경험 많은 CISO들이 자신의 커리어를 돌아보며 후배들에게 전하는 10가지 조언을 모았다. 초보 CISO들이 시행착오를 줄이고 빠르게 성장할 수 있도록 돕는 이 지침들은 보안 전문가에서 비즈니스 리더로 발전하는 과정의 귀중한 교훈을 담고 있다.
처음 CISO가 되는 일은 매우 부담스러울 수 있다. 외부에서 채용되든 내부 인사가 승진하는 형태이든 첫날부터 이들은 조직을 안전하게 지키면서 다양한 과제를 다뤄야 한다. 한편으로는 증가하는 사이버 위협에 대응해야 하는 즉각적인 압박감이 있고, 다른 한편으로는 조직 내 역학관계를 파악하고, 까다로운 임원들의 마음을 얻으며, 비즈니스를 방해하지 않으면서 보안 조치의 우선순위를 정해야 한다.
애브노멀 시큐리티(Abnormal Security)의 CISO 마이크 브리튼은 "성공적인 CISO는 모든 사이버보안 분야 영역에서 균형감을 가진 리더"라며 "회사와 주요 이해관계자의 복잡성을 이해하는 것이 중요하다"라고 언급했다.
그러나 말처럼 쉽지는 않다. 많은 CISO들은 시간이 지나면서 많은 후회와 아쉬움을 남기며, 처음부터 다르게 접근했으면 좋았을 것을 생각하게 된다. 지루하지만 중요한 작업을 제대로 수행하는 것부터 인간관계를 쌓는 일, 그리고 좌절을 효과적으로 관리하는 법을 배우는 것까지 다양하다. 이들의 경험은 새롭게 CISO가 된 이들에게 값진 지침이 되어, 힘겹게 배운 교훈들을 피할 수 있도록 돕는다.
1. 기술만으로는 부족하다
기술을 이해하는 것은 필수지만, 그것만으로는 충분하지 않다. 클라우드섹닷AI(Cloudsec.ai)의 CISO 네이트 리는 "CISO의 일은 서버를 강화하고 노트북을 패치하는 것만이 아니라, 비즈니스의 정보를 보호하는 책임을 지는 것"이라고 말했다.
비포어AI(BforeAI)의 CSO 디미트리 치클로는 CISO는 사람과 프로세스를 함께 관리하는 통합적 관점을 가져야 한다고 강조했다. 그는 "기술의 핵심 역할은 '보완'이다"라며 "우수한 프로세스와 약한 기술의 조합이, 약한 프로세스와 우수한 기술의 조합보다 더 효과적이다"라고 덧붙였다.
2. 즉흥적으로 대응·적응·극복하라
프로 복서 마이크 타이슨은 "누구나 계획을 가지고 있지만 얼굴에 펀치를 맞는 순간 그 계획은 날아가 버린다"라고 말한 바 있다. 이 말은 CISO에게도 그대로 적용된다. 브리튼은 "첫날부터 내가 상상했던 대부분의 계획을 버려야 한다는 것을 깨달았다"라며 "준비된 계획보다는 무엇이 중요하고 즉각적인 주의가 필요한지 빠르게 평가하고, 장기적이고 변혁적인 프로젝트보다 그러한 이니셔티브에 우선순위를 두어야 했다. 외부에서 고용된 CISO로서, 초기 계획을 수정하고 조정할 능력도 미리 가지고 있어야 한다"라고 밝혔다.
적응력은 사무실 정치를 피하고 좋은 인간관계를 구축하는 것을 포함해 업무의 모든 측면에 영향을 미친다. 브리튼은 "신뢰를 쌓는 것이 부담스러울 수 있지만, 그런 과정 또한 CISO의 적응력을 증명할 기회로 삼아야 한다"라고 설명했다.
포스퍼러스(Phosphorus)의 CISO 존 테릴은 이 적응력에 대해 "불편함에 익숙해지라"라고 조언을 전했다. 가정이든 실제이든 사고가 발생하면 CISO는 불편함을 느낄 수밖에 없다는 것이다. 그는 "그 상황을 오래 생각하지 말아야 한다. 타임머신이 없는 한 과거로 돌아갈 수 없으니, 통제할 수 있는 것에 집중해야 한다"라고 말했다.
3. 혼란에 대비하되, 현실적인 기대치를 설정하라
처음 CISO 업무를 맡는 것이라면 특히 개인적인 노력만으로 사고를 막을 수 없다는 사실을 받아들여야 한다. 테릴은 "여러분은 전 세계를 어깨에 짊어진 아틀라스(그리스 신화에서 제우스와의 전쟁에서 패배한 후 벌로 하늘을 떠받치는 형벌을 받은 신)가 아니다"라며 "좋은 보안 정책은 강력한 프로세스, 반복적인 훈련이나 연습, 어려운 일을 이겨내는 능력에서 나온다"고 강조했다.
