2019.01.21

"CISO란 무엇인가" CISO의 직무와 책임, 그리고 요건

Josh Fruhlinger | CSO
최고정보보안임원(Chief Information Security Officer, CISO)은 조직의 정보 및 데이터 보안을 책임지는 임원이다. 과거, 이 직함은 다소 협소한 의미로 쓰였지만, 요즘은 CSO, 보안 부사장(VP)과 종종 혼용되고 있는데 이는 조직 내에서 CISO의 역할이 한층 확장됐음을 의미한다.
 
기업 내에서 출세하고 싶은 야심찬 보안 전문가라면 CISO 직위가 눈에 들어올 것이다. CISO가 될 확률을 높이려면 무엇을 해야 하고, 이 중요한 직위를 차지했다면 막상 무슨 책임이 수반되는 지를 알아보자.  


CISO 직무 

CISO는 무슨 일을 하는가. CISO 직무를 이해하는 가장 좋은 방법은 CISO가 매일 같이 수행하는 일이 무엇인지 알아보는 것이다. CISO의 역할은 조직마다 다를 수밖에 없지만, 90년대 시티그룹에서 CISO 역할을 개척했던 스티븐 캐츠는 MSNBC와의 인터뷰에서 CISO의 직무 영역을 개략적으로 소개했다. 캐츠는 CISO 직무를 다음과 같은 범주로 세분했다. 

- 보안 업무: 당면한 위협의 실시간 분석, 그리고 무언가 잘못되었을 때 자원의 선별적 분배
- 사이버 위험 및 사이버 첩보: 진화하는 보안 위협에 정통하고, 기업 인수나 여타 중대한 비즈니스 변화에 따라 발생할 수 있는 잠재적 보안 문제를 이사회가 이해하는데 기여 
- 데이터 유출 및 사기 방지: 내부 직원이 데이터를 악용하거나 훔치지 못하도록 단속 
- 보안 아키텍처: 보안 하드웨어 및 소프트웨어를 계획하고, 구매하고, 전개, 그리고 모범 보안 관행에 유의하며 IT 및 네트워크 인프라를 설계 
- 신원 및 접근 관리: 권한있는 사람만 제한적으로 데이터 및 시스템에 접근할 수 있도록 보장 
- 프로그램 관리: 예컨대 정기 시스템 패치 등 위험을 완화하는 프로그램이나 프로젝트를 이행하면서 보안 니즈에 선제적으로 대처 
- 조사 및 포렌식: 보안 사고 시 잘못된 부분을 규명하고, 내부 보안 사고 시 관련자를 조사하고, 동일한 위기의 재발을 방지할 계획을 수립 
- 거버넌스: 앞선 모든 사항이 원활하게 실행되도록 보장하고, 필요한 자금을 확보하고 그리고 기업 지휘부가 이들의 중요성을 인식하도록 계몽 

자세한 사항은 SANS의 백서인 <기술 및 비즈니스의 조합: 최고정보보안임원의 역할과 책임(Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer)>을 참조하라.


CISO 요건 

이 직무를 위해서는 어떤 자격이 필요할까. 먼저, CISO는 확고한 기술적 기반을 필요로 한다. 사이버디그리즈(CyberDegrees.org)는 일반적으로 컴퓨터 과학 또는 연관 분야의 학사 학위가 있어야 하고, 7~12년의 직무 경험이 있어야 한다고 말한다(여기에는 최소 5년의 관리자 직무가 포함되어야 함). 그리고 보안에 중점을 둔 공학석사 학위 역시 날로 가치가 높아지고 있다. 

그리고 기대되는 IT 스킬 또한 있다. 고위 기술 임원이라면 당연히 갖춰야 할 기본적 프로그래밍 및 시스템 관리는 물론이고, 보안 관련 기술들, 예컨대 DNS, 라우팅, 인증, VPN, 프록시 서비스, DDOS 완화 기법 등을 이해해야 하고, 아울러 프로그래밍 실무, 윤리적 해킹 및 위협 모델링, 방화벽 및 침임 탐지/예방 프로토콜에 대한 지식을 갖춰야 한다. 또한 CISO는 규제적 컴플라이언스에 기여해야 하기 때문에, PCI, HIPAA, NIST, GLBA, SOX 컴플라이언스 평가에 대해서도 알아야 한다. 

그러나 CISO가 되려면 기술 지식만 요구되는 것이 아니다. 기술 지식이 가장 중요한 것이 아닐 수도 있다. 결국, 대부분의 CISO 직무는 보안 관리와 함께 회사 지휘부 내에서 보안을 옹호하는 것과 관계된다. IT 연구원인 래리 포네먼은 한 인터뷰에서 최고의 CISO는 우수한 기술적 기반을 가지고 있을 뿐 아니라 비즈니스 경력, MBA, 그리고 다른 최고 임원 및 이사회와의 소통 기술을 갖춘 경우가 흔하다고 지적했다.
 
인력회사인 라살 네트워크(LaSalle Network)의 기술 서비스 총괄인 폴 월런버그는 CISO가 갖춰야 할 전문 및 비전문 스킬은 채용 회사에 따라 달라질 수 있다고 말했다. 월런버그는 "대체로, 세계적으로 사업을 운영하는 회사라면 총체적이고 기능적인 보안 경력을 갖춘 인재를 물색하고, 아울러 경력의 진전 및 성취를 참고하며 리더십 스킬을 평가하는 접근법을 취한다. 하지만 웹 및 제품에 치중된 사업을 하는 회사는 애플리케이션 및 웹 보안과 연관된 특수 기술을 가진 인재를 채용한다"고 말했다.

