정직이 최선책일 수 있다. 하지만 CISO가 경영 회의에서 보안 상황에 대해 사실을 보고할 때 몇 가지 주의사항이 있다.
이미지 출처 : Tim Green
한 대형 제조기업의 CISO가 지난해 이사회에 참석해 보안 문제에 관한 프레젠테이션을 진행했다. 그리고 그날 이후 며칠 동안 그는 “이제 회사를 그만둬야 하나?”라는 걱정에 많은 밤 잠을 설쳐야 했다.
당시 그는 CISO 직을 맡은 지 1년 여가 지난 시점이었고, 이사회 회의 참석 전까진 자신의 행동이 적절한 것이라 생각했다. 그가 진행한 프레젠테이션의 내용은, 자사 정보보안 활동의 문제들을 정말 솔직하게 설명하는 것이었다.
그는 “그들이 내게 원하는 것은 ‘걱정 마세요. 제가 다 해결할 수 있습니다’라는 확신이었던 것 같다. 우리 기업은 보안에 관심도, 관련 자원도 별로 없는 그리 성숙하지 못한 곳이었다”라고 당시를 회상했다.
교훈 1. 솔직함과 더불어 요령도 필요하다
그가 저지른 두 번째 실수는(지금은 그 자신도 그것이 실수였음을 잘 알고 있지만) 상황 판단에 이어 곧바로 “하지만 제겐 이 문제를 해결할 계획이 있습니다”라는 말을 덧붙이며 계획을 설명한 것이었다. 이후 실제로 문제는 해결됐지만, 이사회가 기대한 것만큼 신속하게는 아니었다. 그는 “이사회가 내게 만족하지 않았다는 것을 직감으로 알 수 있었다”고 말했다. 그리고 그의 예상대로 그는 같은 해 9월 해임 조치됐다.
교훈 2. 언제나 해결책을 준비해둬야 한다
이사회와의 긴장 속에서 CISO가 배울 수 있는 교훈은 이 뿐만이 아니다. 타깃, 소니, JP 모건 체이스 등 주요 기업들의 보안 유출 사고가 보도된 이후 연방 규제 당국의 압박 수준도 한 층 강화됐고, 이는 사고 발생 시 실질적인 책임자의 위치에 놓이는 의사결정권자들에겐 견디기 힘든 부담으로 작용하고 있다.
이번 달 발간된 뉴욕증권거래소 거버넌스 서비스(NYSE Governance Services)와 베라코드(Veracode)의 공동 보고서에 따르면, 기업의 임원급 가운데 90% 가량이 사이버 유출 사고 발생 시 규제 당국(연방 거래 위원회 등)이 비즈니스에 책임을 묻는 것이 정당하다는데 동의하고 있었다. 규제 당국의 관여뿐 아니라 브랜드 가치 훼손 및 주가 하락 등의 시장 평판 역시 임원 및 관리진들에게 부담을 주는 요소였다. 포레스터 리서치의 조사에서도 보안 사고는 기업의 평판을 해치는 두 번째 요인(1위는 윤리적 이슈)으로 꼽힌 바 있다.