Offcanvas
48
%
자료 제목 :
2021 사이버 보안 현황
Navigating the 2021 Cyberthreat Landscape
자료 출처 :
ISACA
원본자료 다운로드
발행 날짜 :
2021년 07월 27일

CIO / 리더십|조직관리 / 보안 / 비즈니스|경제

보안 앞에선 '공동 운명체'··· CIO-CISO의 새 책임 역학

2021.09.23 Michael Hill  |  CSO
CISO와 CIO는 비즈니스 환경과 위협 지형의 변화에 따라 사이버 보안의 책임 소재가 어떻게 변화하고 있는지 파악해야 한다. 

대부분의 기업에서 일반적으로 CISO와 CIO는 모두 사이버 보안과 관련된 책임을 진다. 오늘날 사이버 보안은 효과적인 비즈니스 운영에 중요한 문제다. 명확하게 정의된 사이버 보안 책임은 성공적인 기업 보안 포지셔닝에 필수적이다.

ISACA가 최근 3,700명의 글로벌 사이버 보안 전문가를 대상으로 실시한 설문조사 결과에 따르면 사이버 보안팀의 절반가량(48%)이 CISO에 보고하는 반면에 4명 중 1명은 CIO에 보고하는 것으로 나타났다. 
 
ⓒGetty Images

이러한 보고 관계의 차이에도 불구하고 해당 설문조사에서는 사이버 공격 증가 또는 감소에 대한 견해, 사이버 위협 탐지 및 대응 능력, 사이버 범죄 보고와 관련된 CISO와 CIO 간 보안 책임에 큰 차이가 없는 것으로 드러났다. 

하지만 보고서는 사이버 위험 평가에 대한 경영진의 평가, 이사회의 사이버 보안 우선순위 결정 방식, 전략적 정렬과 관련된 변화를 발견했다고 밝혔다. 

이 밖에 보고서는 특히 CISO의 책임 범위에 거버넌스, 위험, 컴플라이언스, 비즈니스 연속성 및 재해 복구, 사기, 신뢰, 안전 또는 위기관리가 포함되는 경우 CISO가 CIO 이외의 다른 사람에게 보고하는 업계 관행도 증가하고 있다고 전했다. 

사이버 보안의 책임 소재는 기업의 규모, 산업 부문, 규제 요건 등 여러 이유로 인해 CIO와 CISO에 따라 다를 수 있다. 하지만 사이버 보안이 광범위한 비즈니스 요소와 점차 밀접하게 연결되면서 누가 어떤 유형의 사이버 보안 책임을 담당하는지 갈수록 중요해지고 있다. 

사이버 보안 책임: CISO vs. CIO
라이티코(Lightico)의 CIO 오므리 브라운은 CIO와 CISO의 사이버 보안 책임 소재 간의 차이를 두고 “CIO는 적절한 도구를 사용하도록 하는 데 중점을 둔다. 효율성을 극대화하고, 기업에 영향을 미치는 트렌드를 식별하며, 더 나은 기술을 사용하고 개발할 기회를 찾기 위해서다. CISO는 데이터 보안, 무결성 등이 사전에 보호되도록 할 책임을 진다”라고 설명했다. 

오렌지 사이버디펜스(Orange Cyberdefense)의 글로벌 CISO 리차드 존스도 이에 동의하면서, “일반적으로 CISO의 역할은 운영 관점에서 보안을 살펴보고 사이버 위협으로부터 기업을 보호하는 것이다. 반면에 CIO는 기업의 광범위한 기술 스택과 진행 중인 디지털 전환 프로젝트에 계획적으로 보안을 포함해 회복 탄력성을 높이고 사용자 경험을 향상시키며 효율성을 극대화하는 데 주력한다”라고 말했다.

사이버 보안 아키텍트 티 파텔에 의하면 CIO는 보안 ROI 측면에서 ‘기본 방침을 준수’해야 하지만 CISO는 조직 자체를 보호하는 데 초점을 맞춰 독립적이어야 한다. 그는 “CIO가 수익을 내고 목표를 달성해야 한다면 CISO는 보안을 유지해야 한다. 이것이 오늘날 CIO와 CISO의 눈에 띄는 차이점이다”라고 전했다.

이런 차이는 미묘할 수 있다. CIIS(Chartered Institute of Information Security)의 CEO 아만다 핀치는 책임의 차이는 데이터에 관한 각 역할의 태도로 잘 요약될 수 있다고 언급했다. 

사이버 보안 분야 국제인증기관 크레스트(CREST)의 대표 이안 글로버는 보안 관점에서 CISO와 CIO의 역할을 완전히 분리하는 것이 갈수록 어려워지고 있다고 밝혔다. 대부분의 조직에서 (역할이) 너무 밀접하게 연결돼 있기 때문이라는 설명이다. 

