2020.12.02

변혁적인 CISO가 되기 위해 필요한 것

Mary K. Pratt | CSO
브라이언 켈리는 퀴니피악 대학교(Quinnipiac University)의 CISO였을 때, 다른 방법을 찾아야 한다는 압박을 느꼈다. 대부분의 보안 책임자와 마찬가지로 켈리는 한정된 자원으로 일하면서 책임과 위협이 확대되는 상황에 직면했기 때문이다. 
 
ⓒ Getty Images Bank

켈리는 변화의 필요성을 깨달았고, 사이버보안 기능을 규정 준수에 기반한 엄격한 운영에서 위험을 이해하고 감소시키는 데 기반을 둔 좀 더 유연한 운영으로 전환함으로써 이런 압박감에 더 잘 대처하고 조직의 보안 태세를 개선할 수 있다고 믿었다. 
 
Brian Kelly
켈리는 이런 변화가 기업과 그 리더를 위한 큰 변화를 의미한다고 말했다. 켈리는 “나로서는 대안에 좀 더 개방적이어야 했다. 그리고 보안이 항상 흑백이 아니라는 점을 이해하면서 회색 영역에 열려 있어야 했다. 나는 커뮤니티에서 경청하고, 협력하고, 배우고, 적응력을 키워야 했으며, 조직의 목표를 중심으로 전략적으로 행동해야 했다. 이것이 변혁적인 사고 방식의 시작이었다”라고 말했다.
 
켈리는 2006년부터 2019년까지 대학에서 재직하는 동안 조직 내 모든 사람이 보안을 자신의 책임으로 여기도록 하는 인식 캠페인을 포함한 다양한 새로운 이니셔티브를 구현했다. 

이런 노력은 보안 기능을 효율적이자 전략적이며 대응력이 뛰어난 체계로 변화시켰고 또한 이들은 스스로를 훈련시켰다. 고등교육에서 IT 사용을 장려하는 비영리 단체인 에듀코즈(EDUCAUSE) 사이버보안 프로그램 책임자인 켈리는 “이는 나를 더 나은 CISO로 만들었다”라고 말했다. 


변혁적인 CISO가 된다는 의미 

켈리만 이런 생각을 하는 것이 아니다. 지난 10년 동안 기업 보안 책임자는 시스템 방어에 초점을 맞춘 관리적 역할에서 비즈니스 지원에 중점을 둔 전략적 역할로 진화하면서 변혁적 업무에 참여할 것으로 예상된다.
 
KPMG 사이버 서비스 파트너인 비제이 자주는 “보안 담당자가 되는 것이 아니라 변화를 주도하고 가치를 제공할 수 있는 능력을 갖추는 것이다”라고 설명했다. 

실제로 변혁적인(transformational) CISO는 비즈니스를 이해하는 기술자나 기술을 습득한 경영인 이상의 역할을 한다. 오히려 변혁적인 보안 리더는 기업의 일상적인 요구 사항과 전략적 비전을 모두 지원하는 보안 전략을 설계, 제공, 실행할 수 있는 동시에, 더 크고 도전적이며, 종종 고통스러운 이니셔티브에 대해 최고 경영진들과 협력할 수 있는 사람이다.
 
이를 위해서는 많은 특별한 개인적 성격과 전문적인 기술이 필요하다.
 
포레스터 리서치의 수석 분석가 제프 폴라드는 “변혁적인 CISO는 혼란에 직면했을 때, 가장 편안한 사람, 가장 많은 변화를 감당할 수 있는 사람, 다년간의 구축을 가장 편안하게 처리할 수 있는 사람, 종종 전술적인 활동에서 좀 더 전략적이고 전체 조직이 원하는 것에 초점을 맞출 수 사람이다”라고 설명했다.

