CISO에서 비즈니스 리더로 변신 성공… 공통점은?

옵티브(Optiv) CISO실의 정보 위험 관리 부회장 제임스 크리스티안센(왼쪽 사진)은 그 자신이 그렇게 변신한 사례라고 이야기했다. 그의 이력서에는 과거 GM의 CISO, 비자 인터내셔날(Visa International)의 정보 보안 부서 총괄이자 선임 부회장 같은 직위가 나와 있다.

그는 기술자로 경력을 시작했으며 시스템 고장의 원인을 찾기 위해 “수 천 줄의 16진법 인쇄물을 파고 또 팠다”고 회상했다.

“이후 나는 전세계 수 천명의 직원을 이끌었고 심지어 새 회사를 설립하기도 했다”고 그는 말했다. 이어서 “내가 IT에서 기술직으로 시작했다고 내 성장에 장애가 되지는 않았다”고 덧붙였다.

하지만 그는 “내 자신에게 경영 능력, 프레젠테이션 기술, 심지어 옷 입는 것 까지도 다시 배워야 했다”고 인정했다.

사이버 위험 서비스 딜로이트 어드바이저리(Deloitte Advisory)의 이사인 마이클 와야트는 사람을 한 성격에서 다른 성격으로 바꾸는 건 불가능하지만 “커뮤니케이션 방식을 ‘유연화’하는 필요에 대한 인식을 높이는 데는 큰 성공을 거두었다”고 말했다.

와야트는 딜로이트 랩이 전략가, 조언자, 보호자, 기술자라는 ‘CISO의 4가지 측면’에 초점을 맞추고 있다고 말했다.

그는 대부분의 CISO들이 가장 익숙한 보호자와 기술자 역할에 초점을 맞춘다고 말했다. 하지만 그들 대부분은 CISO가 '비즈니스 언어로 이야기하는' 능력에 대한 필요성을 다른 식으로 표현한 “핵심 커뮤니케이션 기술”의 개발을 통해 전략가와 조언자의 역할로도 성장할 수 있다고 그는 이야기했다.

쓰렛트랙의 회장 존 리옹(왼쪽 사진) 역시 많은 CISO들이 “강력한 전략 비즈니스 조언자가 될 능력이 있다”고 생각했다.

하지만 그의 회사 조사에서 찾아낸 점에 근거해 그는 “IT와 별개 영역으로서 사이버보안이 여전히 새로운 개발분야라는 이유로 때문에 CISO가 이사회에 적응하는데 어려움이 있다”고 의견을 같이 했다.

이런 시각에 베라코드(Veracode)의 공동창업자이자 CTO인 크리스 와이소팔도 동의했다. “사람은 변하고 적응할 수 있지만 CISO의 역할이 여전히 상당히 새로운 분야이고 훌륭한 CISO의 기준이 여전히 정의되는 단계”이기 때문에 “적응하는 일이 쉽지만은 않을 것”이라고 와이소팔은 이야기했다.

“만약 당신이 CEO, CFO, CMO 등 다른 최고경영진 역할들을 본다면 이들은 수십 년간 이어져왔고 이들의 성공 평가에도 규정된 경로가 있다. CISO는 생긴지 10년에서 15년정도 되었지만 몇 년 전까지만 해도 기술자적 역할 이외에 별달리 영향력이 없었다.”

그리고 기술적 능력이 CISO의 ‘기능적’ 성공의 열쇠지만 “그런 부분이 현재 당신의 전형적인 최고경영진들과 함께 일하는데 필요한 비즈니스 재능이나 커뮤니케이션 기술과 잘 맞지는 않는다. 기술이 아니라 위험의 관점에서 생각하고 이 위험이 비즈니스의 여러 측면에 어떻게 연관되는지로 사고방식을 바꾸는 게 필요하다”고 와이소팔은 밝혔다.

크리스티안센도 그 역할에 다른 이름을 붙여야 되는 시점까지 왔다며 와이소팔의 의견에 동의했다. 그는 “CISO의 역할이 최고 정보 위험 책임자(CIRO)로 진화하고 있다”며 “CIRO는 이전의 CISO보다 훨씬 폭넓고 영향력 있는 책임감을 많이 가진 진정한 최고경영진의 일원이다”고 말했다.

이러한 진화는 CISO를 다른 최고경영진들이 진보와 생산성의 장애물로 보는 융통성 없는 보안 정책을 집행하는 기술관리라는 시각까지도 없애줄 것이라는데 전문가들은 동의했다.

리옹에 따르면 CISO들은 성공적인 CIO를 모델로 활용해야 한다. “그들은 CIO들이 어떻게 현재 비즈니스의 모든 측면에서 기술을 전략적 요소로 만들었는지를 배우고 이를 사이버보안에 적용시킬 필요가 있다”고 그는 말했다. “CISO들은 SOC 안에만 있을 수 없다. 그들은 전체 기업과 조직에 있어서 정보의 흐름을 이해해야 할 필요가 있다”고 덧붙였다.

크리스티안센은 그 중 일부가 현재 회사가 ‘위험 회피적인지’ 아니면 ‘위험을 감수하는지 그리고 CEO의 올해 최고 목표는 무엇인지’ 등의 그들이 일하는 회사의 문화 이해로 결론난다고 이야기했다.

“성공적인 CISO들은 그들이 하는 각각의 프로젝트들을 비즈니스 전략에 연결시키고 공개적으로 그들의 보안 프로그램이 매출과 회사 최종 결과물에 기여할 수 있는지 이야기한다”고 그는 말했다.

와이소팔(왼쪽 사진)은 비록 교육이 의무지만 “교육은 궁극적으로 새 환경에 적응하기 위해 CISO들이 기꺼이 쏟는 노력에 달려있다. 물론 실패자도 있을 텐데 이런 역할 진화에서 자연스러운 일이다”고 강조했다.

하지만 그는 보안 프로그램이 기업에 가지는 중요성과 효과를 볼 때 “그런 전환은 오로지 CISO의 책임이 되어서는 안된다”고 덧붙였다. “최고경영진은 이미 CISO에게 필요한 능력들을 충분히 가지고 있기 때문에 그들이 CISO를 도와야 한다”고 그는 말했다.

“효과적인 CISO는 모든 회사의 리더십에 강력한 힘을 더해주고 그래서 그로 이끄는 성장을 증진시키기 위해 모든 이들에게 최선이다”고 그는 전했다.

하지만 이러한 전환은 어느 정도 시간이 걸릴 것이다. “모든 편견이 극복하기까지 어려움이 있듯, 보안 직원은 비즈니스를 활성화하기보다 데이터를 지키는데 집중해야 한다는 편견도 극복하기 어려울 것이다”고 크리스티안센은 이야기했다. ciokr@idg.co.kr