‘CISO’의 책임
줌(Zoom)의 CISO 제이슨 리는 주로 고객 데이터, 직원 데이터, 소스 코드 등의 중요한 정보를 보호하는 데 초점을 맞추고 있다고 말했다. 그는 “보안에서는 더 큰 그림을 고려하는 게 중요하다. 여기에는 비즈니스와 관련된 제3자를 살펴보고 적절한 위험 관리 방법을 평가하는 것이 포함된다. 또 직원들이 보안 위협에 대비하고 보호받을 수 있도록 대비해야 하는 책임이 있다”라고 덧붙였다. 

HP의 CISO 조안나 버키는 하이브리드 근무를 탐색하는 것이 현재 보안에 있어서 가장 중요한 부분이라고 언급했다. 그는 “지난 18개월 동안의 원격/재택근무 모델에서 전통적인 온프레미스 인프라의 보호 없이 업무가 수행됐기 때문에 사이버 보안 측면에서 직원에게 더 많은 제약을 추가하기 쉬웠다”라면서, “하지만 이러한 보안 정책 및 제약은 원격근무가 (표준이 아니라) 예외적인 경우에 맞춰 고안됐고 새로운 관점에서 살펴볼 필요가 있다”라고 말했다. 

이어서 그는 “이제 CISO는 위험을 완화하기 위한 다른 접근법이 계속해서 기업을 보호할 수 있는지 고려해야 한다. 한편으론 실제 상황(특히 글로벌 팬데믹 상황)에서는 정책이 항상 준수되지 않을 수 있다는 점을 인정해야 한다”라고 전했다. 

존스는 역동적인 사이버 위협 환경과 증가하는 디지털 트랜스포메이션의 결합에 따른 과부화를 관리하는 것이 오늘날 CISO의 또 다른 중요한 역할이라고 밝혔다. 

그는 “이제 사이버 보안은 기업 운영의 모든 측면에 적용돼야 한다. CEO부터 신입사원까지 모두가 이를 먼저 고려해야 한다”라며, “따라서 CISO는 처음부터 기업의 디지털 환경의 모든 측면에 보안을 포함시켜야 한다. 디지털 프로젝트의 시작부터 보안이 철저하게 적용돼 궁극적으로 보안팀이 직면하는 경고의 양을 줄이고 기술과 리소스를 효율적으로 사용할 수 있도록 해야 한다”라고 설명했다. 

‘CIO’의 책임 
CISO는 일반적인 사이버 보안 및 향후 (사이버 보안) 계획을 책임지고 있지만 대부분의 조직에서 이 책임은 (CEO와 이사회에 보고하는) CIO에게 있는 경우가 많다고 핀치는 말했다. 그는 “결과적으로 CIO는 모든 책임을 CISO에게 맡길 수 없다. 대신에 보안 전략을 지속적으로 파악하고 기업의 전반적인 전략이 위험에 빠지지 않도록 해야 한다”라고 전했다. 

테너블(Tenable)의 CIO 브래드 폴라드는 CIO가 프로젝트의 가용성, 성과, 예산, 적시 제공 측면에서 일련의 보안 책임이 있다고 언급했다. 그는 “CIO가 기업 내의 모든 사업부를 지원한다. 그 과정에서 각 사업부의 정보 보안 요건을 받는다”라고 덧붙였다. 

예를 들어 CISO는 취약점 해결 또는 액세스 관리 서비스 수준 협약(SLA) 등의 보안 매개변수를 정의할 책임이 있을 수 있지만 기업의 모든 기술에 걸쳐 모든 사업부에 대해 이러한 요건을 제공하는 건 CIO의 몫이라고 폴르드는 말했다. 

그는 “현재 CIO가 직면하고 있는 주된 사이버 보안 과제는 보안 환경을 유지하는 가운데 특히 예산과 일정을 준수하면서 비즈니스 요구사항을 충족하는 것이다”라고 전했다. 

에식스대학교(University of Essex)의 CIO 조츠 셈비는 CIO의 역할이 단순히 기존 운영 방식을 실행하는 것에서 그치지 않는다고 지적했다. 기업에 디지털 역량을 제공하기 위한 새로운 기술 구현을 점점 더 포괄한다는 게 그의 설명이다. 

셈비는 “이러한 기술 중 일부(예: RPA, AI, IoT 등)는 기업에 새로운 것일 수 있다. 이에 따라 데이터 구성 방식 등의 잠재적 위험을 일으킬 수 있다. 따라서 CIO는 새로운 기술의 사이버 보안 트렌드를 확실하게 파악할 책임이 있다”라고 권고했다. 

