사이버 보안은 잘 만들어진 솔루션 몇 개로 해결되는 게 아니고, 잘 훈련된 보안 담당 팀이 홀로 감당하는 것도 아니다. 어느 조직이나 결국 ‘보안 문화’라는 걸 배양해야 할 필요를 느끼는 시점이 찾아올 텐데, 미리 겪어본 CISO들은 주로 이런 실수들을 저질렀다.

[보안뉴스 문정후 기자] CISO들을 비롯해 보안 담당자들 대부분 조직 내에서 외톨이처럼 지내는 경우가 많다. 회사의 나머지 업무들에 비해 보안과 관련된 일은 너무나 동떨어져 있다고 느끼는 사람들이 많기 때문이다. 그러니 함부로 다가갈 수도 없고, 괜히 말 붙였다가 이런 저런 하지 말 것들에 대한 잔소리만 듣게 되니 그 먼 심리적 거리가 도무지 좁혀지지 않는다.


혹시 당신도 그런 외톨이 보안 담당자 중 한 명인가? 조직 내 사람들이 은근히 보안을 어렵고 까다로운 것이라고 느끼는가? 그래서 당신과 시시껄렁한 농담은 주고받아도 업무와 관련된 이야기라면 피하려 하는가? 회의 시간에 구성원들이 당신의 눈치 보기에 바쁜가? 그렇다면 당신은 변해야 한다. 까다롭고 불편하고 어려운 상태로 보안 담당자가 계속 느껴진다면, 보안 문화는 정착할 수 없다.

첫 번째 변화의 대상은 CISO 자신이며 그 다음은 CISO가 운영하고 있는 보안 팀의 구성원들이다. 모두가 보안을 ‘다가가기 쉬운 것’으로 만드는 데 일조해야 한다. 어디든 보안 팀원들이 가 있어 누구나 보안과 관련된 궁금증이 생길 때마다 답을 얻을 수 있어야 한다. 무조건 안 된다는 대답이 아니라, ‘안전하게 되도록’ 하는 방향성의 고민이 같이 이뤄지는 것이 중요하다. 이런 노력들이 누적되다보면 전 조직적인 변화도 서서히 일어나게 되어 있다.

물론 세상 일이 뜻대로만 이뤄지는 건 아니다. 이런 노력을 한다 하더라도 일이 제대로 되지 않을 때가 있을 것인데, 일의 성취를 방해하는 주요 실수들은 다음과 같다.

1. 과제를 엉뚱한 사람들에게 부여한다
CISO들은 굉장히 넓은 범위의 일과 사람을 다루는 사람들이다. 따라서 스트레스도 많이 받는다. 게다가 대부분의 사람들은 CISO들이 직접 발로 뛰어 다니는 현장의 사람으로 여기기도 한다. 조직을 운영하고 관리하느라 잠깐 현장에서 보이지 않아도 일을 하지 않는 것으로 생각하는 것이다. 그리고 이 착각을 CISO 본인들이 할 때도 참 많다. 현장을 도무지 떠나지 못하는 CISO들을 필자는 숱하게 보아 왔다.

그러니 무슨 일이 일어나는가? CISO들이 자신들에게 주어진 팀원들을 잘 활용하지 못한다. 스스로는 물론 각 팀원이 가진 ‘소프트 스킬들’을 활용하지 못하고 전면에 드러난 전문 기술 위주로만 생각한다. 그래서 일이 비효율적으로 진행되곤 한다. 심지어 임무를 부적절한 사람에게 주는 사례도 허다하다. 조직을 이끄는 사람이라면 구성원들의 소프트 스킬까지도 파악하고, 그에 맞는 과제를 부여할 수 있어야 한다. CISO들이 대부분 일들을 직접 처리하면 그 때 그 때의 급한 불은 끌 수 있지만 팀을 이끄는 사람으로 성장하기까지 긴 시간이 걸린다. 팀 단위의 성과를 내는 것이 그만큼 늦어진다.

