• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보호최고책임자(CISO), 사명감 만큼 압박감 느껴... ‘사이버 복원력 확보’ 어려운 게 현실 2023.05.02

글로벌 CISO의 투철한 사명의식 만큼 중압감 가중
공격자는 하나의 공격, CISO는 다수의 공격 방어...업무 과다 및 지원 부족
효율적·효과적인 CISO 업무 위해 단일 소스의 통합 솔루션 필요

[보안뉴스 이소미 기자] 사이버 위협 환경은 늘 새롭다. 언제 어디에서 어떤 위협이 발생할지 예측할 수 없는 역동적인 환경이기 때문이다. 그러한 사이버 위협으로부터 보안을 책임지는 ‘정보보호최고책임자(이하 CISO)’의 자리는 막중하다. 조직 내 CISO들은 사명감과 책임감이라는 큰 무게를 감당하며 보안 유지를 위해 노력한다.

반면, 글로벌 CISO들을 대상으로 한 조사에 따르면, 대부분의 CISO들은 사명감에 비해 적절한 지원을 받지 못하고 있으며, 의견 반영이 어렵고 그들의 존재감까지 상실했다고 느낀다는 안타까운 결과가 전해졌다. 조직 내 보안을 지키려는 CISO들의 투철한 주인정신에 비해 지나친 업무량과 압박감에 시달리는 등 매우 열악한 환경에 처해 있는 것으로 나타났다.

[이미지=보안뉴스]


글로벌 사이버 보안기업 트렐릭스(Trellix)의 CEO 브라이언 팔마(Bryan Palma)는 “CISO는 테크 업계에서 가장 외로운 직책”이라면서, “선과 악의 행위자 모두 AI를 활용하는 지금이야말로 보안 운영전략 혁신을 세워 사이버 범죄와 맞서야 할 때”라고 말했다. 이어 “사이버 범죄와의 싸움에서 항상 승리하기 위해서는 CISO의 역량 강화는 필수적”이라고 강조했다.

트렐릭스는 영국 시장조사업체 밴슨 본(Vanson Bourne)과 함께 미국, 영국을 포함한 9개국의 글로벌 CISO 500명을 대상으로△CISO가 주로 겪는 어려움 △보안 유지에 장애가 되는 비즈니스 요소들 △성공적인 보안 유지를 위한 요건 등에 대한 연구·조사를 진행했다. 그 결과, 조직 내 글로벌 CISO가 주로 겪고 있는 어려운 점은 크게 3가지를 나눠볼 수 있었다.

첫째, ‘지원 부족’이다
CISO의 96%가 경영진으로부터 보안 유지에 필요한 지원을 받는 데 어려움을 겪고 있다고 대답했다. 확실한 지원을 받기 위해서는 조직 내 모든 직원이 사이버 보안 문제의 심각성을 공감하는 것이 가장 중요하다고 강조했다. CEO를 포함한 모든 조직 구성원들이 사이버 보안의 중요성을 충분히 인식한다면 CISO들이 업무를 보다 효율적으로 수행할 수 있다는 것이다. 나머지 의견으로는 ‘숙련된 인재 부족’이 해결해야 할 과제로 나왔다.

둘째, ‘과중한 부담감’이다
조사에 따르면, CISO 10명 중 4명은 2번 이상의 중대한 사이버 보안 사고를 처리한 경험이 있는데 그 중 80%는 전적으로 또는 대부분의 책임이 CISO 자신에게 있다고 생각한다고 대답했다. 그만큼 CISO들은 철두철미한 보안을 위해 남다른 사명감을 갖고 있는 것으로 나타났다.

그러나 조직 내 발생하는 보안사고의 책임은 비단 CISO에게만 있는 것이 아니다. 실제로 CISO가 아닌 CEO를 포함한 다른 구성원 중 누군가가 사이버 공격에 의해 회사 기밀정보나 데이터·파일 등을 유출하는 경우가 허다하다. 그럼에도 불구하고 보안사고의 모든 책임을 과실을 저지른 당사자가 아닌 CISO에게 전부 넘기는 것은 다수의 과실을 공공의 책임이 아닌 어느 한 개인이 짊어져야 할 무거운 짐으로 가중되므로 옳지 않다는 의견이 모아졌다.

공격자는 하나의 공격만 성공시키면 되지만, CISO는 다수의 공격을 모두 방어해야 한다는 측면에서 상당한 압박감을 느낀다는 것이다. 따라서, 조직 내 건강한 사이버보안 문화 정착을 위해서는 CISO의 독립적인 노력 뿐만 아니라 경영진 전반에 걸친 조직 구성원 모두가 협력하는 ‘공동 책임’ 문화 정착이 필요하다는 것을 알 수 있는 대목이다.

셋째, ‘통합 솔루션의 부재’, 가장 큰 장애물은 ‘넘쳐나는 부적절한 솔루션’
조사에 응한 CISO의 30% 이상은 지나치게 많고 복잡한 솔루션을 문제점으로 꼽았는데 실제로 단일 소스 없이 너무 많은 기술을 활용해야 하는 상황이 불필요한 경우가 많다고 했다.

미국의 한 공공기관의 CISO는 “우리는 보안 툴에 막대한 비용을 투자하고 있음에도 불구하고, 일부 영역에서는 고갈 현상이 발생하고 있으며 심지어 25% 정도만 제대로 사용되고 있다”면서, “보안담당자, CISO, 분석가, 그리고 엔지니어가 특정 사안에 대한 일상 업무와 활동을 이해하고, 이를 기반으로 구축한 통합보안 툴 부재가 가장 큰 문제라고 생각한다”고 설명했다.

CISO의 94%에 달하는 인원이 효율적이고 효과적인 업무 수행을 위해 적합한 툴을 사용하는 것이 필수라고 응답했다. 보안 투자 극대화를 위해 단일 통합 엔터프라이즈 사용을 희망하는 것으로 나타났다.

한편, 이번 통계 자료를 마련한 트렐릭스(Trellix)의 브라이언 팔마 CEO는 미국에서 진행된 RSA 컨퍼런스 2023에서 기조연설을 통해 미래의 SOC를 재조명하고, 사이버 범죄와 맞서는 조직을 돕고 CISO를 지원하기 위해 나아가야 할 방향성에 대해 논의하는 시간을 가졌다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>