    
변혁적인 CISO의 기술과 특성 

포레스터 리서치는 변혁적인 CISO를 6가지 유형 가운데 하나라고 정의했다. 
2020년 5월, 폴라드와 함께 '모든 CISO는 이제 변혁적인 CISO(Every CISO Is Now A Transformational CISO)'라는 보고서를 만든 조시 젤로니스는 “변혁적인 CISO는 어려움을 겪고 있는 보안 프로그램을 점검하고 장기적인 개선이 이뤄지는 것을 보는 것을 좋아한다. 재설계, 재조정, 재구축은 그들에게 영감을 준다”라고 전했다. 
 
Jeff Pollard
하지만 변혁적인 CISO가 자신을 차별화하는 요소는 정확히 무엇인가? 그것이 자신의 역할과 임무를 사랑할 수 있게 해주는가? 

폴라드는 이 보고서에서 변혁적인 리더를 정의하는 몇 가지 특성을 확인했다고 말했다. 폴라드는 “변혁적인 CISO는 변화와 혼란에서 활력을 얻고, 전반적으로 에너지가 넘친다”라고 규정했다. 

변혁적인 CISO는 역동적이고 적응력이 뛰어나다. 그들은 솔직하고 설득력이 있으며, 외향적인 경향이 있고 합의를 도출할 수 있다. 폴라드는 “변혁적인 CISO는 약간의 영업을 할 수 있어야 하고, 회사 프로세스 중 나머지 부분에서 보안을 적용할 수 있어야 한다”라고 설명했다. 

폴라드는 “변혁적인 CISO는 변화를 기꺼이 감내할 수 있는 회사를 찾아야 한다. 세부적으로 관리하거나 지휘와 통제하지 않고, 중앙 집권적이지 않은 회사를 찾아야 한다. 아니면 시장에서 변화할 수 밖에 없는 회사를 찾아야 한다”라고 조언했다.

켈리는 CISO의 기술과 속성을 정의하는 목록에서 유연성과 함께 경청, 협업 능력을 강조했다. 또한 보안 기술과 개별 사업부와 같은 다양한 분야의 변화가 어떻게 기업과 산업 전반의 혼란을 야기하는지 연결하는 역량이 좋은 의사 소통자가 되는 데 필수적이라는 데 동의했다. 

CISO 데스크 레퍼런스 가이드(CISO Desk Reference Guide)의 공동 저자이자 기술업체 에보텍(EVOTEK) CISO인 매트 스탬퍼는 “CISO는 그들의 비즈니스와 산업, 그리고 이를 운영하는 기술에 대해 집중적으로 호기심을 가져야 한다. 기업의 탄력성을 위해 기업에 영향을 미치는 모든 것에 대해 훨씬 더 광범위한 시각을 가져야 한다”라고 말했다.
 
Matt Stamper
또한 스팸퍼는 “변혁적인 CISO는 보안 기능과 전체 기업이 내일이 아니라 수개월, 수년 동안 어디에 있어야 하는지를 분명히 알 수 있도록 사전 예방적이고 비전이 있어야 한다. 그런 다음 다른 경영진과 함께 이를 실행할 수 있어야 하며, 해당 비전에 대해 보안팀의 지원을 받아 실행할 수 있는 역량을 갖춰야 한다”고 설명했다. 

스탬퍼는 금융업체의 CISO를 따라야 할 모델로 언급하면서 금융 산업을 디지털 환경으로 전환하는 데 보안이 얼마나 필수적인지 초기에 파악했다고 덧붙였다. 
 
자주는 일반적으로 변혁적 리더는 비전, 영감, 혁신 및 열정이 있는 인물이라고 말했다.
 
Vijay Jajoo
자주는 "변혁적인 리더는 변화를 주도할 비전이 있지만, 영감을 줄 수도 있다. 이들은 자신의 군대를 모을 수 있지만, 또한 정렬을 하고 다른 사람을 해당 비전으로 이끌 수 있다. 보안 리더도 마찬가지다"라고 설명했다. 

