CISO로 새롭게 부임한 사람들은 초기에 어떤 일을 주로 하게 될까? RSA 행사에 세 명의 CISO들이 나와 자신의 경험담을 나눴다. 모든 의견이 일치하지는 않은 모양이다.

[보안뉴스 문가용 기자] 이번 주 열린 보안 행사 RSA에서 세 명의 CISO들이 나와 취임 후 첫 90일 동안의 경험을 공유했다. 90일 동안 각종 난관에 부딪히면서 정말로 집중해야 할 중요한 것이 무엇인지를 깨달을 수 있다는 게 세 명의 공통된 설명이었다.


이러한 토크 쇼에 나온 것은 레딧의 CISO인 앨리슨 밀러(Allison Miller), 앰플리튜드의 CISO인 올리비아 로즈(Olivia Rose), 로빈후드의 CISO인 칼렙 시마(Caleb Sima)였다. 세 명의 이야기를 레인캐피탈(Rain Capital)의 창립자인 첸시 왕(Chenxi Wang)이 중간에서 조율했다.

제일 먼저 입을 연 건 시마였다. 로빈후드에 막 부임했을 때 그가 먼저 한 건 데이터 포인트들을 간단하게 수집한 뒤 이름을 붙이는 것이었다고 한다. “하나는 ‘가장 어려운 문제들’이었고, 다른 하나는 ‘나를 두렵게 하는 것들’이었습니다.” 그러자 로즈가 나서서 “그런 식으로 뭉뚱그려서 힐난조로 데이터 포인트들을 부르면 자칫 엔지니어들과 IT 팀들을 화나게 할 수 있고, 그러면 CISO로서 좋을 것이 하나도 없다”고 말했다.

그러면서 로즈는 “CISO의 일을 수행한다는 건 춤을 추는 것 같아 내가 누군가의 발을 밟는 건 아닌가, 나의 움직임이 지나치게 시선을 끌거나, 분위기를 망가트리는 건 아닌가 살펴야 한다”고 주장했다. “게다가 나는 처음부터 거기에 있던 춤꾼이 아니에요. 중간에 초대되어 온 사람이고, 이미 플로어에는 스텝을 맞춰온 사람들이 있거든요. 그런 걸 전부 고려해야 합니다.”

로즈는 “그래서 각 부서들을 돌아다니면서 현장에서 직접 만나 이야기를 나눴다”고 말한다. CISO 사무실로 초대한 게 아니라 직접 부서들의 사무 공간을 방문했다는 것이다. “IT 사업부이든 개발부서이든 인프라 관리부서이든 재무부이든 그들의 홈그라운드로 가서 그들의 언어로 이야기하려고 노력했습니다. 그러면서도 제가 전달해야 할 메시지는 늘 분명하게 표현했습니다.”

여기에 시마는 동의할 수 없다는 듯이 웃으며 끼어들었다. “솔직히 보안 책임자가 모두와 화합할 수는 없습니다. 만약 당신을 싫어하거나 귀찮아 하는 사람이 단 한 사람도 없다면 그건 일을 제대로 하고 있지 않은 거라고 생각합니다. 좋게 좋게만 해서는 보안 정책이라는 것이 전부 무시되는 게 일반적이거든요.”

둘의 접근 방식은 크게 상반된 것으로 보이는데, 밀러를 포함해 셋이 임기 초반에 하던 일은 대동소이했다. “사내 조직들 사이에서는 다소 낯설 수 있는 보안 전략과 방침을 설명하고 설득하는 일이 가장 힘들었습니다. CISO로서 우리 조직의 보안 체계는 이러이러해야 한다고 생각하고 검토해서 적용하려는데, 적잖은 반발들이 나온 것이죠. 그러다 보니 법무팀 혹은 규정 준수 관리 감독 팀이 가장 좋은 파트너가 되어버렸어요.” 밀러의 설명이고, 로즈도 동의한다.

