CIO는 경영에 초점, CISO는 안전에 초점 : 중간 지대에 답있다
CISO는 점점 CIO처럼, CIO는 점점 CEO처럼, CEO는?

[보안뉴스 문가용 기자] CIO와 CISO의 관계는 항상 변화한다. 이 변화를 주도하는 요인들에는 몇 가지가 있다. 개개인의 성향, 새로운 기술, 실제로 같이 근무하는 시간, 영업 부서와 IT 부서의 소통 문화 등이 바로 그것이다. 중요한 건 사이가 어떻든 이 둘은 힘을 합해 회사의 생산력과 안전을 책임져야 한다는 것이다. 이 둘을 어찌해야 안전하고도 안정감 있는 생산력을 보유하게 될까?

지난 5년 동안 사이버 보안은 ‘가시성 확보’ 면에서 눈부신 성과를 이루었다. 보안 전문업체인 식스서티 벤처스(SixThirty Ventures)의 파트너인 제이슨 클락(Jason Clark)은 “이 때문에 CIO와 CISO의 관계에도 다시 한 번 변화가 시작되고 있다”고 설명한다.

“5년 전만 해도 CIO들은 CISO들의 업무를 잘 이해하지 못했어요. CIO는 운영 쪽에 치우친 역할을 수행하고 있었고, CISO들은 그런 CIO의 역할에 ‘안전’을 빌미로 제동을 거는 역할을 했으니까요. 자꾸만 ‘왜?’라고 묻고 ‘그러면 위험할 수 있다’고 말하는 게 CISO고, 그에 따라 스트레스를 받던 게 CIO들입니다. 사이요? 당연히 안 좋았죠.”

보안이 보기에 모든 것이 위험천만하던 때, 물가에 내어놓은 아이마냥 회사의 모든 사람을 대하던 때가 얼마 전이라는 것이다. “그러니 CISO 주위에는 논쟁이 끊이지 않았어요.” 그러던 CISO의 역할은 시간에 따라 변화해가기 시작했다. 제이슨의 표현을 빌자면 “숙성”되기 시작했다. “위험분자들을 막아서는 방패의 역할에서 운영자의 역할까지 가져가게 된 것이죠. 사업의 전반적인 측면에 대한 이해도가 CISO의 자질로 편입되기 시작했습니다. 당연히 CIO와의 관계도 바뀌게 되었죠.”

그렇다면 CIO와 CISO는 앞으로 어떤 식으로 관계를 형성해야 할까? 전기전자 업체인 에머슨(Emerson)의 CIO인 스티브 하셀(Steve Hassell)은 “성공과 실패를 객관적으로 가늠할 수 있게 해주는 기준을 둘 사이에 정하고, 소통 시 항상 객관화가 가능한 데이터를 동원해야 한다”고 제안한다. 물론 이 기준은 둘이 협의해서 정해야 하고, 같이 일했을 때의 시너지와 효율을 높일 수 있는 방향으로 논의를 진행해야 한다고 덧붙였다.

이에 대해 제이슨 클락도 동의한다. “둘이 사업적으로 같은 목적을 추구해야 합니다. 그리고 같은 사람들을 동원하고 같은 기술을 활용해 같은 가치를 이끌어내야 하죠. 그런데 이 ‘같은’을 맞추는 게 쉽지 않아요. 그래서 목적을 맞추고 객관적인 기준을 정해야 하는 겁니다. 그래서 결국에는 둘이 같은 언어를 사용해서 서로를 이해할 수 있어야 합니다.”

그렇지만 둘 사이의 긴장관계를 완전히 없애는 건 불가능하다고 하셀은 설명한다. “불가능할 뿐만 아니라, 그렇게 해서는 안 됩니다. 완전히 한 마음이 되면, CIO와 CISO 사이의 역동성이 무너지거든요. 서로 언제나 똑같이 생각하고 똑같이 결정하면, 두 사람을 한 조직에 둘 필요가 없지요. 다른 생각과 접근법을 통해 한 목적지에 도착하는 게 조직 입장에서는 최고입니다.”

긴장관계는 조직 차원에서 건강하게 활용이 가능하다. 어떤 사안에 대해 CIO와 CISO가 동의하지 않는다고 나쁜 걸까? “제 경험상 정말 좋은 해결책은 늘 그 중간에 있더군요. 그걸 깨닫게 되면 처음엔 불협화음을 내다가도 대화를 통해 중간 지대를 찾아 나설 수 있습니다.” 그러면서 하셀은 “결국 상대에게 ‘난 대화를 할 용의가 있다’는 태도를 보여주고 신뢰를 쌓아야, 어떤 변화 속에서도 다이내믹한 관계를 유지할 수 있다”고 정리한다.

CIO와 CISO는 새로운 기술들이 기업 내로 유입될 때마다 가장 먼저 ‘판단’을 내리는 사람들이다. 클라우드 서비스를 사용할까 말까. 모바일 기기들은 어느 정도나 용인할 수 있는가. 새로운 기술이 우리 회사 내에 은밀히 존재하고 있는 건 아닌가. 이런 문제들을 둘은 똑같이 대면해, 다르게 접근한다. 그래서 새로운 기술이 등장할 때마다 둘은 부딪혀야 한다.

클락은 “최근에는 클라우드가 둘의 관계를 가장 크게 좌지우지 하는 요소일 것”이라고 말한다. “기업 입장에서는 클라우드로 가는 게 맞는 것이지만 보안 입장에서는 아직 불안한 감이 없지 않거든요. CISO는 클라우드를 막아설 수 없으니, 안전하게 사용하는 법을 고민해야 할 겁니다. 이는 정책과 IT 전략을 송두리째 뒤집는 일이 될 수도 있고요. CIO는 이를 지원해줘야겠죠. CISO에게 모든 것을 미룰 것이 아니라요.”

그러면서 하셀은 “CIO와 CISO의 역할이 변한다고 하지만, 결국 CISO가 CIO의 영역까지 들어가야 하는 맥락”이라면서 “한편 CIO는 점점 CEO의 영역으로까지 역할을 넓혀가는 것이 최근 들어 눈에 띄는 현상”이라고 말한다. “그렇다면 CEO의 역할은 어디로까지 퍼지고 있는 걸까요? 그 방향성이야 아직 보이지 않지만, CEO의 할 일이라는 것이 훨씬 광범위해지고 있는 건 사실입니다. 이제 정말 아무나 CEO가 되지 못하게 될 것으로 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>