자주는 변혁적 CISO의 모범적인 예로, 금융 서비스업체의 CISO를 지목했다. 기업 전체가 전면적인 혁신에 참여했으며, CISO는 보안 기능을 전술적인 기능에서 위험 감소 및 안전한 고객 참여에 초점을 맞춘 운영으로 전환함으로써 혁신을 수용했다. 

자주는 "이들은 인공지능과 같은 고급 기술을 채택하고, 복수의 이해 관계자를 만나 자신의 전략적 비전을 설명하고, 새로운 진로와 훈련 기회를 창출하기 위해 보안 운영을 점검하고, 위험을 감수하는 사람에게 불이익을 주지 않고, 혁신을 장려하며, 개선점을 입증하고 지속적인 성공을 위해 데이터 분석을 활용한다"라고 말했다. 
 
자주는 “도구를 어떻게 전달하는지에 대한 문제가 아니라 새로운 기능과 프로세스를 제공하고 개선을 추진하는 문제였다”라고 설명했다.


개발, 변혁적 특성 활용 

포레스터 보고서는 모든 CISO가 이제 변혁적 리더가 되어야 한다고 주장했지만, 폴라드와 같은 이들은 예외적인 상황도 있다고 이의를 제기했다. 

실제로 폴라드는 모든 CISO가 항상 변혁적 리더가 될 필요는 없다고 말했다. 또한 모든 CISO가 하나가 되는 경향이 있는데, 일부 CISO는 보안 운영을 성공적으로 유지하고 필요에 따라 점진적으로 조정하는 데 중점을 둬 안정적인 상태 환경을 관리하는 능력이 뛰어날 수 있다. 

게다가 일부 기업은 변혁적인 CISO를 원하지 않는다고 지적했다. 이런 기업은 최근 중요한 변화 이니셔티브를 완료하고 유지 보수 단계로 접어들고 있다. 이들은 현재 혼란을 겪지 않는 업종일 수도 있다. 또는 변혁적 CISO가 지원할만큼 광범위한 변화에 대응할 준비가 되지 않았을 수도 있다. 이런 경우에 변혁적 CISO가 적합하지 않을 것이며, 불행하고 성공적이지 못할 것이다. 

반면, 폴라드와 여러 CISO는 오늘날 거의 모든 기업이 혼란에 직면할 것이기 때문에 대부분의 CISO, 즉 변혁적 단계를 완전히 수용하지 못한 사람조차도 변혁적 CISO가 갖춰야 할 여러가지 특성 가운데 일부를 취해야 할 것이라고 설명했다. 

폴라드는 “변혁이 자신의 일이 아니더라도 해야 할 수도 있다. 대부분의 전문가는 자연스럽게 이 방향으로 나아가게 될 것이다"라고 덧붙였다.
 
Andrea Szeiler
헝가리 부다페스트에 본사를 둔 고객 경험 관리업체인 트랜스컴(Transcom) 글로벌 CISO 안드레아 세일러는 자신의 기술과 특성을 반영해 영향력있고 열정적이며 설득력있고, 경쟁적이고, 주도적이며, 결과 지향적인 역할이라는 점에서 자연스럽게 변혁적 역할에 적합하다고 판단했다.  

혁신을 주도한 경험이 있는 시일러는 자신의 특성을 다른 중요한 기술과 결합해 팀과 기업 전체에서 다른 사람에게 영감을 주고 공감대를 형성하는 데에도 도움을 줄 수 있을 것이라 믿었다. 

하지만 ISACA 부다페스트 지부 책임자인 시일러는 좀 더 침착하고 인내심을 유지하기 위해 노력하고 있다고 말했다. 시일러는 “나는 다른 사람으로부터 ‘너는 탱크다. 우리는 너의 돌진을 막을 수 없다’라는 말을 듣곤 했다. 그래서 나는 너무 빨리 가지 않도록, 인내심을 가지도록 스스로를 훈련했다. 혼자 가면 회사가 함께 있지 않기 때문이다. 모든 사람이 함께 움직일 수 있어야 한다”라고 말했다. editor@itworld.co.kr 



2020.12.02

변혁적인 CISO가 되기 위해 필요한 것

Mary K. Pratt | CSO
브라이언 켈리는 퀴니피악 대학교(Quinnipiac University)의 CISO였을 때, 다른 방법을 찾아야 한다는 압박을 느꼈다. 대부분의 보안 책임자와 마찬가지로 켈리는 한정된 자원으로 일하면서 책임과 위협이 확대되는 상황에 직면했기 때문이다. 
 