또한, 과로하지 않도록 조심하고 비현실적인 기대치를 설정하지 말아야 한다. 테릴은 "적절한 수면이 있어야 심각한 위협 상황을 결국 막을 수 있다"라고 설명했다. 비포어AI의 치클로는 "보호에만 집중하지 말고, 대응과 복구에 예산과 노력을 할애하라"라며 "백업 및 복구 능력을 강화해야 한다"라고 전했다.
4. 지루한 일도 소홀히 하지 말라
사이버보안은 단순히 조직의 문을 지키는 것만이 아니다. 수명 주기 관리, 변경 전략, IT 인프라를 견고하게 유지하는 것도 포함된다.
치클로는 "백업 및 복구 능력을 주기적으로 테스트해 랜섬웨어 문제를 줄여야 하며, 기본적인 보안 조치를 모두 갖춰야 한다"라고 말했다. 또한 "위협 모델링과 시뮬레이션 연습과 같은 활동을 기반으로 한 사고 대응 계획은 모든 CISO가 갖춰야 할 최소한의 요건"이라고 덧붙였다.
기존 플랫폼을 최적화하지 않는 것도 자주 놓치는 문제다. 글로벌 CIO이자 BTE 파트너스의 CISO인 수 베르가모는 "이 부분을 간과하면 경고 알람이 너무 많이 와 피로감을 겪게 되고, 결국 보안 운영팀은 경고 알람이 가짜인지 실제 공격인지를 구별하기 어려워진다"라고 지적했다.
기본을 잘 지키고 좋은 보안 위생(보안 위협을 최소화하고, 시스템의 안전성을 지속적으로 유지하기 위해 필수적인 보안 관행) 상태를 유지하는 것이 매우 중요하다. 테릴은 "보안의 대부분은 예방 유지 관리이다"라며 "어떤 면에서 CISO의 역할은 첨단 전쟁 전사라기보다는 컴퓨터 관리 직원과 더 비슷하다고 할 수 있다"라고 표현했다.
5. 기술 세부 사항을 과도하게 공유하지 말자
CISO는 사이버 보안과 함께 살아가지만, 동료 최고 경영진은 그렇지 않다. 그렇기 때문에 모든 CISO는 쉽게 이해할 수 있는 방식으로 소통해야 한다. 치클로는 "기술 전문 용어로만 이야기하면 논의할 사람을 잃고 논의 주제 자체가 다른 우선순위로 옮겨가게 된다"라고 설명했다.
초보 CISO들이 흔히 저지르는 실수는 기술 세부사항을 과도하게 공유하는 것이다. 베르가모는 "CISO는 매달 100만 건의 공격을 막아냈다는 정보를 다른 이들도 알고 싶어 한다고 착각한다. 사실 아무도 이런 정보를 듣고 싶어 하지 않는다"라고 말했다.
시소하이브(CisoHive)의 명예 CISO이자 설립자인 르네 구트만도 이에 동의했다. 구트만은 "관련성을 이해하지 못한 채 숫자를 제시하지 말자"라며 "숫자를 어떻게 이해할 수 있는지 파악해야 한다"라고 조언했다.
베르가모는 CISO가 "실제 작은 사고가 있더라도 회사가 중대한 침해 사고를 당하지 않았고, 매출과 브랜드가 손상되지 않았으며, 사용 중인 기술이 효과적이고 직원들이 전반적인 사이버 방어를 위해 열심히 노력하고 있다는 사실을 강조해야 한다"라고 설명했다.
6. 적정선을 지켜라
CISO의 주요 역할 중 하나는 비즈니스 전체를 이해하는 것이다. 브리튼은 "비즈니스 목표를 달성하기 위해 적절한 리스크를 감수할 줄 알아야 한다"라며 "만약 너무 복잡한 보안 프로토콜을 적용하면 외부에서 보안팀 자체를 장애물로 보거나, 심지어 보안팀이 역할을 제대로 수행하지 못하고 있다고 평가받을 수 있다"라고 덧붙였다.
치클로는 "CISO의 주요 고객은 회사에서 수익을 창출하는 비즈니스 인력이라는 점을 이해해야 한다"라며 "모든 보안 조치는 이들에게 잠재적인 제약이 될 수 있으므로 보안과 사용성 사이에서 균형을 잡아야 한다. 지나치게 독단적인 태도는 신뢰도와 보안, 그리고 잠재적으로 매출을 떨어뜨릴 수 있다"라고 강조했다.
테릴 역시 "직원들이 일을 하기 어렵게 만들면 외부 공격자보다 보안팀 자체가 비즈니스에 더 해가 될 수 있다"라고 경고했다.
