보안 전문가들의 MBA 입성

‘무엇이 그들을 학교로 돌아가게 했는가?’

제스 호르비츠는 스스로 컴퓨터 분야의 전문가라고 여겼다. 그는 5년 전 과학적인 컴퓨팅에 관해 매료돼 수학 학사학위가 필요하다고 생각했고, 비즈니스 스쿨에 다니는 것은 불필요하다고 생각했다.

27세에 케년 대학(Kenyon College)을 졸업한 제스 호르비츠는 미네아폴리스에 있는 웰스파고 서비스의 보안운영 관리직에 그의 기술적 트래핑을 활용했다. 거기서 그는 보안개선과 정책 컴플라이언스 팀의 선두에 섰고, 현재는 재무 서비스 자이언트를 위해 보안감시와 구조를 관리하고 있다.

의심할 여지없이 그는 기술 전문가다. 그런데 그의 책상 위에는 왜 그 유명한 카플란(Kaplan) GMAT 책이 놓여있을까? 이로 미루어, 그가 학교로 돌아갈 것임을 알 수 있다.

호로비츠는 많은 보안전문가들도 자신이 느끼는 것을 깨닫고 있다고 생각한다. 정보보호 관련 직업에서 성공하기 위해서는 기술능력만으로는 충분하지가 않다는 것을 말이다. 경영학석사(MBA)를 가진 사람들은 정보보호책임자(CISO)가 될 수 있는 더 많은 기회를 가질 수 있고 회사에서도 더 높은 직책에 오를 수 있다.

“이것은 트랜드다. 비즈니스 지식없이는 효과적인 정보보호 전문가가 될 수 없다.”고 호로비츠 부장은 말한다. “당신에게는 핵심 기술능력을 갖춘 전문가와 엔지니어, 애널리스트들이 있다. 이 사람들은 대단한 실력가들이며 배를 움직이는 역할을 한다. 반면, 리더의 위치에 있는 사람들은 이들과 경영진을 조율하는 등의 비즈니스 능력을 가지고 있다. 예를 들어 우리는 경영진 앞에서 엔지니어에게 철야 근무를 강요하지 않고자 한다. 관리자에게 무슨 일이 일어나고 있는지 이해시키고, 모두가 수긍하도록 한다.”

전문적인 정보기술력을 가진 전문가들이 최근 학교로 돌아가 비즈니스 대학원학위를 취득하려는 모습을 어렵지 않게 볼 수 있다. 이는 많은 정보전문가들이 경영적 마인드와 관리적 기술이 회사에서 필요하다는 것을 인식하고 있기 때문이다. 실제로 비즈니스 능력을 가진 정보전문가들이 회사에서의 직위와 연봉에서도 높은 수준을 보이고 있다.

다양한 비즈니스 프로그램에 중점을 둔 교육

많은 보안전문가들이 비즈니스를 공부하기 원하고 이 때문에 그 수요를 충족시키려는 아카데미 프로그램이 현저히 증가하고 있다. 많은 프로그램들이 비즈니스 기술에 중점을 두고 있는 선택과목과 함께 정보보호에 관한 지속적인 교육을 시행하고 있다.

카네기 멜론 대학교의 정보 네트워킹 연구소(INI)는 정보보호 기술과 관리에 대한 대학원 학위를 준다. 위험분석과 관리에 있어 비즈니스 경영과정은 개인적 선택과목과 함께 전통적 기술과정을 보완한다. SANS 연구소는 정보보호 엔지니어링뿐 아니라 관리에 있어서도 대학원 학위를 수여하는 데 있어 메릴랜드주의 허가를 받았다. NSA의 국립정보보호교육센터는 32개주에 인증된 75개 학교에서 기술교육과 비즈니스 교육을 동시에 제공하고 있다.

국제 공인 정보시스템보안전문가(CISSP) 인증의 파수꾼인 ISC조차 이런 경향을 고려하고, 보안전문가들을 위해 이사회에서 프리젠테이션하는 것과 전체적으로 커뮤니케이션 능력을 향상시키는 과정을 첨가시켰다.

