Offcanvas

CSO / 경력관리 / 보안

기고 | ‘스타 CISO’ 되고 싶다면 엔지니어링 마인드셋 벗어나야

2022.10.13 Deb Radcliff  |  CSO
일반적인 CISO는 뛰어난 기술 및 보안 전문가다. 하지만 임원 레벨에서 최고의 연봉을 받으며 활동하는 스타 CISO는 더 이상 엔지니어가 아니다. 
 
ⓒShutterstock

영국 소재 검색 회사인 인타소(Intaso)의 CISO 검색 책임자 조 헤드는 몇 년 전 터무니없는 CISO 채용 공고를 하나 봤다. 파이썬 코딩 역량이 기재돼 있었는데, 이는 CISO 역할과 전혀 상관이 없었기 때문이다. 이 공고는 아마 기술에 대해 잘 모르는 사업, HR 담당자가 작성했으리라. 헤드를 비롯한 다른 전문가에 따르면 임원 레벨에서 CISO의 역할은 비즈니스가 대부분을 차지한다. 물론 대부분 CISO가 기술자 출신이므로 기술에 해박하지만, CISO라는 직책은 또 다른 얘기다. 

임원 채용 업체 "Heidrick & Strongs"의 2022년 CISO 설문조사에서 대부분의 CISO는 기술자 출신이었다. (예를 들어, 2022년 CISO의 10%는 소프트웨어 공급망을 보호하기 위한 백악관의 지침에 따라 추적하는 소프트웨어 엔지니어링 배경에서 나왔다.) 보고서는 CISO의 대다수가 금융 서비스 산업에서 경험이 있다고 지적한다. 금융 서비스 산업은 위험 감수성이 낮고 보안에 더 많은 돈을 쓰는 곳이다.

또한 이 설문조사에 따르면 CISO 중 소수만이 각종 비즈니스 및 기술 역량을 모두 갖춰 임원급에 오른다고 한다. 이 조사에서 응답한 CISO의 3분의 2 이상이 7,125.95억 달러(50억 달러) 이상의 기업에서 일하고 있었다. 즉 훌륭한 CISO는 뛰어난 기술자가 아니라 비즈니스 역량을 갖춘 기술자라고 할 수 있다. 
 

믹스 앤 매치 

가상 CISO 고문이자 Fortune 50대 기업의 전 CISO인 르네 구트만은 “CISO에 얼마나 높은 수준의 기술적 역량이 필요한지는 정해져 있지 않다. 내 생각에 CISO는 새로운 기술과 공급업체에 대해 빠삭해야 한다. 그리고 기술 프로젝트를 구현하는 데 있어 기업 보안에 지장이 없도록 보장할 수 있어야 한다”라고 말했다. 

대부분 CISO는 기술자 출신이므로 이해관계자 및 CEO, VC 기업, 외부 투자자, 규제 기관 등과 매끄럽게 소통할 수 있는 비즈니스 역량을 갖추는 것이 더 중요하다. “기술적 역량을 말할 것도 없다. 하지만 CISO라면 다양한 사람과 대화하고 비즈니스 운영 방식을 이해해야 한다”라고 헤드는 말했다. 

영국의 사이버보안 업계는 미국에 비하면 덜 성숙한 편이다. 헤드는 임원급 CISO에서 필요한 기술적, 비즈니스적 역량을 두루 갖춘 인재를 찾는 것이 매우 어렵다고 말했다. 대부분의 보안관리자는 "영예의 엔지니어"에 더 가깝다. 헤드는 CISO 후보자들의 비즈니스 지식을 향상시키기 위해 노력해 왔으며, "내가 본 가장 성공적인 사람들은 더 많은 비즈니스 교육을 위해 학교로 돌아가 비즈니스 기술을 쌓고 있는 IT 전문가들이다"라고 덧붙였다.

한 예로 팔로알토 네트웍스의 사업부인 프리스마 클라우드(Prisma Cloud)에서 CSO를 맡고 있는 밥 웨스트가 있다. 1980년대 후반, 그는 씨티코프에서 선임 시스템 임원으로 일했다. 그 후, 동료들로부터 비즈니스 기술의 가치를 배웠고, 1990년대에 정보 시스템 관리 분야에서 석사 학위를 받아 JP Morgan에서 보안 설계자로 시작했다. 그 후 그는 뱅크원 리테일 그룹의 CISO로 성장했다. 그 후, 그는 피프스서드(Fifth Third) 은행의 기업 CISO가 됐다. 

CISO에게 기술적인 것은 다소 중요한다. 웨스는 "하지만 더 중요한 것은 확고한 리더가 되는 것과 리더십 팀의 일원으로 팀을 이끌 수 있는 능력이다. 보안 전략을 적절하게 조정하려면 비즈니스의 방향을 파악하는 것이 중요한다. 나머지 리더십 팀과의 관계를 수립하고 관리하는 것도 중요한다. 그리고 모든 분야의 기술에 정통하지 않다면 적어도 누구에게 물어봐야 하는지 알아야 한다"라고 말했다. 
 