7. 우선순위를 정하라
CISO들은 종종 제한된 자원으로 일해야 한다. 치클로는 "좌절을 관리하는 법을 배워야 한다. 필요한 전체 예산을 얻지 못할 것이기 때문이다"라며 "특정 영역에 예산을 다 투입할 수 없다. 보안 투자 수익을 극대화하기 위해 어떤 위험을 먼저 해결할 것인지 우선순위를 정해야 한다"라고 밝혔다.
테릴은 "대부분의 경우, 특히 사이버 보안 제품의 경우 솔루션이 문제를 해결해 주는 것이 아니다. 오히려 특정 솔루션으로 해결해야 할 새로운 문제와 더 많은 작업을 만들어낸다"라며 "돈을 쓰면 100% 해결되는 문제가 있다면 그것은 어떤 면에서 가장 쉬운 문제다"라고 설명했다.
8. 교육하고 소통하라
많은 기업에서 직원들은 보안에 대한 지식이 부족하다. 치클로는 "사이버보안 위험에 대한 동료들의 일반적인 인식은 매우 기초적이며 종종 순진한 상태이기도 하다"라고 지적했다. 하지만 모든 부서, 특히 IT 부서를 포함한 교육을 통해 이 문제는 개선될 수 있다. 그는 "교육에 많은 노력이 필요하다"라고 말했다.
교육뿐만 아니라 협력적인 환경도 중요하다. CISO는 파트너십을 구축하는 데 집중해야 하며, 실수를 지적하는 것이 아니라 도움을 주는 존재로 인식되어야 한다.
치클로는 "IT 동료들에게 가능한 한 많은 사이버 보안 책임을 부여하라"라며 "보안은 기본적으로 그리고 설계에 포함되어야 한다. 운영하는 사람이 처음부터 보안을 책임져야 한다"라고 말했다.
9. 직장에 컵케이크를 가져가자
사실 CISO는 사무실에서 가장 호감이 가는 사람이 아니다. 때로는 엄격한 보안 조치를 시행하기 때문에 모든 사람의 삶을 다소 어렵게 만들기도 한다. 리는 "우리는 종종 불편한 진실과 나쁜 소식을 전하는 역할을 맡으며, CISO가 시행하는 통제는 자주 마찰의 원인으로 인식된다"라고 언급했다.
매주 금요일에 직장에 컵케이크를 가져가는 것은 현실적으로 어려울 수 있지만, 다른 팀과 연결하고 의미 있는 관계를 형성하는 것은 큰 도움이 된다. 여기서 목표는 적이 아닌 신뢰받는 파트너로 인식되는 것이다. 구트만은 이를 두고 "권력이 아니라 영향력이 중요하다. CISO는 당근보다 채찍이 더 효과적이라고 생각하는 실수를 자주 저지른다"라고 설명했다.
그렇기 때문에 적극적으로 나서서 동료들과 관계를 구축하는 것이 큰 도움이 된다. 브리튼은 "동료에게 무언가가 필요할 때만 관여하는 것이 아니라 개인적인 차원에서 그들의 필요와 어려움을 이해해야 한다"라며 "이러한 신뢰의 토대는 지원이 필요하거나 저항에 부딪혔을 때 귀중한 자산이 될 것"이라고 표현했다.
보안과 관련된 불편한 결정을 전달할 때 가장 좋은 방법은 모든 이해관계자를 초기에 논의 테이블에 초대하고, 그 결정의 이유를 충분히 이해시키는 것이다. 리는 "사람들은 변화의 이유를 이해하고, 자신이 그 결정 과정에 참여했다고 느낄 때 변화를 훨씬 더 수용한다"라며 "CISO라는 직함 자체만으로 권위가 생기는 것은 아니다. 이를 현명하게 활용해 존중과 연결을 구축해야 보안 측면에서 실질적인 변화를 이끌어낼 수 있다"라고 밝혔다.
10. 가족을 우선시하라
우리의 직업이 우리의 정체성을 정의할 수 있지만, 삶에는 그 이상의 것이 있다는 것을 꼭 기억하자. 구트만은 할로윈 퍼레이드에 참가한 딸을 보지 못한 것을 후회한다. 당시 구트만은 집에 가는 길에 상사의 전화를 받아 한참을 통화해야 했다. 그는 "친구가 딸의 사진을 찍어줬는데, 딸은 눈물을 흘리고 있었다"라고 말했다. 이후 구트만은 그 사진을 사무실에 늘 두고 있다.
구트만은 팀원이 병원 방문, 축구 경기 또는 학교 약속을 위해 휴가를 요청할 때면 그때 울던 딸의 사진을 보여준다. 일은 나중에 해도 된다는 것을 부드럽게 알려주기 위함이다.
ciokr@idg.co.kr