정보보호팀 역할 명백하게 제시할 줄 알아야...

CISO(최고 정보보호 책임자)들이 서로 동일한 배경을 가질 수는 없지만 훌륭한 CISO는 모두 유사한 스킬을 가지고 있다. 100명의 CISO에게 현재 위치에 어떻게 오르게 되었냐고 물으면, 아마 100가지 대답이 나올 것이다. 그러나 원칙적으로 CISO는 자신이 기업의 역할들을 제한하는 것이 아니라 지원한다는 느낌을 전달하고자 할 것이다.

지난 10년간 정보보호 전문가들을 채용한 경험이 있는 필자가 가장 많이 받는 질문은 “최고 정보보호 책임자는 어떻게 됩니까?”이다. 안타깝게도 이것은 가장 대답하기 어려운 질문이다. 

100명의 CISO에게 현재 위치에 어떻게 오르게 되었냐고 물으면 아마 각기 다른 100가지 대답이 나올 것이다. 그러나 몇몇 공통된 특성이 나타날 수는 있다. 예를 들어, 정보보호 분야에서만 일한 사람이 CISO가 된 경우는 드물다는 사실이다. 어떤 이들은 일반적인 정보기술, 물리적인 보안, 금융, 법률, 마케팅 및 인력에 배경을 가지고 있다. 

많은 이들이 오랫동안 정보보호를 실천해왔지만 사실 이 업계가 탄생한 것은 10여 년 밖에 되지 않았다. 이것은 금융 및 판매와 같은 기타 분야와 비교하면 매우 짧은 기간이다. 이런 기타 업계에서는 특정한 캐리어 맵이 설정되어 있다. 사실상 모든 CFO(최고 재무 관리자) 및 판매부장들이 특정 전제조건들을 따르고 있는 것이다. 하지만 우리 업계에서는 이런 요구 조건들을 개발할 시간이 없었다. 각 기업들이 정보보호를 각기 다른 관점으로 보기 때문에 이들의 요구사항이 각각의 요구에 따라 다양한 것이다. 

필자는 개인적인 경험을 살려 모든 수석 정보보호자와 관련된 몇 가지 요구사항을 수집해보았으며 그 결과는 다음과 같다. 

◇ 비전

회사에서는 보통 초기에 정보보호 담당자를 구한다. 관리부에서는 기업의 청사진을 제시할 수 있는 사람을 원한다. 정보보호 팀이 담당할 역할을 명백하게 제시하는 것이 핵심이다. 회사의 핵심 비즈니스 관행과 연관되어 있기 때문이다. 대부분의 경우, 다른 회사에서 특정 비전을 성공적으로 구현했거나 동일한 업계의 회사에서 보안 프로그램을 성공적으로 구현한 사례를 목격한 사람을 찾는다.

◇ 정보보호 지식의 범위

너무나 당연한 말이지만, 회사는 정보보호에 관련된 모든 문제를 해결할 수 있는 정보보호 전문가를 원한다. 문제가 기술적이든 개인적이든 절차적이든 규제적이든 상관 없이, CISO가 모든 방면에서 문제를 해결해주기를 바라는 것이다. 기업체들은 정보보호 업계에서 뛰어난 토대를 쌓았거나 정보보호에 관련된 문제들을 해결할 수 있는 능력을 가진 인력을 원한다. 또한, 조직에서 CISO를 채용할 때는 보통 현재 당면한 과제를 해결하고 문제가 발생하기 전에 예측할 수 있는 인재를 찾게 된다. 

◇ 의사소통

의사소통은 측정하기도 어렵고 보유하기도 어려운 스킬이다. CISO는 조직 내에서 각기 다른 역할을 맡고 있으며, 각기 다른 수준에서 그리고 각기 다른 기술수준을 가진 사람들과 의사소통해야 한다. 이들은 관리부의 모든 사람을 대상으로 효율적으로 의사를 표현할 수 있어야 한다. 성공적인 CISO는 기술을 선도하는 사람들의 존경을 받고 있거나 보안 컨트롤의 이점을 기업의 리더들로 전환할 수 있는 자들이다.

CISO를 면접할 때는 조직의 각기 다른 부서를 대표하는 사람들이 면접관으로 선출되는 것이 일반적이다. 면접중에는 공감을 얻어내고 긍정적인 협력의 느낌을 이끌어내는 것이 중요하다. 이 상호작용이 성공하게 되면 CISO가 모든 구성원의 복잡한 요구를 이해할 수 있는 능력을 가지고 있는지 예측할 수 있을 것이다.

◇ 추진력 및 지도력

비전에 있어서, 효과적인 정보보호 계획을 세울 수 있는 능력이 있으면 이미 반은 성공한 셈이다. CISO는 계획을 세운 다음 그 계획대로 추진할 수 있어야 한다. 또한, 예산을 계획하고 효율적인 인력을 구성하며 기술을 선택하거나, 회사 중역에게 보고하고 문제를 해결할 수 있는 능력이 요구된다.

결국, 회사는 자사의 리더가 진정으로 리드할 수 있기를 바라는 것이다. 유능한 CISO는 전용 리소스 및 공유 리소스를 최대로 활용할 수 있는 방법을 파악하게 될 것이다. 회사는 CISO가 다른 기업체의 동료들과 제휴하고 정보 보호를 채택 및 이용하기를 바랄 것이다. 원칙적으로 CISO는 자신이 기업의 역할들을 제한하는 것이 아니라 지원한다는 느낌을 전달하고자 할 것이다.

◇ 열정

역시 명백한 주안점이자 동시에 핵심적인 차별 요소이다. 새로운 관례로써 정보보호가 항상 기업 인프라 내의 동료들에 의해 수용되는 것은 아니다. 이런 문제는 열정적인 리더를 보유함으로써 해결할 수 있다. 정보보호는 일을 제대로 하고 있으면 아무도 그 중요성을 못 느끼고 제대로 하고 있지 않을 때는 눈에 잘 띄는 일이라고들 한다. 말하자면, CISO는 급소를 보호하고 있는 것이며, 보호가 제대로 되지 않으면 공개적인 망신으로 이어질 수 있는 것이다.

매일매일 열정과 확신을 심어주는 CISO가 결국은 전사적으로 자신의 전략을 구현하는 데 필요한 장기적인 지지를 이끌어낼 수 있을 것이다. 보다 보안을 중요시하는 조직을 만드는 것은 이렇게 교차 기능적인 지원인 것이다. 이런 조직만이 신문의 헤드라인 기사거리가 되는 것을 피할 수 있을 것이다.

정보보호 전문가들에게 개인적인 목표를 물으면 CISO가 되는 것이 항상 상위권에 있다. 보안업계가 실무 부서로부터 높은 지원을 받고 있다는 사실을 인식함으로써, 보다 많은 정보보호 리더십이 추가될 수 있을 것이다. 또한, 유능한 정보보호 전문가들의 숫자도 증가하고 있다. 따라서, 인기높은 이 직위에 대한 경쟁도 계속해서 증가할 것이다. 결국, CISO로 성공하기 위해서는 이런 능력을 계발하는 것이 그 어느 때보다도 중요하다.

(글: ┖TechTarget┖ 리 커슈너(Lee Kushner)) 

[보안뉴스 (www.boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>