Offcanvas

CIO / CSO / How To / 리더십|조직관리

'CSO와 같은 듯 다른 듯' CISO의 역할과 책임, 요건, 직무

2021.04.06 Josh Fruhlinger  |  CSO
정보보안 최고 책임자(Chief Information Security Officer, CISO)는 조직의 정보와 데이터 보안을 담당하는 임원이다. 과거에는 이 역할이 조직 구조에 따라 다소 협소하게 정의되었지만, 요즈음에는 CSO 및 보안 부사장과 교차 사용되는 경우가 많으며, 이는 기업에서 더욱 포괄적인 역할이 되었다는 의미다.
 
ⓒ Getty Images Bank

모든 기업에 최고 보안 임원이 있는 것은 아니다. IDG의 ‘2020년 보안 우선순위 조사(Security Priorities Study)’에 따르면 조사한 기업 가운데 61%가 최고 보안 임원을 두고 있으며, 대기업의 경우 그 비율이 80%까지 높아진다. 최고 보안 임원을 고용한 기업에서 해당 임원은 중요한 역할을 한다. IDG 조사에서 CISO 또는 CSO가 없는 기업은 있는 기업보다 직원 보안 교육이 부족하고 보안 전략이 충분히 선제적이지 못하다고 말하는 경우가 많았다.

기업에서 승진하고 싶은 야심찬 보안 전문가는 CISO 직위를 예의주시하고 있을 수 있다. 이 자리를 얻을 수 있는 기회를 얻기 위해 어떤 일을 할 수 있으며, 이 중요한 역할을 맡게 되면 어떤 의무가 수반되는지 살펴보자. 그리고 처음으로 CISO를 영입할 계획에 있는 기업이라면 이번 기사가 도움이 될 것이다.


CISO의 책임

CISO는 무슨 일을 하는가? CISO의 업무를 이해하는 가장 좋은 방법은 아마도 어떤 일상적인 책임을 담당하고 확인하는 것이다. CISO 업무가 정확히 똑같지는 않지만 90년대에 시티그룹(Citigroup)에서 CISO 역할을 개척했던 스티븐 카츠는 MSNBC와의 인터뷰에서 CISO의 책임 영역을 간략하게 설명했다. 카츠는 이런 책임을 다음과 같은 카테고리로 분류했다.
  
  • 보안 운영 활동: 즉각적인 위협에 대한 실시간 분석 및 문제 발생 시 문제 분류
  • 사이버 위험 및 사이버 정보: 발전하는 보안 위협 추적 및 이사회가 인수 또는 기타 대규모 비즈니스 움직임으로 인해 발생할 수 있는 잠재적인 보안 문제를 파악할 수 있도록 돕기
  • 데이터 손실 및 사기 예방: 내부 직원이 데이터를 오용하거나 훔치지 않도록 하기
  • 보안 아키텍처: 보안 하드웨어와 소프트웨어를 계획, 구매, 배치하고 IT 및 네트워크 인프라를 설계할 때 최고의 보안 사례를 염두에 두도록 하기
  • 신원 및 접근 관리: 승인된 사람만 제한된 데이터와 시스템에 접근하도록 하기
  • 프로그램 관리: 주기적인 시스템 패치 등 위험을 완화하는 프로그램, 또는 프로젝트를 구현해 보안 요구를 선제적으로 해결하기
  • 조사 및 포렌식: 유출 발생 시 문제를 판단하고 내부적인 경우 책임감 있게 대응하며 같은 위기가 반복되지 않도록 계획 수립하기
  • 거버넌스: 앞선 모든 이니셔티브가 매끄럽게 진행되고 필요한 자금을 확보하며 경영진이 그 중요성을 인식하도록 하기

더욱 심층적인 내용은 SANS의 ‘기술과 비즈니스 결합: CISO의 역할 및 책임’을 참조하기 바란.

중요한 점은 이런 핵심 사항의 대부분은 IT 보안에 적용되지만 많은 보안 임원이 서버와 PC를 관리하는 수준에서 머물지 않고 물리적 보안까지 담당하며, 기업의 사업장과 물리적인 공장의 침입을 방지한다는 것이다. IDG의 2020년 보안 우선순위 조사에 따르면, 보안 임원 가운데 42%는 지난 3년 동안 업무에 물리적인 보안까지 추가되었다고 말했으며 18%는 향후 12개월 이내에 그 역할을 담당하게 될 것으로 예상된다고 말했다.


CISO 요건

CISO 역할을 담당하기 위해 필요한 것은 무엇일까? 일반적으로 CISO는 탄탄한 기술적 기반이 필요하다. 사이버디그리즈(Cyberdegrees.org)는 일반적으로 후보자는 컴퓨터 공학 또는 관련 분야의 학사 학위와 7~12년의 실무 경험이 있어야 한다고 밝혔다(최소 5년 동안의 관리자 역할 포함). 

