리 등을 사용하는 이유는 무엇인가도 확인해야 한다. 정책을 가지고 있기 때문에 괜찮다고 말하는 것이 아니라 정책이 효과적으로 작동하고 있는지 확인해야 한다. 그렇게 부족한 부분을 파악해야 한다. 이런 과정을 지속적으로 반복하고 핵심 역량을 살펴보며, 평가 지표와 KPI의 기준선을 설정하려고 노력하고 있다. 
ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.