모두가 한다고 해서 혁신을 서둘러 받아들여야 한다고 누가 그랬는가? 때로는 새로운 기술에 제동을 거는 것이 비즈니스를 위한 최선의 방법일 수도 있다.
빠르게 움직이는 것은 바람직한 일이지만 이를 위해 보안을 희생해서는 안 된다. AI 붐으로 인해 제품팀이 경쟁사보다 먼저 제품을 시장에 출시해야 한다는 엄청난 압박을 받는 지금, CISO는 기회를 포착해 보안이 강력한 비즈니스 지원 수단임을 보여줄 수 있다.
제품의 보안은 성패를 좌우할 수 있으며, 조직의 성향에 맞게 리스크와 완화책을 조정해야 하는 CISO만큼 이를 잘 아는 사람은 없다. 특히 리스크를 완전히 이해하지 못했거나 완화책이 완전히 구현되지 않은 경우, 요즘처럼 AI 채택이 급증하는 시기에 CISO는 새로운 기술을 거부해야 할 때가 있다.
이 ‘분수령’의 시기는 과거에도 있었으며, 거기엔 기억해야 할 좋은 교훈이 있다. 클라우드와 마이그레이션이 급속도로 확장되던 10여 년 전을 생각해 보라. CISO가 클라우드를 적극적으로 차단하면 이를 우회하는 경우도 있었기에 사후에 보안을 강화해야 했고, 그 결과 이상적인 보안 태세를 갖추기 어려웠다.
그러나 클라우드의 잠재력에 눈뜨고 그 보안 이점에 대해 알게 된 CISO는 클라우드에서 구축 또는 배포되는 모든 것이 보안 표준을 충족하거나 초과하도록 비즈니스 동료를 지원할 수 있었다. 이는 보안 투자가 상당한 비즈니스 성과를 가져온다는 것을 설명해 주는 사례다.
시간이 흐르면서 CISO의 역할은 사후 대응 중심의 기술적 역할에서 비즈니스 의사 결정에 적극적으로 참여하고 CEO와 이사회에 조언하는 보안 전문가로 변해 왔다. 다시 말해 CISO가 요청에 ‘예’ 또는 ‘아니오’ 중 어떻게 답하는지에 따라 비즈니스 목표와 결과가 직접적인 영향을 받을 수 있다.
보안 부서를 ‘거절하는 부서’로 인식시키지 않기
이니셔티브를 지원하고 리스크를 효과적으로 전달하기 위해 CISO가 ‘아니오’라고 말해야 할 때도 있지만, 대화가 거기서 멈춰선 안 된다. 보안 부서가 혁신의 걸림돌, 특히 AI에 대한 수요에 있어서 ‘거절하는 부서’로 여겨져서는 안 된다.
대신 리스크를 설명하고 완화하는 책임과 함께, 비즈니스 목표를 지원하기 위해 의지할 수 있는 ‘찬성 부서’로 인식되도록 노력해야 한다. ‘아니오’라고 말하는 것과 ‘거절하는 부서’가 되는 것은 전혀 다른 문제다. 대화를 통해 인식을 바꾸면 CISO는 리스크와 관련해 회사를 교육할 수 있다.
따라서 CISO는 섀도우 IT를 발생시키거나 나중에 보안을 적용하거나 혁신을 무기한 연기하는 대신 초기 단계부터 새 혁신에 보안을 포함시킬 기회를 적극적으로 모색해야 한다.
‘아니오’를 ‘예’의 원동력으로 만들기
거절의 힘을 잘 활용하려면 CISO는 비즈니스의 요청을 몇 번이나 거절해야 하는지, 그 이유는 무엇인지, 잠재적인 시장 점유율 손실 측면에서 얼마나 비용이 발생하는지 파악해야 한다. 예를 들어 새로운 기능에 대한 요청을 뒷받침할 기술 또는 문화가 구현되지 않아 너무 위험하다는 이유로 CISO가 계속 반대했다고 가정해 보겠다.
CISO는 경영진에게 “경쟁사보다 먼저 출시해야 한다는 부담감과 800만 달러의 기회가 있다는 것은 안다. 하지만 우리에게는 X가 없기 때문에 너무 위험하다. X 없이 이 작업을 수행하면 800만 달러의 기회가 800만 달러의 책임으로 바뀔 수 있다”라고 말할 수 있다.
그 다음 CISO는 데이터를 사용해 보안이 비즈니스 지원과 어떻게 연결되는지 보여주는 비즈니스 사례를 만들 수 있다. 이와 함께 CISO가 해야 할 일은 다음과 같다.
• 모든 사람이 보안에 책임감을 갖는 보안 문화 프로그램을 조성한다. 이를 통해 회사는 모든 수준에서 보안 의식과 주인 의식을 교육해 각 직원이 리스크를 줄이는 데 역할을 다할 수 있도록 한다.
• 보안 검사 기능이 내장된 CI/CD 파이프라인을 구축하고 유지 관리하는 도구팀의 비용을 정당화한다. 그래야 개발자는 SDLC의 모든 단계에서 보안 피드백을 받고 기능에 집중할 수 있다. 보안은 제품 개발의 모든 단계에서 우선순위로 고려돼야 하며, 이는 보안이 프로세스에서 누락되지 않도록 하는 중요한 방법이다.
• 교육 프로그램을 구축하고 모든 제품 및 엔지니어링팀에 ‘보안 홍보대사’를 배치한다. 이렇게 하면 처음부터 보안 의식을 갖고 제품을 개발할 수 있으므로 향후 시간과 비용을 절약할 수 있다.
• 보안 목표를 명확하게 설정(X, Y, Z를 반드시 해야 한다)하되 유연하게 설정한다. 보안과 관련해 고려할 사항이 많으며, 사용 가능한 리소스로 우선순위를 정하고 현실적인 목표를 설정하도록 돕는 것이 CISO의 역할이다.
이런 전략이 있어야 개발자가 출시 속도와 제품 보안에 주도권을 갖게 된다. 모든 제품에 보안을 조기에 구축하면 프로덕션 출시에 있어 예상치 못한 문제가 발생하거나 심야에 급히 변경할 일을 줄일 수 있다.
또한 보안 문화가 개선되고 보안 투자가 리스크에 비례하며 경영진이 사이버 리스크를 더 잘 이해하게 되면, 향후 CISO가 거절하는 빈도를 줄이는 데 도움이 된다.
인공지능을 도입하기 위한 경쟁이 계속되면서 거절하는 것과 거절하는 부서가 되는 것을 구분하는 일이 그 어느 때보다 중요해졌다. CISO는 비즈니스 위험과 기회 측면에서 ‘아니오’를 사용해 현대 비즈니스가 요구하는 혁신의 속도를 유지하면서 보안 및 비즈니스 복원력 강화를 정당화할 기회를 얻을 수 있다.
* Clarke Rodgers는 20년 이상 보안, 리스크 및 규정 준수 역할을 수행했으며, 현재 AWS 엔터프라이즈 보안 전략가다. 그러나 본 글은 AWS의 입장이 아니다. ciokr@idg.co.kr