보안

경영진 회의에서 보안을 논할 때 가장 주의해야 할 7가지 실수

2022.03.03
기업 이사회는 CISO에게 사이버 보안 위험에 관해 더 자주 알려 달라고 요구한다. 보안 리더는 고위 경영진이 보안의 가치를 이해하도록 도울 수 있고 보안 전략을 지원하고 강화할 가능성을 높일 수 있다.

하지만 이사회에서 보안을 이야기할 때 생산적인 방식으로 진행하기는 쉽지 않고, 효과적으로 하지 못하면 경영진, 보안 부서, 나머지 조직에서 혼란과 비협조가 발생할 수 있다. CISO가 다른 경영진 앞에서 보안을 이야기할 때 흔히 일어나는 실수와 올바르게 협조를 구하는 방법을 알아보자.
 
ⓒ Getty Images Bank
 

1. 지나친 기술 용어를 사용하지 말 것

사이렌(Cyren)의 CISO 마이클 타미르는 “이사회에 발표할 때는 사용하는 언어에 주의해야 한다. 너무 기술적이면 듣는 사람이 없다”라고 말했다. 이사들은 보안 전문가가 아니며 과도하게 기술적인 전문 용어를 사용하면 역효과를 낳는다고 그가 덧붙였다.

ISF(Information Security Forum)의 CISO 출신 애널리스트인 폴 와트는 “이사회 구성원은 자신이 이해하지 못하는 것을 싫어하며 대부분은 머리속으로 수천 가지의 다른 일을 생각하고 있기 때문에 집중력이 지속되는 시간이 짧을 수밖에 없다”라고 말했다. 따라서 CISO는 가능하면 어려운 기술 용어를 비즈니스 용어로 바꾸고, 용어를 대체할 수 없는 개념은 설명해야 한다. “최대한 간단명료하고 합리적인 속도를 활용하며 말을 많이 하는 것보다 시각화해야 한다.”
 

2. 잘못된 위협 영향에 집중하지 않을 것

사이버GRX(CyberGRX)의 CISO 데이브 스테이플턴은 CISO는 보안 위협이 조직에 미치는 비즈니스적 영향 수준을 벗어나지 않도록 해야 한다고 말했다. 스테이플턴은 “CISO는 특정 코드 라이브러리 의존성이 인터넷에 노출된 자산에 위협을 끼치는 이유를 이해할 수 있지만 이사회는 이해하지 못할 가능성이 높다”라고 덧붙였다.

주피터원(JupiterOne)의 CISO 선일 유도 이에 동의했다. “이사회가 돈과 상식을 기준으로 이야기할 때 CISO는 다른 이야기를 하는 경우가 많다. 이사회가 이해할 수 있는 언어로 소통하려면, CISO는 기업이 보안을 통해 새로운 시장에 진출하는 방법에 메시지를 집중하고 새로운 이니셔티브를 실행하며 연간 손실 노출을 양적으로 줄여야 한다.”

정보 보안 인가 및 인증기관 CREST의 영국 위원장 롭 다트날은 이사회가 측정하는 KPI(Key Performance Indicator)가 무엇인지 알고 위협의 영향을 평가할 수 있다면 특히 유용할 수 있다고 말했다. 다트날은 “위협 위험을 비즈니스 서비스 또는 이사회의 주요 전략과 목표에 연계할 수 있다면 좋다”라고 덧붙였다.

유는 이사회가 관심을 가져야 하는 보안 우려는 위협을 해결하지 않는 경우 비즈니스 성장을 저해하거나 용인할 수 없는 수준의 운영 위험이나 비즈니스 위험이 발생하는지에 대한 전체 맥락으로 설명해야 한다고 말했다.

코드 라이브러리 위협 예시와 관련해 스테이블턴은 보안 리더가 기업 소프트웨어 공급망 위험에 관해 이야기하고 코드 의존성 분석 프로그램을 구현할 때 기대되는 ROI(Return On Investment)를 설명하면 이사회의 관심을 받을 가능성이 훨씬 높다고 말했다.
 

3. 기존 사이버 위험 보고에 의존하지 말 것

BAH(Booz Allen Hamilton)의 위협 정보 사업부 스냅어택(SnapAttack)의 CEO 피터 프리지오는 CISO는 일반적으로 운영 활동, 취약성 완화 노력, 만능 조치 등의 총합체인 보안 도구를 기준으로 사이버 위험 현황을 보고하는 경우가 많다고 말했다. “하지만 과녁을 벗어날 경우가 많다. 모든 위험은 같지 않다. 위험 점수는 숫자 외에 향후 조치를 위한 미묘한 차이와 맥락이 빠져 있다.”

대신에 프리지오는 CISO가 명성 유지, 자산 보호, 운영 지속 등 회사가 가장 관심을 갖는 것에 초점을 맞춰야 한다고 말했다. “특정 자산을 결부하고 이사회가 이해하는 용어로 위험을 배치해야 한다.” 또한 규제 요건에 대한 진척 상황을 보여준다고 해서 기업이 직면한 진짜 위험을 알릴 수 없다며 위험을 측정하고 정량화할 때 규정준수 목표를 활용하는 것을 경고했다.
 

