Offcanvas

CSO / How To / 리더십|조직관리 / 보안 / 인문학|교양 / 자기계발

'보안 위험을 최고경영진에 보고할 때' CISO가 기억해야 할 5가지

2015.11.23 Stacy Collett   |  CSO

정직이 최선책일 수 있다. 하지만 CISO가 경영 회의에서 보안 상황에 대해 사실을 보고할 때 몇 가지 주의사항이 있다.


이미지 출처 : Tim Green

한 대형 제조기업의 CISO가 지난해 이사회에 참석해 보안 문제에 관한 프레젠테이션을 진행했다. 그리고 그날 이후 며칠 동안 그는 “이제 회사를 그만둬야 하나?”라는 걱정에 많은 밤 잠을 설쳐야 했다.

당시 그는 CISO 직을 맡은 지 1년 여가 지난 시점이었고, 이사회 회의 참석 전까진 자신의 행동이 적절한 것이라 생각했다. 그가 진행한 프레젠테이션의 내용은, 자사 정보보안 활동의 문제들을 정말 솔직하게 설명하는 것이었다.

그는 “그들이 내게 원하는 것은 ‘걱정 마세요. 제가 다 해결할 수 있습니다’라는 확신이었던 것 같다. 우리 기업은 보안에 관심도, 관련 자원도 별로 없는 그리 성숙하지 못한 곳이었다”라고 당시를 회상했다.

교훈 1. 솔직함과 더불어 요령도 필요하다
그가 저지른 두 번째 실수는(지금은 그 자신도 그것이 실수였음을 잘 알고 있지만) 상황 판단에 이어 곧바로 “하지만 제겐 이 문제를 해결할 계획이 있습니다”라는 말을 덧붙이며 계획을 설명한 것이었다. 이후 실제로 문제는 해결됐지만, 이사회가 기대한 것만큼 신속하게는 아니었다. 그는 “이사회가 내게 만족하지 않았다는 것을 직감으로 알 수 있었다”고 말했다. 그리고 그의 예상대로 그는 같은 해 9월 해임 조치됐다.

교훈 2. 언제나 해결책을 준비해둬야 한다
이사회와의 긴장 속에서 CISO가 배울 수 있는 교훈은 이 뿐만이 아니다. 타깃, 소니, JP 모건 체이스 등 주요 기업들의 보안 유출 사고가 보도된 이후 연방 규제 당국의 압박 수준도 한 층 강화됐고, 이는 사고 발생 시 실질적인 책임자의 위치에 놓이는 의사결정권자들에겐 견디기 힘든 부담으로 작용하고 있다.

이번 달 발간된 뉴욕증권거래소 거버넌스 서비스(NYSE Governance Services)와 베라코드(Veracode)의 공동 보고서에 따르면, 기업의 임원급 가운데 90% 가량이 사이버 유출 사고 발생 시 규제 당국(연방 거래 위원회 등)이 비즈니스에 책임을 묻는 것이 정당하다는데 동의하고 있었다. 규제 당국의 관여뿐 아니라 브랜드 가치 훼손 및 주가 하락 등의 시장 평판 역시 임원 및 관리진들에게 부담을 주는 요소였다. 포레스터 리서치의 조사에서도 보안 사고는 기업의 평판을 해치는 두 번째 요인(1위는 윤리적 이슈)으로 꼽힌 바 있다.
 


가트너의 관리 부문 F. 크리스찬 번스는 “CISO들은 이사회와의 커뮤니케이션 방법을 조금 더 고민해 볼 필요가 있다. 보안은 더 이상 IT만이 관여하는 백 오피스 업무가 아닌, 비즈니스의 핵심 이슈로 자리 잡았다. 그러한 인식 변화에 맞춰 CISO들 역시 태도와 지향을 새로이 해야 할 것이다”라고 조언했다.

NYSE의 설문조사에 따르면, 오늘날 보안은 비즈니스 전체의 문제로 인식되고 있고 따라서 관련 문제가 발생할 경우 그 책임은 임원급 전체에게 전달되는 경우가 일반적이다. 그럼에도 CISO의 역할과 책임은 지속적으로 커져가고 있으며, 그 역할은 다른 누구도 대체하기 어려운 것이 현실이다.

(상당수 익명을 요구한) 보안 전문가들은 이사회와의 만남에서 자신들이 겪었던 일과 거기에서 배운 것들에 대한 이야기를 전해 주고 있다.

 

Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.