• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[CISO 되기 프로젝트 1] CISO가 되고 싶다면 2014.11.05

아직 정규 코스 확립되지 않은 ‘미지’의 분야

전체를 보는 시야로 문제 해결하는 능력이 제일 중요


[보안뉴스 문가용] CISO가 되고 싶다고? 그래서 눈에 보이지 않는 수많은 적들이 둘러싼 전장을 멋지게 지휘하고 싶다고? 필요하다면 희생양이 되었다가 구세주도 될 각오가 되어 있다? 회사를 보호하기 위해 구걸할 준비도, 아쉬운 소리 할 준비도, 심지어 훔칠 각오도 되어 있다? 전부 YES라면 OK. 당신은 일단 마음가짐만은 완벽하다. 그렇다면 그 다음 단계는 무엇일까?

 ▲ 오해야, 외모는 CISO가 되는 데 중요하지 않아.

“아직 다른 직업군처럼 정해진 코스가 없는 게 현실입니다.” 보스턴의 사이버 보안 회사인 사이버360 솔루션즈(Cyber360 Solutions)의 회장인 마크 아이엘로(Mark Aiello)가 설명한다. “솔직히 영어로 ‘사이버 보안’을 어떻게 쓸지 정해지지도 않은 상태인데(cybersecurity, cyber-security, cyber security 등등) 뭘 바라겠습니까?”


말이 나와서 하는 말인데 보안 업계에서 ‘개발자’, ‘관리자’, ‘엔지니어’ 등에 대한 정확한 직무 설명도 정립되지 않아 회사마다 조직마다 다 다르게 사용하고 있는 형편인 건 한국이나 미국이나 마찬가지다. 그런데 CISO로 가는 엘리트 코스나 정규 코스가 정해졌을 리 만무하다. 다만 이는 CISO로 가는 길이 아직 무수히 많다는 뜻도 된다. 마크 아이엘로 사장이 직접 CISO의 현실에 대해 가감 없이 언급해주었다.


CISO 대부분은 외부에서 고용된 인원이다

사람은 어느 순간 꼭 비논리적인 이유로 행동을 하기 마련이다. 회사 경영진들은 외부인, 평소 모르던 사람이 굉장히 똑똑할 것이라는 기대감을 갖는데, 이는 전혀 근거가 없는 믿음인데도 CISO 고용시장에서는 거의 언제나 나타난다. 한 가지 예외인 경우가 있는데 CISO라는 직책을 아예 새로 만든 경우는 내부 인원을 그 자리로 승진시키는 경우가 더 많다. “즉, 운이 상당히 작용합니다. 알맞은 때에 알맞은 곳에 있을 필요가 있다는 것이죠.”


회사 내 첫 CISO라면 사실상 권한이 없다

“첫 CISO는 그 후임자보다 권한이 상당히 제한될 가능성이 높습니다.” 즉 CEO, CIO, CFO 등 C로 시작하는 무시무시한 직책이 갖는 권한을 기대해서는 상처만 받을 가능성이 크다는 것이다. 심지어 그런 C 직책 책임자들보다 아랫사람이 되는 경우도 많다. “저는 개인적으로 IT 관련 부서와 CISO는 전혀 별개라고 생각합니다. 보안이 꼭 기술과 연결되는 것만은 아니니까요. IT 관련 부서가 보안 부서보다 훨씬 큰 것이 작금의 현실이지만 중요도에 있어서는 전혀 차이가 없습니다. 오히려 더 중요하다면 중요하다고 할 수 있죠.”


CISO만큼은 경력직을 원하는 회사가 대부분이다

물론 이는 사회생활을 처음 시작하려는 초년생들이 가질 법한 의문을 자아내는 부분이다. ‘경력을 쌓을 기회가 없는데 어떻게 경력직 CISO가 되어야 하는가?’ “꼭 직책 이름이 CISO일 필요는 없습니다. 사실 경력직 CISO를 원한다고는 하지만 보안 부서의 최고 책임자를 원하는 것이거든요. 즉 표현만 CISO지 보안부서장이나 보안 총 책임자를 했다면 그것으로 충분합니다.” 결국 업무에 필요한 경험이 있다는 걸 증명하면 된다는 것이다.


CISO들 대부분은 기술 쪽 전문가이다

보안업계에 종사하게 된 사람이라고 전부 프로그래밍이나 해킹, 혹은 관련 학과를 졸업한 건 아니다. 하지만 아직까지 CISO 대부분은 IT 관련 전공자들이다. 하지만 이는 CISO라는 직군 자체가 덜 성숙해서 발생하는 현상일 뿐이라는 것이 업계 전반의 시각이다. 얼마든지 변화할 여지가 있으니 조급해하지 말고 지켜보는 게 좋을 것이다.


CISSP 인증서가 필수는 아니다

정보보안 분야에서 계속해서 위로 올라가다보면, 그래서 ‘최고 책임자’와 같은 수식어를 얻어냈다면, 아마 이미 CISSP 자격증을 땄을 가능성이 높다. 하지만 그렇지 않다고 해도 CISO가 되거나 되지 못하는 것과는 큰 상관이 없다. “하지만 대학 4년을 마쳤다는 졸업증 정도는 있는 편이 많이 유리하지 않을까 합니다.”


아직 CISO라는 직무 자체에 대한 업계의 이해도가 높지 않으니 중요한 건 지금 있는 자리에서 할 수 있는 한 많은 공부를 해두고 경험을 부지런히 쌓아두어 언제고 그 자리에 갈 수 있을 정도로 준비하는 것이다.


“늘 손을 들고 자원하세요.” 뭔가 일이 생겼을 때 계속 피하기만 하고 눈치만 보다가는 CISO는커녕 업계에서 살아남는 것 자체가 힘들다는 게 아이엘로 회장의 설명이다. “그리고 될 수 있으면 자기가 부족한 부분을 채워나가는 방향으로 준비하세요. 사업을 진행하는 게 강점이면 기술적인 부분을 공부하고, 반대로 기술력이 강하면 사업이나 문화 쪽을 공부하는 게 도움이 될 겁니다.”


“그래야 문제를 보다 넓은 시각으로 바라볼 수 있을 겁니다. 기술로 해결해야 할 것 같은 문제가 전혀 다른 방향에서 풀리기도 하는데, 이런 경우는 기업 전체의 사업 방향과 목적 등을 제대로 이해하고 있어야 가능한 겁니다. 늘 ‘왜’를 물어서 근원을 파악해 버릇하세요.”


* CISO로 가는 정규 코스가 없기 때문에 보안뉴스에서는 매주 수요일 저녁 해외의 현직 CISO들을 만나 어떻게 CISO가 되었는지 알아볼 예정입니다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>