• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

CISO들은 제조사와 개발서가 낸 백서를 보지 않는다? 2020.07.20

CISO들 시장 분석 보고서나 제품 설명서, 백서보다 동료 전문가 말 신뢰
갑자기 걸려온 영업 전화...열정은 살 만하나 호감도가 급하락 하는 건 어쩔 수 없어

[보안뉴스 문가용 기자] 업무 중 문제를 해결하고 솔루션을 선택하는 문제에 있어 CISO들은 어떤 정보를 가장 많이 신뢰할까? 커뮤니케이션 에이전시인 메릿그룹(Merritt Group)과 테크임원진네트워크(Tech Execs Netowrks, TEN)가 조사한 바에 따르면 분석가 보고서나 개발사들의 상세 매뉴얼이 아니라, 현장에서 비슷한 업무를 맡고 있는 동료들의 말이라고 한다.

[이미지 = utoimage]


이 같은 조사는 원래 “CISO들이 가장 싫어하는 광고나 프레젠테이션이 무엇인지 알아보기 위해 진행됐다”고 한다. 이 조사에 응한 CISO들 중 28%가 “갑자기 무턱대고 걸려오는 영업 담당자의 전화는 해당 브랜드에 대한 신뢰를 완전히 깎아먹는다”고 답했다. 34%는 “기업마다 고유한 어려움이 있기 마련인데, 이를 이해하려는 업체와 파트너십을 맺을 확률이 높다”고 답했다.

CISO들이 신뢰하는 정보의 출처는 동료의 조언(64%)이 압도적으로 높은 비율을 차지하는 것으로 나타났다. 2위를 차지한 ‘행사나 컨퍼런스’는 13%에 불과했다. 그 다음 분석 보고서가 9%를, 개발사 웹사이트나 매뉴얼이 8%를 차지했다. 헬스파트너즈플랜즈(Health Partners Plans)의 부회장이자 CISO인 마크 에글스턴(Mark Eggleston)의 경우도 트위터를 통해 “내가 잘 알고 신뢰하는 CISO가 하는 말보다 더 좋은 정보의 출처는 없다”고 썼다.

그러면서 “각종 행사나 컨퍼런스는, 광고성 정보들이 범람하고, 돈만 내면 누구나 강연을 하거나 전시할 수 있기 때문에 신뢰가 힘들다”고 덧붙였다. 또한 SNS에 CISO들만의 방을 만들어 운영하고, 여기서 나온 정보들에 의존해 업무를 진행하고 있다고 밝혔다. 시만텍(Symantec)의 전 CISO인 네일 다스와니(Neil Daswani)도 “믿을 수 있는 동료 전문가의 의견만큼 시간을 절약해주는 것도 없다”고 자신의 트위터를 통해 말했다.

메릿그룹과 TEN은 이번 보고서를 통해 “CISO들은 벤더사가 직접 발표한 시장 분석 보고서를 잘 믿지 않는다”고 경고하기도 했다. 벤더사는 자신들의 제품이나 서비스를 촉진시키기 위해 시장 조사 기관을 섭외하고, 그런 방향으로 연구 결과가 나오도록 유도한다는 믿음이 CISO들 사이에 팽배하기 때문이다. 그래서 분석가들의 보고서마저 삐딱한 시선으로 보는 CISO들이 많다고 한다. 따라서 솔루션 개발사나 벤더사들 입장에서는 홍보를 위해 시장 분석 보고서를 내는 게 그리 큰 도움이 되지 않을 공산이 크다.

그러나 모든 CISO가 그렇게 생각하는 것은 아니다. 분명 의도를 가지고 통계 자료를 만들고 결론을 내린 보고서들이 다수 존재하는 게 사실이긴 하지만, 그런 의도가 있다는 것만 거를 줄 알면, 부수적으로 얻을 귀중한 정보들을 다량으로 발견할 수 있다는 것이다. 그래서 에글스턴은 “이 보고서를 발행한 곳이 어떤 수익 구조를 가지고 있다”는 걸 기억하면서 보고서를 읽으라고 권장한다. “하지만 백서라고 하는 문건들은 보통 읽지 않아도 됩니다. 제가 아는 CISO들 중 벤더 백서를 읽는 사람은 거의 없습니다.”

CISO들이 개발사의 판매 촉진 행위나 행사를 전부 싫어하는 건 아니다. 이번 조사를 통해 밝혀진 바 라운드테이블(roundtable), 즉 소규모 원탁회의나 토론회 유형의 행사를 선호하는 CISO들이 38%로 가장 많은 것으로 나타났다. 그 뒤를 이어 웨비나를 선호하는 CISO가 15%, 백서와 전자책을 선호하는 경우가 15%, 케이스 스터디를 선호하는 CISO가 13%인 것으로 나타났다.

다스와니는 자신의 블로그를 통해 “대학과 서드파티 연구소들에서 보다 객관적이고 과학적인 솔루션 실험을 하고, 그에 대한 분석 보고서를 더 많이 발표해주기를 기대한다”는 의견을 밝혔다. 물론 개발사들이 서드파티의 평가를 금지하는 경우도 굉장히 많아 이게 원활치 않은데, 다스와니는 “개발사들이 그러한 내용의 문구를 약관에서 삭제해야 보안 업계가 성숙하게 발전할 수 있다”고 주장했다.

CISO들이 가장 좋아하고, 또 가장 싫어하는 마케팅 전략은 무엇일까? 공포감과 두려움을 자극하지 않으려는 것만 봐도 호감이 생긴다고 답한 사람이 26%, 조직에게 꼭 필요한 케이스 스터디를 준비하는 회사에 호감이 생긴다고 답한 경우가 23%인 것으로 나타났다. 반면 30%가 너무 이메일을 자주 주면 비호감이 된다고 답했고, 19%가 CISO를 무시하고 그 상관과 직접 소통하려는 시도를 하면 절대 거래하기 싫어진다고 답했다.

3줄 요약
1. CISO들, 분석 보고서와 백서 읽느니 아는 동료 전문가의 의견 구하는 걸 선호.
2. 각종 행사나 보고서에 들어가는 마케팅 비용과 보고서 저작자의 숨은 의도가 신뢰 깎음.
3. 대학 기관과 서드파티 연구 기관의 연구 활동 활성화 되어야 업계 발전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>