2016.03.25

"아직도 절반 이하"··· CSO·CISO가 필요한 이유

Sharon Florentine | CIO
보안 관련해서는 전문가를 고용해야 하지만 최근 조사에 따르면 CSO나 CISO를 고용하는 기업의 비율이 절반에도 못 미치고 있는 상황이다.



CIO에게는 보안 외에도 전담 업무가 많다. 수많은 CIO(또는 CTO)가 보안을 동시에 담당하지만 ‘제너럴리스트’ 역할만 할 뿐이다. 그래서 정말로 필요한 사람은 ‘보안 스페셜리스트’인 CSO 또는 CISO다.

무료 온라인 보안 MOOC 제공업체인 사이브러리‘사이버 보안 직업 트렌드 설문 조사’에 따르면, 절반에 가까운 49%의 응답자만이 보안을 전담하는 CSO나 CISO를 고용하고 있다고 답했다. 해당 설문 조사는 고위급 IT전문가 435명을 대상으로 작년 10월부터 12월까지 실시됐다.

사이브러리의 제품 및 채용 담당자인 트레버 할스티드는 “역량이 요구치에 못 미친다는 점을 모든 직위의 사이버 전문가들이 직접 경험해 잘 알고 있고, 우리도 이런 점을 알고는 있었지만, (조사 결과) 보안을 책임지는 CSO나 CISO를 고용하는 기업의 수가 심하게 적어서 놀랐다”라고 말했다.

어째서 CSO/CISO인가?
CIO나 CTO를 이미 고용하고 있는데도 보안 전담 C급 임원을 따로 둬야 하는 이유는 무엇일까? '정보, 인프라, 민감 정보, 평판 등 전반적인 보안과 사업'이라는 우선순위를 다루고, 이 모든 사항에 대한 리스크를 사전에 최소화해야 하기 때문이다.

디지털 가디언의 CTO인 솔로 페이저는 전담 CSO나 CISO의 경우 사이버 위협 실태와 보안 접근법, 툴, 기술에 관해 넓고 깊이 있는 지식을 갖췄을 뿐 아니라, 리스크 분석 및 최소화 방법과 관련해서도 전문적인 관점으로 볼 수 있는 사람들이라고 말했다. 디지털 가디언은 데이터 손실 방지 및 보안 관리 서비스를 제공하는 업체다.

페이저는 “CSO나 CISO의 경우 정확한 공격 가능성 예측 또는 사이버 위협 실태에 대한 인식 등 IT 전문성이 필요한 업무 그 이상을 할 수 있는 사람들이다. 이들은 깊이 있고 폭넓은 관점으로 리스크를 최소화함과 동시에 사업을 어떻게 잘 운영할 수 있는지 알고 있다”라고 말했다.

비즈니스와 리스크 간의 균형
페이저에 따르면 CSO나 CISO의 주된 역할은 사업이 안정적으로 운영될 수 있도록 지원하는 것은 물론 보안 위협, 공격, 비즈니스 문제에 대한 리스크를 안전 기준에 맞춰 최소화하는 것이다. 위협 요소를 규정·평가한 후 이를 다른 C급 임원진이 어떤 문제가 심각한지 이해할 수 있도록 쉬운 말로 바꾸는 일이다.

페이저는 “CSO나 CISO라면 사업 운영을 ‘리스크 대 비즈니스’의 관점으로 보면서 동시에 다른 C급 임원들이 이해할 수 있는 언어로 논의할 수 있어야만 한다”라고 말했다. 그는 그런 점에서 비즈니스와 보안 지식이 둘 다 중요하다고 덧붙였다.

CSO/CISO의 자격은?
디지털 가디언의 조사에 따르면 대부분의 CISO들은 비즈니스와 보안을 모두 효과적으로 다루고 있었다. 디지털 가디언은 CISO를 고용 중인 ‘포춘 100대 기업’의 공개 정보를 바탕으로 해당 조사를 실시했다.

이 조사에 따르면 ‘포춘 100대 기업’에 소속된 CISO의 59%는 IT 또는 IT 보안 전문가로 커리어를 시작했지만 40%는 경영학위를 받은 사람들이었다.

페이저는 “CSO나 CISO가 되는 데 정해진 길은 없다. IT나 IT 보안 쪽에서 오는 경향이 있을 뿐이다. 그보다는 보안과 비즈니즈 니즈를 통합할 수 있는 능력이 훨씬 더 중요할 것이다. 보안 배경지식과 더불어 경영 지식 관련 자격증이나 경영 경험을 갖춘 사람이 돼야 한다”라고 말했다.

일단 차별화에 성공하면 대개 IT 자격증은 주된 차별화 요소가 되지 못 한다고들 말하지만 페이저는 IT 자격증이 특히 IT 보안에서는 아직도 상당히 유효하다고 말했다. 해당 조사에 따르면 ‘포춘 100대 기업’의 CISO들은 평균 2.86개의 자격증을 보유하고 있었다. 그 중 53%는 CISSP 자격증도 가지고 있었다.

