• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

CISO, 예산집행 권한도 늘고, 일도 늘고, 친목도 늘고 2015.11.06

CISO의 예상집행권과 업무 독립권 갈수록 존중 받아
해야 할 일도 늘어 - CISO들 끼리의 정보 교류 활발해져

[보안뉴스 문가용] 서던메소디스트 대학교(Southern Methodist University)의 사이버보안 학과에서 세계 유명 CISO들을 대상으로 설문을 실시했다. 그 결과 보안에 대한 기업의 투자가 급증하고 있으며 투자금을 활용하는 범위 역시 넓어지고 있다는 결과가 나타났다. 보고서를 보다 자세히 들여다 보았다.


보안 투자를 늘리는 프레임워크
보안 프레임워크가 갈수록 중요해지고 있다. CISO들 사이에서 프레임워크나 정책을 지키는 것이 투자금을 이끌어낼 수 있는 가장 합리적인 구실이라는 게 받아들여지고 있기 때문이다. 보다 상위 기관이나 나라에서 설립한 공공기관들이 정한 정책을 지키는 건 사용자 혹은 고객들의 신뢰를 얻기에도 좋고, 투자자들을 설득하기에도 좋다는 것이다. 기존 보안 정책이나 프레임워크의 효용성에 대해 논란이 많이 있어왔는데, CISO들은 새로운 사용처를 발견한 듯 하다.

한 CISO는 설문 조사를 통해 “프레임워크가 있다는 건 대단히 중요한 일”이라며 “안전은 좋은 거니까 돈을 좀 써야 한다는 식으로 설득할 수 있는 사람이 아무도 없었는데, 프레임워크란 게 생기면서 사람들과 대화를 나누고 설득까지 할 수 있는 근간이 마련되었기 때문”이라고 설명했다.

수치화는 여전한 난제
또 다른 CISO 한 명은 “보안 투자를 보다 알뜰하고 체계적으로 집행해달라는 이유로 최근 고용됐다”고 밝힌 바 있는데, 이처럼 CISO가 예산을 집행하는 권한을 가져오는 경우가 제법 늘고 있는 추세다. 그러나 어느 곳에서나 돈을 쓰려면 그에 대한 ‘딱 떨어지는’ 설명을 할 줄 알아야 하는데, CISO들은 아직 그 점에서 많은 약점을 가지고 있는 것으로 나타났다.

그런 CISO들이 보안 예산을 ‘딱 떨어지게’ 집행하기에 알맞은 곳으로는 ‘과거 공격이 일어났던 지점에 대한 보강’, ‘프레임워크’, ‘산업 내 널리 알려진 모범 실무’ 등으로 결과가 나왔다. “CISO들이 돈을 직접 집행해본 경험이 별로 없습니다. 이전에는 CEO나 CIO, 혹은 CFO 등이 직접 결정하고 통보했죠.”

기존 영업 방법은 통하지 않는다
85% 정도의 CISO들이 이번 설문에 참여하며 “기업 환경에 맞는 솔루션 및 툴을 선택하는 데에 도움이 되는 정보들은 이미 다 가지고 있다”고 답했다. 그러면 그 정보들이 어떻게 CISO들에게 도달했을까? “이젠 솔루션 업체들이 무작정 전화해서 자기네 제품 써보라는 식의 영업을 하지는 않습니다. 그렇게 전화하면 기억도 안 나요. 오히려 CISO들이 직접 현장에서 경험해보거나 써본 제품을 신뢰하고, 최소 프레스 컨퍼런스를 열어 설명회를 개최하는 업체에 문의를 해보는 편입니다.”

그리고 그런 CISO의 결정에 대해 운영진들도 신뢰를 해주고 맡기는 추세도 보인다. 한 CISO는 “보안에 대한 이런 저런 말들이 미디어에 많이 등장하죠. 윗분들 중에는 그런 기사를 우연히 읽고 나서 CISO들을 불러 ‘우리 회사 보안도 이렇게 하자’고 하시는 경우가 있는데, 저 같으면 ‘절 해고하시고 바꾸십시오’라고 할 겁니다. 보안 전략이라는 건 그렇게 한 번에 휙휙 바꿀 수가 없는 거거든요”라며 CISO의 기업 내 위치가 변하고 있다는 걸 알렸다.

변하는 건 이들의 위상만이 아니다. 업무 범위도 더 넓어지고 있다. “기존 CISO가 네트워크 로그 보고서를 읽거나 스캔한 후 분석가의 도움을 받아 전략을 수정하거나 강화하는 등의 업무를 했었다면 이제는 여러 다른 CISO들과의 정보 공유를 통해서 ‘우리 회사 네트워크’에서는 얻을 수 없었던 것들을 파악해내는 것도 중요해졌습니다. CISO들 간의 커뮤니티가 여기 저기서 생기는 이유죠.”

보고서는 그 이유에 대해 한층 더 나아가 분석한다. “같은 CISO들끼리 나누는 정보에는 여러 가지가 있습니다. 위협 첩보에 관한 것도 있고, 최신 유행하는 방어법에 관한 것도 있으며, 어떤 외주업체가 허술하거나 믿을만한지, 어떤 분석가가 최근 정확한지 등 현장에 꼭 필요한 정보들입니다.”


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>