ⓒ Getty Images Bank

켈리는 변화의 필요성을 깨달았고, 사이버보안 기능을 규정 준수에 기반한 엄격한 운영에서 위험을 이해하고 감소시키는 데 기반을 둔 좀 더 유연한 운영으로 전환함으로써 이런 압박감에 더 잘 대처하고 조직의 보안 태세를 개선할 수 있다고 믿었다. 
 
Brian Kelly
켈리는 이런 변화가 기업과 그 리더를 위한 큰 변화를 의미한다고 말했다. 켈리는 “나로서는 대안에 좀 더 개방적이어야 했다. 그리고 보안이 항상 흑백이 아니라는 점을 이해하면서 회색 영역에 열려 있어야 했다. 나는 커뮤니티에서 경청하고, 협력하고, 배우고, 적응력을 키워야 했으며, 조직의 목표를 중심으로 전략적으로 행동해야 했다. 이것이 변혁적인 사고 방식의 시작이었다”라고 말했다.
 
켈리는 2006년부터 2019년까지 대학에서 재직하는 동안 조직 내 모든 사람이 보안을 자신의 책임으로 여기도록 하는 인식 캠페인을 포함한 다양한 새로운 이니셔티브를 구현했다. 

이런 노력은 보안 기능을 효율적이자 전략적이며 대응력이 뛰어난 체계로 변화시켰고 또한 이들은 스스로를 훈련시켰다. 고등교육에서 IT 사용을 장려하는 비영리 단체인 에듀코즈(EDUCAUSE) 사이버보안 프로그램 책임자인 켈리는 “이는 나를 더 나은 CISO로 만들었다”라고 말했다. 


변혁적인 CISO가 된다는 의미 

켈리만 이런 생각을 하는 것이 아니다. 지난 10년 동안 기업 보안 책임자는 시스템 방어에 초점을 맞춘 관리적 역할에서 비즈니스 지원에 중점을 둔 전략적 역할로 진화하면서 변혁적 업무에 참여할 것으로 예상된다.
 
KPMG 사이버 서비스 파트너인 비제이 자주는 “보안 담당자가 되는 것이 아니라 변화를 주도하고 가치를 제공할 수 있는 능력을 갖추는 것이다”라고 설명했다. 

실제로 변혁적인(transformational) CISO는 비즈니스를 이해하는 기술자나 기술을 습득한 경영인 이상의 역할을 한다. 오히려 변혁적인 보안 리더는 기업의 일상적인 요구 사항과 전략적 비전을 모두 지원하는 보안 전략을 설계, 제공, 실행할 수 있는 동시에, 더 크고 도전적이며, 종종 고통스러운 이니셔티브에 대해 최고 경영진들과 협력할 수 있는 사람이다.
 
이를 위해서는 많은 특별한 개인적 성격과 전문적인 기술이 필요하다.
 
포레스터 리서치의 수석 분석가 제프 폴라드는 “변혁적인 CISO는 혼란에 직면했을 때, 가장 편안한 사람, 가장 많은 변화를 감당할 수 있는 사람, 다년간의 구축을 가장 편안하게 처리할 수 있는 사람, 종종 전술적인 활동에서 좀 더 전략적이고 전체 조직이 원하는 것에 초점을 맞출 수 사람이다”라고 설명했다.