IT 분야의 보안 중심적인 석사 학위도 점차 인기를 얻고 있다. 또한 기대되는 기술적 스킬이 많다. 고위 기술 임원에게 기대되는 기본적인 프로그램과 시스템 관리 외에 DNS, 라우팅(Routing), 인증, VPN, 프록시(Proxy) 서비스, DDOS 완화 기술, 코딩 활동, 윤리적 해킹 및 위협 모델링, 방화벽과 침투 감지/방지 프로토콜 등 일부 보안 중심적인 기술을 이해해야 한다. 

그리고 CISO는 규제 준법감시를 지원해야 하기 때문에 PCI DSS(Payment Card Industry Data Security Standard), HIPAA(Health Insurance Portability and Accountability Act), GLBA(Gramm–Leach–Bliley Act), SOX(Sarbanes-Oxley) 등 업계에 영향을 미치는 일련의 규제에 관해 알아야 한다.

하지만 기술적 지식이 이 자리를 얻기 위한 유일한 요건은 아니며, 심지어 가장 중요하지 않을 수도 있다. 어쨌든, CISO의 업무의 상당 부분에 관리 및 경영진 내 보안 관리 지원이 관련되어 있다. IT 연구원 래리 포네몬은 한 매체와의 인터뷰에서 “눈에 띄는 CISO는 기술적 기반이 좋지만 MBA 등의 비즈니스 배경과 다른 임원 및 이사회와 소통하기 위해 필요한 스킬 등이 있는 경우도 많다”라고 말했다.      

인력 채용 기관 라살레 네트워크(LaSalle Network)의 기술 서비스 사업부 수석 책임자 폴 월렌버그는 CISO 후보자를 판단하는 기술 및 비기술 스킬이 고용하는 회사에 따라 다를 수 있다고 말했다. 

월렌버그는 “일반적으로 글로벌 또는 국제적인 기업은 전체론적인 기능적 보안 배경을 가진 후보자를 찾을 것이며 경력 진행 및 기존의 실적을 파악하면서 리더십 스킬을 평가하는 접근방식을 취할 것이다. 한편, 웹과 제품에 치중된 비즈니스를 진행 중인 기업들은 애플리케이션과 웹 보안을 중심으로 구체적인 스킬셋을 원할 것이다”라고 말했다.


CISO 자격증

CISO가 되기 위해 올라가면서 자격증으로 이력서를 빛나게 하는 것도 좋다. 인포메이션 시큐리티(Information Security)는 “이런 자격 조건은 기억을 새롭게 하고 새로운 사고방식을 불러 일으키며 신뢰도를 높이고 건전한 내부 교육 과정에 반드시 필요한 부분이다”라고 설명했다. 

하지만 무엇을 선택해야 할지 다소 혼란스럽다. 사이버디그리즈는 7가지를 나열했다. 본지는 라살레 네트워크의 월렌버그에게 선택을 요청했으며, 그는 3가지를 꼽았다.
   
  • CISSP(Certified Information Systems Security Professional)는 보안에 경력을 집중하려는 IT 전문가를 위한 것이다.
  • CISM(Certified Information Security Manager)은 보안 분야에서 승진하고 경영진이나 프로그램 관리 부문으로 이직하고 싶어하는 사람들에게 인기가 있다.
  • CEH(Certified Ethical Hacker)는 기업 보안을 위협할 수 있는 문제를 심도 깊게 파악하고 싶어하는 보안 전문가들을 위한 것이다.


CISO와 CSO의 차이 : 의미와 체계

잠시 직함에 관해 이야기해보자. 본지는 이 기사에서 CISO란 용어를 사용하고 있지만 앞서 언급했듯이 임원 수준의 보안 책임자를 일컫는 다른 직위도 있다. CSO(Chief Security Officer)가 꽤 보편적이며, 부사장 직함을 가진 임원들도 있다. 

IDG의 2020년 보안 우선순위 조사에서 CISO가 응답자 가운데 41%로 가장 보편적인 직위로 나타났으며, CSO로 근무하는 사람은 14%이며, 다른 직함으로 근무하는 사람도 14%나 되었다. 

흥미롭게도 대기업은 최고 보안 임원을 CISO라고 부를 확률이 더 높다. 조사에 참가한 사람 가운데 80%가 이 직함을 사용했다. 앞서 언급했듯이 본지는 이 직함들을 교차해 사용하고 있으며, 많은 경우에 특정 기업 내에서 계층구조나 역할을 반영하며, 기업에서 CISO 직무를 가진 사람은 CSO와 업무가 매우 유사할 수 있다.

직함보다 더욱 중요한 것이 조직도의 구조이다. 보안은 기업 내에서 다른 부서와 싸울 수밖에 없는 역할이다. 왜냐하면 보안 전문가는 시스템을 잠그면서 접근을 더 어렵게 하기 때문이다. 이는 정보와 애플리케이션을 원활하게 제공해야 하는 IT 부문과 상충될 수 있다. 