보안 전문가로서 커리어를 시작해 CISO의 자리에까지 올랐다면 사람을 다루는 데 보다 집중할 필요가 있다. 보안 전문가로서의 전문성을 잊으라는 게 아니다. 그 전문성을 바탕으로 구성원들을 효율적으로 운영하여 보다 큰 일을 이뤄내는 데 초점을 맞추라는 것이다. 사람들을 파악하고, 전문성 외의 소프트 스킬까지 파악해 적절한 결정을 내리는 건 첩보와 정보를 수집하고 이어붙여 큰 그림을 파악해 올바른 대응 방안을 선택하는 보안 일선의 업무와 크게 다르지 않다.

2. 보안에 집중하다가 기업 전체의 목표를 잊는다
CISO의 자리에 올랐으면 팀원들을 좀 더 활용할 수 있어야 한다고 했다. 즉, 시야가 넓어질 필요가 있다는 뜻이다. 시야를 넓혀 기업 전체 혹은 현재 진행되고 있는 주요 사업에까지도 닿아야 한다. ‘우리 회사가 이런 저런 사업을 해서 이윤을 남기고 시장에서 살아남는다’는 맥락 안에 있어야 보안도 의미를 갖는 것이라는 걸 기억하고, 이를 업무에도 적용할 필요가 있다. 보안과 관련된 사안을 절대적 안전과 불안전의 차원에서 바라보는 게 아니라, 사업적 맥락 안에서 바라보고 전혀 다른 차원의 해결책을 내놔야 한다는 것이다.

하지만 시야를 넓혀 다른 분야까지 고려해 보안 아키텍처를 설계한다는 건 말처럼 간단히 되는 게 아니다. 그렇기에 필자는 가장 간단하면서 실천이 가능한 방법을 하나 제안하고자 하는데, 바로 ‘소통’이다. CFO, CMO, CIO들은 물론 각 부서의 주요 담당자들이나 책임자와 꾸준히 대화하는 시간을 따로 갖는 게 좋다. 매번 새로운 사실을 깨닫고 학문을 익혀 개인의 지경을 넓힐 필요는 없다. 꾸준히 대화를 하면서 시간을 충분히 들여 각 분야 전문가들의 사고방식이나 현재의 보안 혹은 IT 관련 고민들을 이해하면 된다. 그들이 어떤 목표를 가지고 업무에 임하는지, 보안이 어떤 식으로 그 목표 달성에 이바지 할 수 있는지를 고민하면서 대화에 임하면 그리 많은 시간이 투자되지 않아도 된다.

3. 너무 소소하고 너무 조용하게 변화를 유도한다
필자는 항상 팀원들에게 이런 질문을 던지고, 그들 스스로도 같은 질문을 고민하도록 한다. ‘지금 내가 하는 작업이 우리 팀 전체에 도움이 되는 건가? 아니면 나 혼자에게만 도움이 되는 건가?’ 당연한 얘기지만 첫 번째 질문에 ‘그렇다’, 두 번째 질문에 ‘아니다’가 가장 이상적이다. 즉 보안 담당자로서 지금 내리는 결정이, 나라는 사람을 돋보이게 하는 건지 아니면 회사 전체 이윤 증가나 경비 절감에 영향을 미치는 건지를 객관적으로 판단하는 것이 좋다는 것이다.

보안은 더더군다나 넓은 영향을 미쳐야 하는 분야다. CISO들 중 보안 문화를 정착하거나 임직원들의 업무 습관을 바꾸겠다고 야심차게 프로젝트를 시작했지만, 너무나 겸손하여 스스로의 보안 습관을 강화하거나 팀의 업무 프로세스를 좀 더 안전하게 바꾸는 것 정도에서 끝내는 경우를 많이 보았다. 사실, 남의 행동에 의도적으로 영향을 준다는 건 생각보다 쉽지 않은 일이다. 스스로를 변화시키고, 나의 팀을 변화시키는 것도 중요하고 가치 있는 일이지만, 그것보다 조금 더 욕심을 부려도 된다. 그래야 조직 전체의 보안이 강화된다.

글 : 버나드 브랜틀리(Bernard Brantley), CISO, Corelight
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>