“그러므로 당신의 편에 서 줄 사람들이 반드시 필요해요. 아무리 설득력이 강해도 혼자 내는 목소리에는 한계가 있거든요. 보안은 엔지니어링, 인프라, IT, 제품, 고객 서비스 팀과 마찰을 일으킬 소지가 다분한 부서입니다. 법무 팀이나 규정 준수 감독 팀이 나서주면 보안 정책이 지켜지지 않았을 때 어떤 일이 일어나게 되는지를 보다 명확하고 힘 있게 정의할 수 있게 되죠. 저는 법무와 규정 관련 팀과 친구가 될 것을 권해주고 싶습니다.”

임원진들과의 대화
임원진들과의 대화가 쉽지 않았다는 것도 세 CISO들의 공통점이었다. 시마는 “커다란 맥락적 설명을 빼놓지 않으려는 편”이라고 설명한다. “보안 부서가 현재 어떤 위치에 서 있으며, 왜 거기 있는지, 그리고 어디로 가는 것인지를 커다란 흐름 안에서 설명하려고 노력하는 편입니다. 그렇지 않고 현재 시점에 대해서만 이야기 하면 테크나 보안을 잘 모르는 사람들은 전혀 이해하지 못하더군요. 세부적인 내용을 궁금해 하는 임직원들이 있을 수도 있는데, 그럴 때는 따로 보고서를 만들거나 뒤에 남아서 이야기를 더 나눕니다.”

임직원이 이해하고 활용할 수 있는 유형의 데이터를 만들어 제공하는 문제가 질문으로 나왔을 때 로즈는 CMMI 사이버 성숙도 모델(CMMI Cybermaturity Model)을 자주 활용한다고 말했고, 시마와 밀러는 NIST의 CSF 프레임워크에 의존한다고 답했다. 로즈는 “이런 프레임워크는 일반인들이 보안을 시각적으로 이해할 수 있도록 해 주기 때문에 매우 높은 가치를 가지고 있다”고 설명했다.

사회자였던 왕은 기업 임원진이기도 하기 때문에 한 마디 거들 수 있었다. “C레벨 임원진들은 내부 CISO가 하는 말을 100% 다 믿지 않습니다. 아무래도 내부 직원의 말이니 곧이 곧대로 들리지 않는 것이죠. 그렇기 때문에 파트너사나 신뢰할 만한 서드파티의 조사 자료나 연구 보고서를 가지고 주장을 하는 편이 훨씬 강한 설득력을 발휘할 수 있습니다.”

시마는 “CISO로 처음 부임되고 나서 임원들과 만나는 자리에서 제일 먼저 해야 할 건, 그들의 기대치를 낮춰서 모두가 같은 눈높이가 되는 것”이라고 강조했다. “당신에 대하여 너무 높은 기대감을 갖게 하는 건, 사고 발생 시 모든 책임을 CISO들에게 떠넘길 사람을 만드는 것과 같습니다.”

로즈는 “첫 90일 동안은 임원들과 함께하는 자리에서 이야기를 많이 하지 않는 게 좋다”고 권고한다. “처음이니까 좋은 인상을 남기고 싶어서 말을 과도하게 하게 되는데, 이는 스스로 함정을 파는 결과를 낳을 때가 많습니다. 그러면 높은 기대감을 갖게 하고, 나가지 말아야 할 정보가 나가기도 합니다. 인상을 남기는 게 중요하긴 하지만, CISO라면 첫 90일 동안에는 포기해야 합니다.”

3줄 요약
1. CISO의 첫 90일, 모든 부서와 화합하거나 강력하게 보안 정책을 시행하거나.
2. 임원진들과의 대화가 특히 중요할 수 있는데, 보안의 커다란 흐름을 이해시키는 게 관건.
3. 하지만 좋은 인상을 남기고자 이야기를 너무 많이 하는 건 오히려 독이 됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>