칼럼 | CISO여, 멘토가 되어서 사이버 보안을 강화하자

멘토링을 주고받는 커뮤니티에서 CISO는 더욱 성장할 수 있다. 그런 커뮤니티 속에서 사이버 산업 전체는 도움받을 수 있다. 이때 커뮤니티를 만드는 방법은 간단하다. 문제가 있으면 연락하자. 누군가 연락이 왔다면 전화를 받으면 된다.
 

사이버 보안 업계에 오래 종사한 사람이라면 기업 데이터의 보안 유지 등을 담당하는 팀을 이끄는 최고 정보 보안 책임자(CISO)의 역할이 얼마나 중요한지 잘 알고 있을 것이다. 하지만 이제 막 부임한 CISO와 베테랑 CISO 모두 여러 가지 이유로 무인도에 고립된 것처럼 느낄 때가 있다. 

특히 새로운 CISO라면 새로운 역할에 익숙하지 않고 책임감에 적응하는 중일 수 있다. 당연히 책임감도 커질 수 있습니다. 익숙하지 않은 상황이 닥쳤을 때 지식과 관점을 빠르게 습득해야 하는 경우도 있다. 바로 이런 부분 때문에 멘토와 멘토링이 중요한 역할을 한다. 그렇다면 보안 업계에서 멘토링은 어떤 모습을 하고 있을까? CISO는 멘토링에 얼마나 익숙한 상황일까?

CISO 사이에서 새로운 바람이 불고 있다
CISO에게 멘토링이 필요하는 주장은 2022년 말 조 설리반에 의해 주도되었다. 개인적인 책임이 중요해지면서 CISO들은 큰 변화를 겪고 있기 때문이다. 최근 설리반은 최근 CSO와의 인터뷰를 통해 “보안 커뮤니티를 통해 우리가 달성하고자 하는 목표는 보안 리더가 기업 경영진으로부터 더 큰 권한과 더 많은 자원을 제공받으며 더 많은 일을 추진할 수 있도록 하는 것이다”라고 밝혔다. 

당시 취재를 주도했던 CSO 기자 뎁 래드클리프는 “설리반은 자신의 사례를 활용하여 보안 리더들로 하여금 서로 협력하고 정부 당국과 함께 보고 규칙과 책임을 명확히 하고 최종적으로 국가 데이터 유출 및 보고법의 초안을 작성하고 싶어한다”라고 밝혔다. 다시 말해 CISO에게 지원을 추가하며 CISO를 이사회 임원으로 육성하면서 보안과 경영진 사이에서 투명성을 증진시키자는 것이다. 

필자는 사이버 보안 컨퍼런스인 RSW 2023에서 이런 멘토링에 대한 조사를 본격 시작하고 몇 개월간 투자를 했다. RSA에서 필자가 만난 보안 기업 아르미스(Armis)의 CISO 커티스 심슨은 “CISO가 동료와의 모든 교류를 배우고 자신감을 쌓을 기회로 활용해야 한다”라며 “커뮤니티 행사가 지식을 공유하고 획득하는 훌륭한 수단이다”라고 설명했다.

교류와 교육은 리더십 지원에 도움이 될 수 있다
심슨은 컨퍼런스 등을 통해 기꺼이 정보를 공유하는 사람들의 효과에 대해 이야기한 일화를 공유해주었다. 심슨은 “코로나 19가 유행하기 3년 전 나는 온라인 컨퍼런스에서 발표를 진행했다. 최근 그때 만났던 사람이 실질적인 업무와 관련해서 도와 달라고 연락을 해왔다”라며 “이를 통해 즉각적으로 측정할 수 없는 방법으로도 커뮤니티에 영향을 미칠 수 있다는 점을 다시 한번 깨달았다”라고 말했다.

다시 말해 이런 요청은 공유한 것에 대한 보상으로 돌아온다. 심슨은 막히거나 새로운 관점이 필요한 사람은 경험이 더 많은 사람들에게 연락하고 소통하며 무엇보다도 질문을 하는 것에 대해 두려워하지 말라고 조언했다. 

가는 것이 있으면 오는 것이 있다. 전화를 받으라
다음은 보안 솔루션 업체 라피드7(Rapid7)의 수석 과학자이자 필자의 멘토인 라즈 사마니와 관련된 이야기다. 사마니는 17년 이상 나에게 통찰을 제공했다. 그는 “신뢰할 수 있는 자문가를 찾으라. 궁극적으로 CISO는 일상적인 결정에 휘둘리지 말고 전략적으로 생각해야 한다. 기업을 위한 위험 책임 모델을 개발하고 청렴하고 신뢰할 수 있는 사람을 찾으라”라고 조언했다.