“전통적인 컴퓨터 과학과 엔지니어링을 전공한 학생들은 비즈니스적 통찰력과 정책적 안목이 부족하다.”라고 INI 이사인 데나 하리토스 차미티스(Dena Haritos Tsamitis)씨는 말한다. “회사들은 전문성과 비즈니스 교육을 받은 우리 학생들과 같은 사람을 찾고 있다. 우리 학생들은 건전한 기술적 기반을 토대로 비즈니스와 정책적 기술을 갖춘 일류 엔지니어들이다.”

이 트렌드의 최대 견인차는 정부와 산업 규정들이다. 기업의 최고경영자(CEO)들은 감돈(Incarceration)의 이점을 보지 못하고, 고객과 회사의 자료를 보호하기 위해 제어가 제대로 되고 있는지 확인하기 위해 컴플라이언스 프로그램에 자금을 제공해 왔다.

감사 또는 식스 시그마 기술을 가진 컴퓨터 전문가는 CISO 또는 최고위기관리책임자(CRO)로서 여섯자리 숫자(10만 달러 이상의 고액연봉자)의 연봉을 받는 주요 대상이다.

“우리가 찾고 있는 사람은 프로그램 매니저와, 회사의 비즈니스 분과의 보안측면을 함께 묶고 전체 기능을 관리하고 그 패키지를 이사회나 고위 중역에게 제시할 수 있는 사람이다.” 라고 정보보호를 전문으로 하는 알타 어소시에이트의 CEO인 조이스 브로카글리아(Joyce Brocaglia)씨는 말한다.

기업간 비즈니스를 위해 화술에도 능통해야

엄격한 ‘허가-거절’ 보안 프로그램은 네트워크 경계선이 사라지면서 기업에서 소멸됐다. 비즈니스는 파트너, 공급자, 소비자 간의 상호작용과 연결성 없이는 제 기능을 할 수 없고, 보안전문가는 결론을 지체시키지 않고 이 관계를 가능하게 해야 한다. 호로비츠는 이 관계를 촉진하는 비밀이 카플란 책속에 있을 수 있다고 생각한다.

“당신은 각각의 사업단위와 협력해야 한다. 웰스파고는 전세계 14만 명의 종업원을 두고 있고, IT 백엔드를 중심으로 관리된다. 또한, 보안계획과 아키텍처를 중심으로 이루어진다. 그러므로 제품의 수익성을 위해 당신은 비즈니스적 상식을 가지고 있어야 하고, 가장 적절한 시기에 제품을 출시하는 것(Time to Market)의 비율을 이해해야 한다."고 호로비츠는 말한다. 

비즈니스적 상식을 가진다는 것은 대규모 재정적 기술과, 종합적인 규제지식을 가지고, 난해한 법률 표현을 이해하는 것뿐만 아니라 사업단위 관리자와 대화하는 방법을 배우는 것까지 의미한다.

호로비츠는 “당신은 기업의 관리자와 그들의 표현으로 말해야 하고, 이 표현에는 고객과 고객경험, 시장변화에 따른 수익성과 위험성 등이 관련된다. 우리가 하는 모든 일은 위험기반 방법론에 입각해 있다.”라며 “보안전문가는 위험이 아니라 위협을 다루기 때문이다.”고 말한다.

또한, MBA를 지향하는 듯했다. 오하이오에 있는 케년 대학을 나온 그는 웰스파고의 리더십 개발 프로그램으로 시작했고, 관리훈련 1년 후, 그는 새로운 보안개선과 정책 컴플라이언스 팀과 함께 업무를 시작했다. 그 때 이후, 리더십 개발 프로그램의 다른 사람들은 MBA 학위를 취득하거나 준비하고 있다. 호로비츠씨는 3년 안에 MBA 취득할 것을 목표로 삼았다.

“CISO는 코디네이터가 될 필요가 있고, 프로세스들을 통합하고 규제환경을 이해할 필요가 있다.”고 호로비츠씨는 말한다. 또한, “세금우대가 무엇인지, 어떻게 감가상각하고, 자본화할 수 있는지, 지출을 개선하는 방법은 무엇인지를 알아야 한다. 이것은 단지 ‘나에게 돈이 있는가?’를 넘어서 ‘내가 이 거대한 ‘움직이는 표적’이라 불리는 예산에 어떻게 맞출까’를 의미한다.”고 덧붙였다.

<글: 마이클 S. 미모소(Michael S. Mimoso)>

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>