그는 “보안 자격증의 경우 경험 중심으로 이뤄진 자격증이 아직도 많다. 대개 실습형 수업 중심이며, 자격시험에 현실적인 요소가 많이 반영돼 있다. 다양한 교육적 배경지식이 어우러져 있다는 점에서 보안 전문가들이 보유하고 있는 필수 기술과 경험을 입증하는 과정에서 이러한 자격증에 의존하는 것”이라고 분석했다.

제너럴리스트와 스페셜리스트는 엄연히 달라
페이저는 C급 임원 위계구조에 있어 CSO나 CISO를 독립적으로 분리함으로써 얻을 수 있는 혜택이 있다고 말했다. 

그는 “CSO 및 CISO가 CIO나 CTO에게 보고를 올려야 하는 조직도 있겠지만, CEO에게 보고하도록 분리형으로 운영하는 조직도 있다. CIO나 CTO처럼 직접 보고할 수 있는 것이다. 기업마다 개별적으로 다르겠지만 보다 독립성이 보장되는 직책인 것은 맞다. 다른 C급 임원과 마찬가지로 감독자의 입장을 취하거나 예산, 자원 분배, 사업적 결정 등에 대해 논의할 수 있는 것이다”라고 말했다.

한편 할스티드에 따르면 회사에 무엇을 제공할 수 있는지 여부가 중요한 것이지 CSO나 CISO가 어디 출신인지는 중요한 사항이 아니다. 정작  차이를 만들어내는 것은 따로 있다. 그는 잠재적 이슈와 관련해 일반적인 수준에 제한된 지식을 갖춘 ‘제너럴리스트’와 사업에 부작용을 일으키지 않으면서도 기존 IT 운영에 최고의 보안 전략을 실행할 수 있는 ‘스페셜리스트’ 사이에는 큰 차이가 있다고 말했다.

그는 “보안 의사결정과 관련해 CSO 및 CISO가 절대적으로 필요하다는 점을 기업과 C급 임원들이 인지해야 한다. 우리는 보안이 후순위로 밀려서는 안 되는, 그러한 환경에 놓여 있다. 보안은 회사가 내리는 모든 비즈니스 결정과 결부될 수밖에 없다”라고 말했다. ciokr@idg.co.kr



2016.03.25

"아직도 절반 이하"··· CSO·CISO가 필요한 이유

Sharon Florentine | CIO
보안 관련해서는 전문가를 고용해야 하지만 최근 조사에 따르면 CSO나 CISO를 고용하는 기업의 비율이 절반에도 못 미치고 있는 상황이다.



CIO에게는 보안 외에도 전담 업무가 많다. 수많은 CIO(또는 CTO)가 보안을 동시에 담당하지만 ‘제너럴리스트’ 역할만 할 뿐이다. 그래서 정말로 필요한 사람은 ‘보안 스페셜리스트’인 CSO 또는 CISO다.

무료 온라인 보안 MOOC 제공업체인 사이브러리‘사이버 보안 직업 트렌드 설문 조사’에 따르면, 절반에 가까운 49%의 응답자만이 보안을 전담하는 CSO나 CISO를 고용하고 있다고 답했다. 해당 설문 조사는 고위급 IT전문가 435명을 대상으로 작년 10월부터 12월까지 실시됐다.

사이브러리의 제품 및 채용 담당자인 트레버 할스티드는 “역량이 요구치에 못 미친다는 점을 모든 직위의 사이버 전문가들이 직접 경험해 잘 알고 있고, 우리도 이런 점을 알고는 있었지만, (조사 결과) 보안을 책임지는 CSO나 CISO를 고용하는 기업의 수가 심하게 적어서 놀랐다”라고 말했다.

어째서 CSO/CISO인가?
CIO나 CTO를 이미 고용하고 있는데도 보안 전담 C급 임원을 따로 둬야 하는 이유는 무엇일까? '정보, 인프라, 민감 정보, 평판 등 전반적인 보안과 사업'이라는 우선순위를 다루고, 이 모든 사항에 대한 리스크를 사전에 최소화해야 하기 때문이다.

디지털 가디언의 CTO인 솔로 페이저는 전담 CSO나 CISO의 경우 사이버 위협 실태와 보안 접근법, 툴, 기술에 관해 넓고 깊이 있는 지식을 갖췄을 뿐 아니라, 리스크 분석 및 최소화 방법과 관련해서도 전문적인 관점으로 볼 수 있는 사람들이라고 말했다. 디지털 가디언은 데이터 손실 방지 및 보안 관리 서비스를 제공하는 업체다.

