• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

포춘 100대 기업들의 CISO들을 만나 직접 들은 직무 수행 팁 2023.07.13

CISO로 살기가 점점 힘들어지고 있다. 거대한 기업들의 CISO들일수록 더 그렇다. 과한 압박감 속에 살아가는 CISO들은 어떤 생존 노하우를 가지고 있을까? 크게 3가지로 정리해 보았다.

[보안뉴스 문가용 기자] 최근 필자는 미국 동부 지역을 쭉 돌며 포춘 100대 기업의 CISO들을 만났다. 그리고 사이버 보안과 관련된 이야기를 허심탄회하게 나눴다. 보안 사고 하나하나가 어떤 영향을 미치는지, 요즘 보안 관련 규정들에 대하여 어떤 의견을 가지고 있는지, 인재난의 한 가운데서 어떤 노력을 하고 있는지, 다양한 주제가 끝도 없이 나왔다. 그 내용을 이 글을 통해 간략히 정리하고자 한다.

[이미지 = gettyimagesbank]


정부의 규제와 기관들
보통 CISO들은 규제 기관과 복잡한 관계를 가지고 있다. 복잡하다 함은 좋은 면과 좋지 않은 면을 다양하게 가지고 있다는 것이다. 현재 정부 기관들은 여러 가지 첩보를 민간 CISO들과 적극 공유하려 애쓰고 있다. 동시에 각종 규제를 만들어 나라 전체가 통일된 방향으로 보안 전략을 구축하고 실행하기를 원하기도 한다. 첩보를 공유 받는 것도, 규제에 따르는 것도, CISO들에게는 모두 중요하다. 그러므로 적절한 정부 기관 담당자들과 좋은 관계를 유지하는 건 필수다.

여기까지는 상식이다. CISO들 대부분 한 술 더떠 ‘실제 보안 사고가 발생하기 전에 그러한 관계를 형성하고 있어야 한다’고 강조한다. 특히 담당자들과 개인적인 친분을 쌓았느냐 그렇지 못했느냐에 따라 사건 발생 시 후속 처리 효율과 효과가 완전히 달라진다고 입을 모은다. 그 담당자들이 부정한 편의를 봐주기 때문이 아니라, 각종 행정 처리를 할 때 실수나 착오가 줄어들기 때문이다. ‘우리 회사에서 보안 사고가 터졌을 때 보고해야 할 기관이 정확히 어디인지를 알아두는 것’이 대단히 큰 힘을 발휘한다는 것이 CISO들의 공통된 설명이다.

채용의 어려움과 색다른 기회들
사이버 보안 분야는 현재 수년 째 사람을 구할 수 없다는 어려움을 해결하지 못하고 있다. 2022년 전 세계적으로 모자란 보안 전문가들은 340만 명에 달한다고 한다. 어마어마한 숫자다. 사람이 없다는 건 그 자체로 취약점이 될 수 있다. 특히 새로운 규정이 물밀듯이 우리의 업무 환경 가운데로 들어오고, 새로운 기술들이 여러 가지 충격적인 변화를 일으키고 있는 시점에 사람을 구할 수 없어 소수 인원으로 감당해야 한다는 건 대단히 뼈아프게 다가오고 있다.

CISO들은 ‘보안 인력이 부족하다’는 문장을 두 가지로 해석한다. 하나는 ‘딱 맞는 기술과 실력을 갖춘 사람이 없다’는 것이고, 다른 하나는 ‘구성원의 다양성이 부족하다’는 것이다. 무슨 뜻일까? 입사 후보가 보안 관련 자격증이나 학위를 갖췄다고 해서 지금 우리 회사에 필요한 사람일 가능성은 높지 않다는 것이며, 좀 더 시야를 넓혀 다양한 출신 배경을 가진 사람들 속에서 필요한 사람을 찾을 필요가 있다는 것이다.

여기까지는 상식이다. CISO들 대부분 한 술 더떠 “이제 사람을 원하는 만큼 구하지 못한 채 팀을 이끌어가야 하는 시대가 왔음을 받아들여야 한다”는 데 동의한다. 사람을 구할 수 있을 거라는 기대는 버리고 그 자리를 기술, 특히 자동화로 채우려는 게 필자가 만난 CISO들 거의 대부분의 공통된 의견이었다. ‘사람이 없어’라고 한탄하고 있기에는 보안 담당자들이 처리해야 할 업무가 너무나 많다. 익숙해져야 할 도구와 개념과 정책과 규제들도 너무 많다. 그러니 포기할 건 포기하고, 대체할 수 있을 만한 것을 찾는 게 현실적이라는 것. 현재 대체재로서 첫 손에 꼽히는 건 인공지능과 자동화다.

CISO의 역할론과 보험
우버의 CISO 조셉 설리반(Joseph Sullivan)은 2016년 우버에서 발생한 정보 침해 사고 때문에 5만 달러의 벌금과 200시간의 봉사 활동, 3년의 보호 관찰 기간을 명령 받았다. 이 판결은 CISO들 사이에서 가장 큰 화제가 되고 있다. 판결이 적절했는지는 차치하고 CISO들도 책임을 나눠질 상사가 있어야 하는지, 혹은 CISO들을 위한 보험 상품이 필요한 건 아닌지까지 대화가 진전되고 있다.


그러면서 CISO가 조직 내에서 어느 정도까지의 권한과 의무를 가져야 하는지가 다시 검토되어야 한다는 목소리가 나오고 있다. CISO는 비교적 새롭게 만들어진 직무이고, 그래서 조직들마다 중구난방으로 운영한다. 어떤 곳은 CIO의 아래에 두기도 하고, 어떤 곳은 CEO의 아래에 두기도 한다. 외주 인력처럼 자리를 잡은 곳도 있다. 하지만 어디에나 똑같은 것이 하나 있는데, 실제 사고가 발생하면 CISO들이 책임을 진다는 것이다. 위의 설리반 같은 사례도 있지만, 대부분 사고 발생 후 직장을 잃는다.

이 문제에 대해서는 CISO들도 뾰족한 방법을 가지고 있는 건 아니다. 각자 생각이 조금씩 다르다. 다만 CISO로서 산다는 게 점점 위험하고 부담감 커지는 일이 되어가고 있다는 것은 분명해 보인다. 오죽하면 특정 직무에 따른 보험 상품 이야기까지 나오고 있을까. 그 압박감을 분산시킬 장치가 필요하고, 이는 조직 차원에서 검토되어야 한다. CISO들은 이러한 논의를 지켜보면서 적극적으로 대책 마련에 나서야 할 것이다.

글 : 래리 화이트사이드 주니어(Larry Whiteside Jr.), CISO, RegScale
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>