4. 다른 질문에 대비할 것

일루미오(Illumio)의 정보 보안 부사장 제임스 넬슨은 “이사회의는 놀라기에 적절한 장소가 아니다”라고 말했다. CISO는 답할 수 없는 질문을 받는 상황을 피해야 한다. “콘텐츠를 슬라이드로 준비하는 것 외에 이사회가 할 만한 질문과 답변을 미리 생각해 두어야 한다.”

넬슨은 준비된 자료와 예상되는 질문, 그리고 답변 계획 방식을 경영진과 공유해야 한다. 경영진은 완벽하게 질문을 예상하는 것은 불가능하다는 점을 알고 있으며, 공유 과정에서 신뢰를 쌓을 수 있을 것이다.
 

5. 지나치게 많이 털어놓지 말 것

이사회실은 어깨의 부담을 내려 놓는 장소가 아니다. 와트는 모두에게 보안 위험을 알리는 부담이 무겁게 느껴지겠지만, “종말의 예언자가 되지 말고 두려움, 불확실성, 의심(FUD)을 무기로 사용할 때는 주의해야 한다. 자신이 되려 당할 수 있다”라고 조언했다.

이어서 문제가 존재하는 이유를 설명하고 솔루션 옵션, 권고사항, 관련된 이점을 이야기해야 한다. 그 모든 것을 하나의 패키지로 만들어야 한다.

또한 대화에서 주제가 떠오를 때 다른 것과 연결하지 말고 “기억해 두었다가 나중에 다시 논의하는 것이 좋다. 와트는 나쁜 소식을 전할 때는 주장하거나 맞서지 않아야 한다. 충격을 약하게 전달하려면 미리 준비시켜야 한다. 이사회 임원은 깜짝 놀라는 소식을 싫어하고, 나쁜 소식은 더 싫어한다”라고 조언했다.
 

6. 사이버 보안을 '돈 먹는 하마'로 표현하지 말 것

엘라스틱(Elastic) CISO 맨디 안드레스는 “CISO가 이사회와 이야기할 때 범하는 보편적인 실수는 보안이 비용센 터라는 오래된 관점을 해결하지 않고 그대로 놔두는 것이다. 이런 사고방식을 바꾸고 보안을 성장과 혁신을 지원하는 비즈니스 조력자로 강조해야 한다”라고 말했다.
주피터원의 현장 보안 이사이자 CISO 출신인 자스민 헨리도 이렇게 말했다. 헨리는 “보안 리더는 자원과 예산이 추가될 것을 기대하면서 이사회의에 들어가는 경우가 많다. 기술적 필요 목록을 발표하면서 보안에 투자할 것을 요구하고 싶겠지만, CISO는 보안을 비용이 많이 든다는 경영진의 인식을 바꿔야 한다”라고 말했다.

헨리는 CISO가 보안이 비용이 높은 기능이 아니라 매출을 발생하는 요소라는 증거를 제시하여 이사회의 지지를 받을 수 있으며, 보안이 수익을 높이는 결과적 영향을 정량화할 수 있다고 덧붙였다. “중요한 지표에는 영업 프로세스에 대한 보안의 개입, 작성된 영업 보안 질문지의 속도, 보안과 준법감시 의무가 포함된 모든 고객 계약의 총 매출 가치가 포함된다.”

마찬가지로 가동 중단이나 또는 비용이 특정 공격 유형 때문에 발생하는 경우 그 위협을 제거하여 어떤 이익이 늘어나는지를 설명하면 도움이 된다. 다트날은 “예를 들어 Y 공격 유형에서 고객사 사기 사건이 발생해 100만 파운드를 환불했고, 이 컨트롤을 구현하면 손실 매출 중 200만 파운드를 회수할 것이라고 말하는 방식”을 추천했다.
 

7. 이사회 밖에서의 관계에 투자할 것

SJPWM(St. James’s Place Wealth Management)의 사이버 및 정보 보안 이사이자 클럽CISO(ClubCISO) 회원인 매튜 스미스는 CISO가 공식 이사회 환경 밖에서 이사회 구성원과 소통하지 못할 경우에도 영향을 받는다고 전했다. 스미스는 “청중의 개인 및 직업상 동기를 이해하면 발표 메시지나 내용을 더욱 간단명료하게 전달할 수 있다”라고 덧붙였다.

공식적인 채널 밖에서 맥락을 확보하거나 문제를 해결하면 관계를 쌓을 수 있고, 영향을 미치고 싶은 경영진에게 관련성을 확인할 수도 있다. 와트도 이에 동의했다. 와트는 “이것은 이해관계자 관리의 기본이다. 이사회를 조사하고 경영진의 동기를 파악하며 이사회실의 협력자, 특히 미리 발표 내용의 스트레스를 테스트할 수 있는 비기술 부문 인사를 찾아야 한다. 비즈니스 사례를 끝맺을 때는 문제를 쪼개서 해결한다. 복잡하거나 중요한 이야기는 모두 개인적으로 전달해 미리 문제를 해결하라”라고 말했다.

CISO는 비공식적 대화의 결과를 활용하여 반대 의견을 고립시킬 수 있다. 와트는 “경영진이 기여했다는 느낌이 들게 하라. 정치인, 영업인, 회계 관리자, 중매자, 중재인이 되어야 한다”라고 말했다.
editor@itworld.co.kr 
 Tags 보안 CISO

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.