• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

CISO가 희생양처럼 소모되는 세상에서 살아남으려면 2023.11.09

빠르게 변하는 세상에서 변하지 않는 것이 있으니 CISO의 역할이다. 특히 ‘희생양’으로서는 대체할 직무가 존재하지 않을 정도다.

[보안뉴스 문정후 기자] 정말 열 받는다. 사실 필자만이 아니라 모든 CISO들이 그럴 것이라고 생각한다. 최근 미국 증권거래위원회의 작태 때문이다. 솔라윈즈(SolarWinds)에서 발생한 해킹 사고 때문에 그 회사 CISO인 티모시 브라운(Timothy Brown)을 콕 짚어 고소했으니 말이다. 고소장이 무려 68페이지에 달한다. 그가 투자자들과 고객들에게 제대로 정보를 공유하지 않았기 때문에 사기 행위에 해당한다고 위원회는 주장하고 있다.

[이미지 = gettyimagesbank]


이건 브라운의 개인사가 아니다. 그리고 CISO가 고소당하는 것이 이번 일로서 완전히 종식될 리도 없다. 조직 전체의 보안을 책임지는 자로서 우리 CISO들은 “고소를 당할 수 있다”는 두려움을 항상 짊어지고 일해야 하고, 이번 사건을 통해 그 부담감이 가중됐다. 우리 모두 회사를 대표해 피고가 될 수 있는 자들임이 확인됐다.

(심지어 브라운은 솔라윈즈 침해 사고가 벌어졌던 당시에는 CISO가 아니었다. 브라운은 2021년 1월에야 CISO가 되었고, 따라서 그 때가 아니라 현재의 CISO일 뿐이다. 위원회는 수년 전 일어난 사건에 대한 책임을 묻기 위해 당시에는 책임자가 아니었던 사람을 걸고 넘어진 것이다.)

증권거래위원회의 시도와 실패
2023년 3월 증권거래위원회는 사이버 보안 감독 문제와 관련하여 몇 가지 변경을 제안한 바 있다. 침해 사고가 발생했을 때 이를 알리는 기한을 짧게 하자는 내용도 포함되어 있었다. 위원회가 한 것이니 모두가 따를 수밖에 없었다. 그래서 이제는 뭔가 심각한 사이버 보안 문제가 발생했다는 걸 알게 되면 4일 안에 위원회에 알려야 한다. 여기까지는 그리 나쁘지 않다. 이해할 만하다.

여기에 더해 위원회는 위원회가 감독 권한을 갖는 모든 기업들이 보안 현황을 이사회에서 공유하고 숙지하도록 해야 한다는 규정도 만들려 했다. 하지만 격렬한 반대에 부딪혀 이 사안은 취소됐다. 필자는 이 부분이 너무나 아쉽다. 위원회의 의도는 ‘보안의 책임을 기업의 이사회 전 인원이 지도록 하는 것’이었다. 지금 생각하면 이것은 무산되면 안 됐었다. 이 과정이 사라지면서 보안 사고에 대한 책임을 이사회가 아니라 CISO라는 개인에게 묻게 된 것이니 말이다.

위원회가 임원진 전체가 아니라 CISO 개인에게 사건에 대한 책임을 물었기 때문에 CISO라는 직군에는 커다란 변화가 예고되었다. 물론 앞서 설명했듯 위원회가 처음부터 CISO를 책임자로 본 것은 아니었다. 임원진 전체를 보안의 책임자로 두려 했지만 실패했었다. 그럼에도 지금 위원회가 CISO를 단 하나의 책임자로 보려 한다는 사실 자체에는 변함이 없다. 그리고 이는 충분히 문제 삼을 만하다고 생각한다.

그러나 불평만 할 수는 없는 노릇. CISO로서 현장에서 살아남기 위한 대책을 마련하는 게 급선무다. CISO들은 앞으로 어떻게 해야 할까? 기업은 어떤 사람을 CISO로 두어야 이런 사건을 방지할 수 있을까?

필자의 머릿속에 가장 먼저 떠오르는 건, 앞으로 CISO에게 기술적 소양이 훨씬 많이 필요하게 될 것이라는 점이다. CISO들은 매일 회사에 치명적일 수 있는 결정을 내려야 한다. 특정 기술을 도입할 것인가 말 것인가, 한다면 어느 시간 안에 마무리 지어야 하는가, 리스크 평가를 어떻게 할 것이며, 그 평가 기준이 완전하다고 자신할 수 있는가 등 너무나 중요한 문제들을 떠안아야 한다. 기술적인 지식이 깊고 세세하지 않다면 이런 사안들에 대한 결정을 정확히 내리기 힘들어진다. 그러므로 사고의 확률이 높아지고, 그러므로 고소당할 가능성도 높아진다.

지금부터 움직여야 한다
기술적인 이해도와 실력을 높이는 것 외에도 CISO들이 해야 할 일이 있다. 얼른 생각나는 것들을 적어보면 다음과 같다.

1) 회사 임원진 회의에 참석할 권한을 요구해야 한다. 또한 임원진들이 드는 ‘임원배상책임보험’에 CISO도 포함시킬 것을 강력히 요청한다.

2) 이사회에 CISO도 직접적으로 이야기할 수 있어야 한다. 그래야 계속해서 보안 상황과 제안을 공유할 수 있게 되고, 그럼으로써 실질적인 변화를 이끌어낼 수 있다. 거기에 더해 ‘나만 알았던 것이 아니’라는 걸 강조할 수 있다.

3) 사업 운영 전략 회의에도 참석할 수 있도록 힘 써야 한다. 사업을 진행하다 보면 넘치는 의욕 때문에 위험한 결정이 내려지고, CISO는 나중에 통보만 받는 경우가 종종 생긴다. 이런 일이 발생하지 않도록 CISO가 적극 나서야 한다. 그래야 법정에 서더라도 할 말이 생긴다.

4) 회사와 고용 계약을 체결할 때 ‘안전망’ 조항을 추가한다. 보안 사고로 인한 법적 분쟁이 발생했을 때 CISO가 사비로 손해 배상을 감당해야 한다거나 혼자 법정 공방을 치러야 하는 일을 막아야 한다. 기업의 보안 사고는 기업 전체가 책임져야 함을 분명히 하자.

CISO는 능동적인 자세로 기업을 보호해야 하는 임무를 가진 사람이다. 이제는 보호 대상이 하나 더 늘었다. 바로 자기 자신이다.

글 : 데이비드 린드너(David Lindner), CISO, Contrast Security
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>