사마니는 “나한테 왜 연락을 했을까라며 동기를 의심할 수도 있다. 나도 그런 생각을 해봤다”라며 “하지만 모든 통화가 영업 통화일 필요는 없다. 교류하고 배우며 공유하라. 나는 상황과 전략에 관해 논의하기 위해 멘토들에게 연락하여 도움을 요청했다. 동료가 전화하면 전화를 받고 조언을 하라. 결국 우리는 모두 동일한 일련의 위험이 현실이 되는 것을 막으려 노력하고 있는 것이다”라고 말했다.

데이터 센터 및 클라우드 컴퓨팅 보안 기업 일루미오(Illumio)의 CTO 개리 바렛은 “보안은 특히 부담이 높고 빠르게 발전하는 분야일 수 있으며, 그래서 좋은 멘토십 커뮤니티가 놀랍도록 중요하다. 멘토를 확보하는 것(그리고 스스로 멘토가 되는 것)이 중요하다는 데는 이견이 없다. 멘토 또는 멘티를 찾기 위해 CISO와 CIO는 보안 전문가를 위한 네트워킹 그룹, 조직 내의 경영진, 친구의 친구를 찾아갈 수 있다. 나는 직업생활 중 다양한 시점에 다양한 멘토가 필요했으며, 때로는 최고의 멘토들이 유기적으로 생겨났다”라고 말했다.

멘토십은 사이버 보안에 있어서 중요한 도구이다
바렛은 같은 동료 그룹에 속한 비즈니스 및 조직 리더들 사이에서 멘토십이 더 많았으면 좋겠다고 말했다. 바렛은 “그렇게 함으로써 보안 리더들은 목표를 달성하고 얻기 위해 노력하는 탄력성을 구축할 수 있게 될 것이다. 보안팀들이 성공하려면 조직 전체와 특히 경영진이 참여해야 하며, 이는 상호 존중과 해당 기능에 대한 탄탄한 이해로부터 시작된다”라고 설명했다. 

사이버보안 관리 솔루션 업체 인버전6(Inversion6)의 CISO 크레이그 벌랜드는 “사이버 보안 분야의 멘토십은 개인 및 조직의 성숙 측면에서 모두 중요한 도구이다. 시련을 겪은 CISO는 랜섬웨어 복원부터 다루기 힘든 CFO를 다루는 것까지 모든 것에 관해 공유할 상당한 지혜가 있다”라고 말했다.

하지만 벌랜드는 조직의 멘토십에 해결해야 할 문제가 여전히 존재한다고 경고했다. 벌랜드는 “첫번째는 사람이다. 좋은 멘토를 찾는 것은 매우 천천히 일어나며 개인적인 프로세스이다. 성격은 명확해야 하고 직업생활 경력은 상호 보완적이어야 한다. 두번째 문제는 기밀성이다. CISO가 안내가 필요한 많은 상황이 매우 비밀스럽고 빠르게 진행된다”라고 설명했다. 

동료 간 교류는 사이버 보안에 좋다
사이버 보호 솔루션 업체인 애크로니스(Acronis)의 사이버 보호 및 조하 부사장 캔디드 웨스트는 CISO가 CEO의 도움을 받아 점차 커지는 경영 책임을 포용해야 한다고 설명했다. 그는 “결국 보안을 유도하고 비즈니스 요구를 일치시킬 때 저항이 감소하게 된다”라고 지적했다.

웨스트는 “고위 임원 수준에서의 교류와 동료 간 멘토링은 임원들의 보안에 대한 가시성 및 인식을 높여주고 사이버 보안이 더 이상 IT 주제가 아니라 모든 부서 및 모든 결정과 관련되어 있다는 사실을 알려준다”라고 설명했다.

HBR(Harvard Business Review)는 최근 사회적 자본이 일련의 다양한 개인을 연합시켜 ‘협업, 이해, 리소스의 교환을 촉구’하는 ‘브릿지 멘토십’에 대한 필요성을 강조했다. 신뢰와 기밀성에 대해 벌랜드는 멘토십이 분명 긍정적인 역할을 하지만 멘토십을 제공하는 사람들이 신뢰할 만하고 진실한 사람들이어야 한다고 말했다.

쉽게 말해, 멘토십은 더욱 강력한 CISO 커뮤니티를 완성시킨다.
ciokr@idg.co.kr