    
변혁적인 CISO의 기술과 특성 

포레스터 리서치는 변혁적인 CISO를 6가지 유형 가운데 하나라고 정의했다. 
2020년 5월, 폴라드와 함께 '모든 CISO는 이제 변혁적인 CISO(Every CISO Is Now A Transformational CISO)'라는 보고서를 만든 조시 젤로니스는 “변혁적인 CISO는 어려움을 겪고 있는 보안 프로그램을 점검하고 장기적인 개선이 이뤄지는 것을 보는 것을 좋아한다. 재설계, 재조정, 재구축은 그들에게 영감을 준다”라고 전했다. 
 
Jeff Pollard
하지만 변혁적인 CISO가 자신을 차별화하는 요소는 정확히 무엇인가? 그것이 자신의 역할과 임무를 사랑할 수 있게 해주는가? 

폴라드는 이 보고서에서 변혁적인 리더를 정의하는 몇 가지 특성을 확인했다고 말했다. 폴라드는 “변혁적인 CISO는 변화와 혼란에서 활력을 얻고, 전반적으로 에너지가 넘친다”라고 규정했다. 

변혁적인 CISO는 역동적이고 적응력이 뛰어나다. 그들은 솔직하고 설득력이 있으며, 외향적인 경향이 있고 합의를 도출할 수 있다. 폴라드는 “변혁적인 CISO는 약간의 영업을 할 수 있어야 하고, 회사 프로세스 중 나머지 부분에서 보안을 적용할 수 있어야 한다”라고 설명했다. 

폴라드는 “변혁적인 CISO는 변화를 기꺼이 감내할 수 있는 회사를 찾아야 한다. 세부적으로 관리하거나 지휘와 통제하지 않고, 중앙 집권적이지 않은 회사를 찾아야 한다. 아니면 시장에서 변화할 수 밖에 없는 회사를 찾아야 한다”라고 조언했다.

켈리는 CISO의 기술과 속성을 정의하는 목록에서 유연성과 함께 경청, 협업 능력을 강조했다. 또한 보안 기술과 개별 사업부와 같은 다양한 분야의 변화가 어떻게 기업과 산업 전반의 혼란을 야기하는지 연결하는 역량이 좋은 의사 소통자가 되는 데 필수적이라는 데 동의했다. 

CISO 데스크 레퍼런스 가이드(CISO Desk Reference Guide)의 공동 저자이자 기술업체 에보텍(EVOTEK) CISO인 매트 스탬퍼는 “CISO는 그들의 비즈니스와 산업, 그리고 이를 운영하는 기술에 대해 집중적으로 호기심을 가져야 한다. 기업의 탄력성을 위해 기업에 영향을 미치는 모든 것에 대해 훨씬 더 광범위한 시각을 가져야 한다”라고 말했다.
 
Matt Stamper
또한 스팸퍼는 “변혁적인 CISO는 보안 기능과 전체 기업이 내일이 아니라 수개월, 수년 동안 어디에 있어야 하는지를 분명히 알 수 있도록 사전 예방적이고 비전이 있어야 한다. 그런 다음 다른 경영진과 함께 이를 실행할 수 있어야 하며, 해당 비전에 대해 보안팀의 지원을 받아 실행할 수 있는 역량을 갖춰야 한다”고 설명했다. 

스탬퍼는 금융업체의 CISO를 따라야 할 모델로 언급하면서 금융 산업을 디지털 환경으로 전환하는 데 보안이 얼마나 필수적인지 초기에 파악했다고 덧붙였다. 
 
자주는 일반적으로 변혁적 리더는 비전, 영감, 혁신 및 열정이 있는 인물이라고 말했다.
 
Vijay Jajoo
자주는 "변혁적인 리더는 변화를 주도할 비전이 있지만, 영감을 줄 수도 있다. 이들은 자신의 군대를 모을 수 있지만, 또한 정렬을 하고 다른 사람을 해당 비전으로 이끌 수 있다. 보안 리더도 마찬가지다"라고 설명했다. 