조직도 위에서 CISO/CSO 대 CIO의 경쟁이 벌어질 수 있으며, 이런 경쟁의 윤곽은 조직 내의 보고 라인에 의해 수립되는 경우가 많다. 최고 보안 임원이 IT 부서의 책임자에게 보고하는 경우, 업무 범위가 IT의 전략에 종속되기 때문에 CISO가 전략적으로 실행하는 능력이 제한될 수 있다.

보고 구조는 얼마나 다를까? IDG의 2020년 보안 우선순위 조사에 따르면, 조사한 기업의 보안 임원 가운데 46%는 CEO 또는 이사회에 보고하며 33%는 법인 또는 사업부 CIO에게 보고하는 것으로 나타났다. 중소기업은 아마도 더 수평적인 구조를 갖고 있을 것이다. 조사한 중소기업의 보안 임원 가운데 59%는 CEO에게 직접 보고한다.

CIO와 CISO가 동등하게 되면 충돌을 줄일 수 있으며, 그 이유는 조직 전체에 보안이 중요하다는 신호를 보내는 것이기 때문이다. 하지만 CISO가 기술적 이니셔티브를 금지하는 문지기로 전할 수 없다는 뜻이기도 하다.

듀카티(Ducati) CIO 피에르죠지오 그로시는 "단순히 ‘거절’하는 대신에 IT 팀이 더욱 탄탄한 제품과 서비스를 제공하도록 돕는 것은 CISO에게 달렸다"라고 말했다. 이런 전략적 이니셔티브에 대한 공동 책임은 관계의 역할을 바꾸며 새 CISO에게 성공과 실패의 차이를 의미할 수 있다.


CISO 직무 설명

조직에 도움이 되는 CISO를 찾고 있다면, 직무 설명을 작성해야 하며 지금까지 우리가 논의한 상당 부분이 그 접근방식의 기초를 다진다. 라살레 네트워크의 월렌버그는 “우선 기업은 CISO를 고용하고 싶은지 결정하고 그 직급, 보고 구조, 공식적인 직함에 대한 승인을 받는다. 중소기업에서는 CISO가 부사장 또는 보안 이사가 될 수 있다. 또한 해당 역할의 최소 요건과 자격을 설정한 후 시장에서 외부 후보자를 찾거나 내부 지원자를 찾기 위해 공고해야 한다”라고 말했다.

본지 수석 편집자 마이클 나도가 CISO 직무 설명 작성 접근방식에 관해 자세하게 설명했다. 나도가 지적한 사항 가운데 중요한 부분은 처음부터 기업은 보안 각오를 명확히 해야 한다는 점이다. 왜냐하면 이를 통해 자질이 뛰어난 후보자를 데려올 수 있기 때문이다. 

조직도에서 새로운 CISO의 위치와 이사회와 어느 정도 상호작용해야 하는지를 설명해야 한다. 또 다른 중요한 사항은 해당 역할을 담당하는 사람이 있더라도 직무 설명을 새롭게 유지하는 것이다. 어쨌든, 그 사람이 언제 다른 기회를 잡을지 모르는 일이며, 이런 중요한 직무가 공석이 되는 일은 없어야 한다.


CISO 급여

CISO는 직급이 높으며, 그 수준에 맞춰 급여를 받는다. 급여는 일반적으로 10만 달러 이상 수준이다. 이 기사를 작성하고 있는 지금 집리크루터(ZipRecruiter)의 미국 평균은 15만 9,877달러이며, 샐러리닷컴(Salary.com)에서는 일반적인 수준보다 더 높은 19만 5,000~25만 7,000달러 사이로 정하고 있다.

글래스도어(Glassdoor)를 보면, 현재 CISO 직무 공석의 급여 범위를 알 수 있으며, 어떤 부문의 급여가 더 높은지 파악하는 데 도움이 될 수 있다. 예를 들어, GE 파워(GE Power)는 CISO 직위를 모집하고 있으며 급여는 15만 2,000~16만 4,000달러이며, 미시간대학교(University of Michigan)은 25만 9,000~27만 9,000달러 수준이다.


CISO 직무

CISO 직무 영역은 항상 바뀌고 있는데, CISO 직무를 획득하는 방법과 직업 생활 분야를 탐색하는 방법 등은 다음 기사를 참고하기 바란다. 

CISO 직무를 오래 유지하는 6가지 비밀’에서는 오래가는 CSO들은 비즈니스의 초점과 의사소통이 열쇠라고 말한다.

'CISO가 알아야 할 10가지 필수 협상 전략'에서는 때로는 걱정스러운 관계를 잘 유지하는 방법을 살펴보자. 최고 임원은 보안 부서를 어떻게 보고 있는지, 그리고 CISO가 보고 여부에 상관없이 임원들과 긴밀하게 협업해야 하는 이유를 설명했다.

'CISO 업무를 성공적으로 인수인계하는 7가지 방법'에서는 이 CISO들이 경험했듯이 최고 임원이 되면 책임을 지게 된다. 떠나는 CISO가 후임 CISO의 업무 적응에 성공적으로 도움을 줄 수 있는 7가지 방법을 소개한다. editor@itworld.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.