CISO 지망생: 챔피언을 찾아라, 챔피언이 되어라

웨스트는 비즈니스 측면과 아울러 IT 팀과 소통할 수 있는 동료나 리더를 찾는 것이 좋다고 전했다. 예를 들어, 그는 그가 멘토로 여겼던 상사를 예시로 들었다. 그는 검증된 기술 리더였지만 보안 전문가는 아니었다. 하지만 그는 아무도 건드릴 엄두를 내지 못했던 보안 프로그램을 고칠 수 있었다. 웨스트는 그 당시 그의 멘토가 성공한 원인은 리더십과 이사회와 잘 소통한 덕분이라고 생각한다고 말했다. "그 상사가 나를 고용했을 때, 그는 '좋은 이야기를 하는 법을 알고 청중을 알아라'라고 말했다. 그는 “이사진과 소통하는 것과 내부 CIO 혹은 감사에서 발표하는 것은 전혀 다르다”라고 강조했다. 

의사소통은 적극적인 경청으로부터 시작된다고 Syntax2Semantics LLC 컨설턴트 바바라 필킨스는 말했다. 필킨스 또한 기술자로 커리어를 시작했다. 그리고 그녀는 SANS Technology Institute에서 정보 보안 관리 석사 학위를 취득하면서 의료 제공자와 거래소를 위한 C-레벨 컨설팅에까지 진출했다. 그녀는 경청은 더 나은 의사소통을 유도하고, 가장 중요한 것은 의료, 항공, 수도 관리 등 보호되는 영역의 측면에서 무엇을 다루어야 하는지 이해하는 것이라고 말했다. 필킨스는 이 모든 분야에서 일해왔다.

"CISO가 기술 직원들과 소통하고 신뢰를 얻을 수 있도록 기술적 측면을 이해해야 하기 때문에 CISO로서 성공하는 것은 정말 균형 잡힌 행동이다. 또한 비용 정당성, 리스크 관리 및 이와 같은 유형의 문제와 같이 조직이 직면한 프로그램 및 비즈니스 문제를 해결해야 한다. 기술적으로 숙련된 모든 사람이 자신의 전문 지식과 비즈니스 요구에 맞는 위치를 전달할 수 있는 것은 아닙니다."라고 그녀는 설명한다.
 

스타 CISO가 되는 여러 가지 방법 

CISO 역할이 백오피스 기능에서 진정한 C-suite 리더이자 비즈니스 지원자로 격상된 것은 최근 몇 년뿐이라고 임원 채용 회사 알타 어소시에트(Alta Associates)의 글로벌 사이버 보안 실무 리더인 조이스 브로칼리가 말했다. CISO의 역할과 직무 요건이 적절히 갖춰지더라도 여전히 ‘완벽한(one-size-fits-all)’ CISO를 기대하지는 말라고 그는 조언했다. 같은 CISO 직책이라도 회사에 따라 할, 책임, 보고 구조, 직원 수, 부서의 성숙도, 지원 문화, 전반적인 성공 척도는 모두 다를 수 있다고 그는 설명했다. 

브로칼리는 “적절한 기술 혹은 관리 역량을 갖추고 있지 않을 수 있어 CISO 채용은 언제나 어려운 일이다”라며 “때때로 기술적 역량이 뛰어난 CIO는 이에 맞게 기술 역량을 더 중시한다. 또 어떨 때 채용 담장자나 주요 이해관계자는 정확히 어떤 역량을 갖춘 직원을 모색하고 있는지 정확히 모른다”라고 말했다. 

포춘지에 따르면, 실제 경영진에서 활동하는 CISO는 1425.19파운드(약 1억 원)의 급여 패키지 및 그 이상을 받을 정도로 희귀하다고 한다. 구트만은 스타 CISO가 되고자 하는 사람이라면 비즈니스 교육에 적극적으로 참여하고, 업계 행사에 참여하고, 현지 네트워킹 기회가 있을 때마다 참여하라고 조언했다. 

그는 “비즈니스 문화, 비즈니스에 대한 위협, 제품 파일럿을 위한 적절한 기준을 만드는 방법, 구현 시간, 시스템 종속성 및 장기적인 운영 요구 사항을 이해하는 것을 목표로 하는 CISO만 해도 귀하다"라며 "그러나 이 데이터를 이해관계자와 임원을 위해 잘 풀어서 설명할 수 있으며 지원과 자금을 얻을 수 있는 CISO는 다이아몬드급으로 귀하다”라고 말했다.

*데브 래드클리프는 컴퓨터 범죄와 보안을 주로 다루는 수사 저널리스트이자 분석가이다. 그녀는 인기 있는 사이버 스릴러 시리즈 "브레이킹 백본"의 작가다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.