갈등과 협업
브라운은 현실을 감안할 때 CISO와 CIO의 서로 다른 사이버 보안 책임 소재와 목표가 갈등을 초래할 수 있다고 말했다. 그는 “하지만 기업, (자사) 데이터 또는 고객 데이터를 위험에 빠뜨리지 않는 발전된 기술이 사용되도록 하기 위해 (CISO와 CIO는) 협업해야 한다”라고 조언했다.

다시 말해, CIO와 CISO는 서로를 분리해서 생각해서는 안 되며 목표가 다를 순 있지만 같은 길을 걷고 있다는 사실을 이해해야 한다고 존스는 강조했다. 

이어서 그는 “이 두 역할 사이의 협업과 커뮤니케이션은 중요하다. CISO와 CIO는 SD-WAN, SASE, 제로 트러스트 등의 기술과 접근법을 활용하여 새로운 업무 방식의 유용성을 저해하지 않으면서 (이 방식이) 안전하고 효율적일 수 있도록 협력해야 한다. 또 함께 일하는 CISO와 CIO는 상대방의 제약을 인지하고 이를 준수해야 한다”라고 덧붙였다.

글로버는 여기서 작용하는 규제 문제를 언급하면서, “동일한 규제를 받는 산업의 CIO와 CISO 간 협업이 강화돼야 한다. 규제 당국은 옳다고 생각하는 일을 하겠지만 지역적인 관점에서 문제를 보는 경우가 많다. 이러한 유형의 능동적인 협업은 CIO와 CISO의 기존 역할과는 매우 다르지만 신중하고 협력적으로 수행되는 경우 비용을 절감하고, 보고보다는 관리에 더 많은 리소스를 집중할 수 있으며, (비즈니스에 관한 이해와 비용 절감 및 효율성 증대를 입증함으로써) 조직 내 입지를 높일 수 있다”라고 설명했다.  

리에 따르면 비즈니스 운영에서 사이버 보안 역할이 중요해짐에 따라 CIO와 CISO 사이의 협력 역학이 변화하고 있다. 그는 줌에서 이를 직접 경험했다고 덧붙였다. 

리는 “줌에서 (CIO와 CISO는) 사이버 보안 우선순위를 정하고 증가하는 위협에 맞서 싸워야 한다. 어떤 결정을 내릴 때 보안을 가장 우선적으로 고려해야 한다. 서로의 전략과 핵심 이니셔티브에 지속적으로 참여하는 게 중요하다. 즉, CIO와 CISO의 역할이 예전보다 훨씬 더 연계돼 협업이 무엇보다 중요하다”라고 전했다. 

사이버 보안 책임의 미래
전문가들은 앞으로 CISO와 CIO의 사이버 보안 책임이 눈에 띄게 진전할 것으로 예상했다. 핀치는 “CIO와 CISO가 협력하여 법률, 의학, 회계처럼 보안을 표준, 행동, 실행의 일관성을 갖춘 신뢰받는 소스로 만들고 책임을 공동 부담할 것이다”고 말했다.

제트스케일러(Zscaler)의 CISO 마크 뤽은 CIO가 몇 년 안에 흥미로운 사이버 보안 여정을 겪게 될 것이라고 진단했다. 그는 “CIO라는 역할과 CIO 개인이 서로 다른 2개의 필수 서비스와 매우 다른 비용 및 수익 모델의 균형을 맞추는 데 능숙해지거나, 아니면 CIO는 (더 이상 CIO에게 보고하지 않는) CISO가 관리하고 실행하는 보안의 IT 제공을 책임지게 될 것이다. 두 모델이 모두 존재할 것이고, 적절한 사람이 역할을 담당한다면 둘 다 성공할 것이다. 사이버 보안은 효율성 및 비용 절감 기술만큼이나 CIO에게 중요해질 전망이다”라고 말했다.

폴라드는 오늘날 사업부가 SaaS 플랫폼을 통해 전통적인 IT 책임을 맡은 것과 마찬가지로 CIO가 사업부 내에서 보안 전문가를 찾는 데 더 많은 책임을 져야 한다고 덧붙였다. 그는 “이 보안 전문가는 사용되는 특정 기술을 보호하는 방법을 알아야 할 뿐만 아니라 특정 사업부에 위험이 되는 위협에 관한 상황 인식을 필요로 한다”라고 설명했다. 

글로버는 CIO와 CISO의 공동 책임이 서드파티 협력 및 인수합병으로 달라질 것이라고 내다봤다. 이에 따라 (CIO와 CISO는) 보안을 강화하는 유의미한 프로세스를 구축하기 위해 협력해야 한다고 권고했다. 그는 “CIO와 CISO가 협력하여 기업 내에서 주요 이니셔티브에 참여하고, 서드파티 협력 및 인수합병에 관해 합리적으로 심사숙고한 성명을 발표할 힘과 권한을 갖게 될 것”이라고 전했다. ciokr@idg.co.kr

 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.