자주는 변혁적 CISO의 모범적인 예로, 금융 서비스업체의 CISO를 지목했다. 기업 전체가 전면적인 혁신에 참여했으며, CISO는 보안 기능을 전술적인 기능에서 위험 감소 및 안전한 고객 참여에 초점을 맞춘 운영으로 전환함으로써 혁신을 수용했다. 

자주는 "이들은 인공지능과 같은 고급 기술을 채택하고, 복수의 이해 관계자를 만나 자신의 전략적 비전을 설명하고, 새로운 진로와 훈련 기회를 창출하기 위해 보안 운영을 점검하고, 위험을 감수하는 사람에게 불이익을 주지 않고, 혁신을 장려하며, 개선점을 입증하고 지속적인 성공을 위해 데이터 분석을 활용한다"라고 말했다. 
 
자주는 “도구를 어떻게 전달하는지에 대한 문제가 아니라 새로운 기능과 프로세스를 제공하고 개선을 추진하는 문제였다”라고 설명했다.


개발, 변혁적 특성 활용 

포레스터 보고서는 모든 CISO가 이제 변혁적 리더가 되어야 한다고 주장했지만, 폴라드와 같은 이들은 예외적인 상황도 있다고 이의를 제기했다. 

실제로 폴라드는 모든 CISO가 항상 변혁적 리더가 될 필요는 없다고 말했다. 또한 모든 CISO가 하나가 되는 경향이 있는데, 일부 CISO는 보안 운영을 성공적으로 유지하고 필요에 따라 점진적으로 조정하는 데 중점을 둬 안정적인 상태 환경을 관리하는 능력이 뛰어날 수 있다. 

게다가 일부 기업은 변혁적인 CISO를 원하지 않는다고 지적했다. 이런 기업은 최근 중요한 변화 이니셔티브를 완료하고 유지 보수 단계로 접어들고 있다. 이들은 현재 혼란을 겪지 않는 업종일 수도 있다. 또는 변혁적 CISO가 지원할만큼 광범위한 변화에 대응할 준비가 되지 않았을 수도 있다. 이런 경우에 변혁적 CISO가 적합하지 않을 것이며, 불행하고 성공적이지 못할 것이다. 

반면, 폴라드와 여러 CISO는 오늘날 거의 모든 기업이 혼란에 직면할 것이기 때문에 대부분의 CISO, 즉 변혁적 단계를 완전히 수용하지 못한 사람조차도 변혁적 CISO가 갖춰야 할 여러가지 특성 가운데 일부를 취해야 할 것이라고 설명했다. 

폴라드는 “변혁이 자신의 일이 아니더라도 해야 할 수도 있다. 대부분의 전문가는 자연스럽게 이 방향으로 나아가게 될 것이다"라고 덧붙였다.
 
Andrea Szeiler
헝가리 부다페스트에 본사를 둔 고객 경험 관리업체인 트랜스컴(Transcom) 글로벌 CISO 안드레아 세일러는 자신의 기술과 특성을 반영해 영향력있고 열정적이며 설득력있고, 경쟁적이고, 주도적이며, 결과 지향적인 역할이라는 점에서 자연스럽게 변혁적 역할에 적합하다고 판단했다.  

혁신을 주도한 경험이 있는 시일러는 자신의 특성을 다른 중요한 기술과 결합해 팀과 기업 전체에서 다른 사람에게 영감을 주고 공감대를 형성하는 데에도 도움을 줄 수 있을 것이라 믿었다. 

하지만 ISACA 부다페스트 지부 책임자인 시일러는 좀 더 침착하고 인내심을 유지하기 위해 노력하고 있다고 말했다. 시일러는 “나는 다른 사람으로부터 ‘너는 탱크다. 우리는 너의 돌진을 막을 수 없다’라는 말을 듣곤 했다. 그래서 나는 너무 빨리 가지 않도록, 인내심을 가지도록 스스로를 훈련했다. 혼자 가면 회사가 함께 있지 않기 때문이다. 모든 사람이 함께 움직일 수 있어야 한다”라고 말했다. editor@itworld.co.kr 

X