페이저는 “CSO나 CISO의 경우 정확한 공격 가능성 예측 또는 사이버 위협 실태에 대한 인식 등 IT 전문성이 필요한 업무 그 이상을 할 수 있는 사람들이다. 이들은 깊이 있고 폭넓은 관점으로 리스크를 최소화함과 동시에 사업을 어떻게 잘 운영할 수 있는지 알고 있다”라고 말했다.

비즈니스와 리스크 간의 균형
페이저에 따르면 CSO나 CISO의 주된 역할은 사업이 안정적으로 운영될 수 있도록 지원하는 것은 물론 보안 위협, 공격, 비즈니스 문제에 대한 리스크를 안전 기준에 맞춰 최소화하는 것이다. 위협 요소를 규정·평가한 후 이를 다른 C급 임원진이 어떤 문제가 심각한지 이해할 수 있도록 쉬운 말로 바꾸는 일이다.

페이저는 “CSO나 CISO라면 사업 운영을 ‘리스크 대 비즈니스’의 관점으로 보면서 동시에 다른 C급 임원들이 이해할 수 있는 언어로 논의할 수 있어야만 한다”라고 말했다. 그는 그런 점에서 비즈니스와 보안 지식이 둘 다 중요하다고 덧붙였다.

CSO/CISO의 자격은?
디지털 가디언의 조사에 따르면 대부분의 CISO들은 비즈니스와 보안을 모두 효과적으로 다루고 있었다. 디지털 가디언은 CISO를 고용 중인 ‘포춘 100대 기업’의 공개 정보를 바탕으로 해당 조사를 실시했다.

이 조사에 따르면 ‘포춘 100대 기업’에 소속된 CISO의 59%는 IT 또는 IT 보안 전문가로 커리어를 시작했지만 40%는 경영학위를 받은 사람들이었다.

페이저는 “CSO나 CISO가 되는 데 정해진 길은 없다. IT나 IT 보안 쪽에서 오는 경향이 있을 뿐이다. 그보다는 보안과 비즈니즈 니즈를 통합할 수 있는 능력이 훨씬 더 중요할 것이다. 보안 배경지식과 더불어 경영 지식 관련 자격증이나 경영 경험을 갖춘 사람이 돼야 한다”라고 말했다.

일단 차별화에 성공하면 대개 IT 자격증은 주된 차별화 요소가 되지 못 한다고들 말하지만 페이저는 IT 자격증이 특히 IT 보안에서는 아직도 상당히 유효하다고 말했다. 해당 조사에 따르면 ‘포춘 100대 기업’의 CISO들은 평균 2.86개의 자격증을 보유하고 있었다. 그 중 53%는 CISSP 자격증도 가지고 있었다.

그는 “보안 자격증의 경우 경험 중심으로 이뤄진 자격증이 아직도 많다. 대개 실습형 수업 중심이며, 자격시험에 현실적인 요소가 많이 반영돼 있다. 다양한 교육적 배경지식이 어우러져 있다는 점에서 보안 전문가들이 보유하고 있는 필수 기술과 경험을 입증하는 과정에서 이러한 자격증에 의존하는 것”이라고 분석했다.

제너럴리스트와 스페셜리스트는 엄연히 달라
페이저는 C급 임원 위계구조에 있어 CSO나 CISO를 독립적으로 분리함으로써 얻을 수 있는 혜택이 있다고 말했다. 

그는 “CSO 및 CISO가 CIO나 CTO에게 보고를 올려야 하는 조직도 있겠지만, CEO에게 보고하도록 분리형으로 운영하는 조직도 있다. CIO나 CTO처럼 직접 보고할 수 있는 것이다. 기업마다 개별적으로 다르겠지만 보다 독립성이 보장되는 직책인 것은 맞다. 다른 C급 임원과 마찬가지로 감독자의 입장을 취하거나 예산, 자원 분배, 사업적 결정 등에 대해 논의할 수 있는 것이다”라고 말했다.

한편 할스티드에 따르면 회사에 무엇을 제공할 수 있는지 여부가 중요한 것이지 CSO나 CISO가 어디 출신인지는 중요한 사항이 아니다. 정작  차이를 만들어내는 것은 따로 있다. 그는 잠재적 이슈와 관련해 일반적인 수준에 제한된 지식을 갖춘 ‘제너럴리스트’와 사업에 부작용을 일으키지 않으면서도 기존 IT 운영에 최고의 보안 전략을 실행할 수 있는 ‘스페셜리스트’ 사이에는 큰 차이가 있다고 말했다.

그는 “보안 의사결정과 관련해 CSO 및 CISO가 절대적으로 필요하다는 점을 기업과 C급 임원들이 인지해야 한다. 우리는 보안이 후순위로 밀려서는 안 되는, 그러한 환경에 놓여 있다. 보안은 회사가 내리는 모든 비즈니스 결정과 결부될 수밖에 없다”라고 말했다. ciokr@idg.co.kr

X