새로운 C레벨 직책이 필요하다는 소리가 업계에서 조금씩 나오고 있다. 사이버 보안 사고가 터졌을 때 기업을 최대한 빨리 평상시로 복귀시키는 책임을 누군가 맡아야 한다는 것이다.

[보안뉴스=브랜든 테일러 IT 칼럼니스트] 사이버 위기 관리라는 건, ‘위기 요소를 미리 다뤄서 사건이 일어나지 않게 한다’는 것만을 의미하는 게 아니다. 위기 상황이 실제로 닥쳤을 때 빠르게 대응하여 피해를 줄이고 평상시 상황으로 최대한 빠르게 복구하는 것도 의미한다. 오히려, 예방보다 대응이 더 많은 비중을 차지하고 있는 게 현재 상황이다. 예방을 위한 작업을 아무리 철저하게 한다 한들, 한 번 뚫렸을 때 제대로 대응하지 못한다면 그 기업은 소비자들로부터 완전히 버림받을 수도 있기 때문이다.


그렇기 때문에 리스크에 대한 효과적이면서 효율적인 대응이 어느 기업에나 필요하다. 그리고 이를 사업적 목표 달성과 조화롭게 구성하는 게 중요하다. 그러려면 리스크를 다룰 줄 알면서 동시에 사업적 필요 역시 이해할 수 있는 리더가 필요하다. 필자는 이 리더를 CRO라고 부르면 어떨까 제안한다. ‘최고 복구 책임자(Chief Resilience Officer)’의 준말이다.

여태까지는 사이버 사고로부터의 리질리언스, 즉 복구력이라는 건 CISO나 CIO가 담당하는 개념이었다. 하지만 복구력 유지 및 강화의 범주에 들어가는 임무들이 너무나 많아지고 있는 상황이라 가뜩이나 일이 많은 CISO나 CIO에게 모두 맡기기가 힘들어지고 있다. 그렇기에 이 부분을 따로 담당하는 사람이 필요하다고 본다. 특히 큰 기업이라면 더더욱 그러할 것이다.

솔직히 말하자면 이 CRO라는 직책은 필자가 처음 고안해 낸 개념이 아니다. 이미 몇몇 기업들이 이러한 직책을 만들어 사람까지 고용한 상황이다. 예를 들어 보안 전문가 티아 홉킨스(Tia Hopkins)의 경우 지난 2월 보안 업체 이센타이어(eSentire)의 CRO가 된 바 있다. 이전 회사에서는 CTO를 역임했던 인물이었는데 말이다. 홉킨스는 자신의 새로운 역할에 대해 이렇게 설명한다.

“CRO가 여러 기업에 필요한 이유는 다양합니다. CRO라고 직접 명시하지는 않고 있지만, 그러한 역할을 가진 담당자 혹은 책임자가 필요하다는 식의 규정이 하나 둘 생겨나고 있다는 것이 첫 번째입니다. 미국의 증권거래위원회도 이미 금융 기관들에 비슷한 요구를 하고 있지요. 또한 사이버 복구력이라는 건 ‘우리 회사는 보안을 중요하게 생각한다’는 기업들의 숱한 선언들을 가시적으로 증명할 수 있는 수단이 되기도 합니다. 소비자들은 말로만 하는 기업들의 약속에 지쳐 있고, 증거를 보고 싶어 합니다. CRO의 신설은 그런 소비자들의 불만족을 어느 정도 충족시켜줄 수 있게 될 겁니다.”

그렇다면 CISO와 CRO는 어떻게 다를까? 홉킨스는 이렇게 설명한다. “CISO는 ‘무엇이 문제인가?’라는 질문으로 접근합니다. CRO는 ‘언제 일이 터질까’라는 질문에 대한 답을 찾으려 합니다. 문제가 발생하지 않을지도 모르고, 그러는 게 더 좋다는 입장에서 조직을 튼튼하게 하는 게 CISO라면, 문제가 반드시 발생한다는 걸 전제로 깔고 있는 게 CRO이죠. 그러므로 ‘위험 요소를 줄여야 한다’는 게 CISO가 중요하게 생각하는 것이고, ‘아무 일 없었던 것처럼 정상 업무를 진행할 수 있어야 한다’는 게 CRO로서는 가장 중요한 게 됩니다.”

올해 CRO라는 역할을 고민하는 기업이나 전문가라면 “생성형 인공지능을 고민에 포함시켜야 한다”고 강조한다. “생성형 인공지능은 급속도로 인기가 올라가고 있는 기술이고, 이제 우리는 이 기술 없는 세상으로 돌아가지 못할 겁니다. 하지만 아직 생성형 인공지능을 안전하게 사용하는 방법을 다 모르는 것도 우리의 현실입니다. 이 부분에서는 반드시 사고가 터질 것이고, 그러므로 복구력을 갖추고 있는 게 중요합니다. 모든 조직에 CRO의 마인드셋이 필요하다는 겁니다.”

글 : 브랜든 테일러(Brandon Taylor), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>