 
CISO 자격증 

CISO가 되기 위해 직급을 높여감에 따라, 이력서를 자격증으로 장식하는 것도 나쁘지 않다. 이 자격증들은 기억을 되살리고, 새로운 사고를 자극하고, 신뢰성을 높이고, 아울러 적절한 내부 교육 과정에서 필수적이다. 그러나 선택지의 수가 당혹스러울 정도로 많다. 사이버디그리즈는 7가지 자격증을 나열하는데, 이 가운데 라셀 네트워크의 월런버그가 꼽은 3종의 자격증은 다음과 같다. 
  
- 공인 정보 시스템 보안 전문가(Certified Information Systems Security Professional, CISSP): 보안에 경력 중점을 두는 IT 전문가를 위한 자격증 
- 공인 정보 보안 관리자(Certified Information Security Manager, CISM): 보안 분야에서 승진을 해 보안 지휘자 또는 프로그램 관리자가 되려는 사람에게 인기있는 자격증  
- 공인 윤리적 해커(Certified Ethical Hacker, CEH): 기업 보안을 위협할 수 있는 문제에 대한 고급 지식을 추구하는 보안 전문가에게 적합

 
CISO, CIO, CSO 비교 

보안은 조직 내의 누군가와 어쩔 수 없이 충돌하게 되는 역할이다. 보안 전문가는 본능적으로 시스템을 차단하려 하고, 접근을 어렵게 만들려 하기 때문이다. 그런데 이는 정보 및 애플리케이션을 마찰 없이 이용할 수 있도록 해야 하는 IT 직무와 상충될 수 있다. 조직의 최고 계층에서 펼쳐지는 드라마는 CISO 대 CIO의 전투라고 할 수 있다. 그리고 전투 지형은 조직 내 보고 계통에 따라 정해지는 것이 보통이다. 

CISO와 CIO 직책은 모두 '최고'라는 명칭이 붙어있지만, CISO가 CIO에게 보고하는 것이 비교적 흔한 편이다. 이는 CISO의 전략적 행동 역량을 제한할 수 있다. CISO의 비전은 CIO의 전체적 IT 전략에 결국 종속될 수밖에 없기 때문이다. CISO가 만약 CEO나 이사회에 직접 보고를 한다면 위상이 분명 높아질 것이다. 그리고 이는 갈수록 보편적 관례가 되고 있다. 이는 직함의 변경을 수반할 수 있다. 

2018년 세계 정보 현황 설문조사(the Global State of Information Survey 2019)에 따르면, CISO는 CIO에 종속되는 경향이 있지만 CSO(Chief Security Officer) 직함을 가진 보안 임원은 CIO와 동일한 수준이고, 덤으로 비-기술적 보안 책임까지 지는 경향이 있다. 
 
ⓒ IDG/Getty Images Bank

CIO와 CISO를 동등한 직급으로 둔다면 갈등을 줄이는데 기여할 수 있다. 이는 조직 전체에 보안이 중요하다는 신호를 보낸다는 차원 때문만은 아니다. 이는 또한 CISO는 단순히 기술 이니셔티브를 거부하는 문지기가 아님을 의미하기도 한다.

듀카티 CIO인 피에르죠지 그로시가 한 매체와의 인터뷰에서 말한 것처럼 "CISO는 단순히 거부를 하기보다는 IT 팀이 좀더 견실한 제품 및 서비스를 공급할 수 있도록 조력하는 역할을 해야 한다." 전략적 이니셔티브에 대한 이런 공동 책임은 관계 역학을 변화시킨다. 그리고 이는 CISO의 성공과 실패를 좌우하기도 한다.

 
CISO 직무 내역 

유능한 CISO를 물색 중이라면 먼저 CISO가 해야 할 일부터 상세히 작성해야 한다. 여기서 논의한 많은 사항이 유용할 것이다. 라살 네트워크의 월런버그는 "회사는 우선 CISO를 채용할 것인지 결정한 후 직급, 보고 체계, 공식 직함에 대해 승인을 받는다. 작은 회사라면 CISO는 부사장이나 보안 총괄 정도가 될 수 있다"고 말했다. 그러면서 "해당 역할에 대한 최소한의 요건과 자격을 설정해야 한다. 그 후 외부에서 후보자를 찾거나 내부에서 적임자를 물색하는 것이다"고 말했다. 

본지 CSO의 수석 편집자인 마이클 네이듀는 CISO의 직무 내역을 작성하는 법을 자세히 설명한다. 그가 지적한 중요한 사항 한가지는 조직의 보안에 대한 의지를 처음부터 매우 분명히 해야 한다는 것이다. 이에 의해 유능한 후보자의 관심을 끌 수 있다. 신임 CISO가 조직도 상에서 어디에 위치할 것인지, 그리고 이사회와 어느 정도로 교류할 할 것인지도 명확히 제시해야 한다. 또 다른 중요한 사항은 해당 역할을 하는 누군가가 있더라도 직무 내역을 최신으로 유지하는 것이다. 결국 해당 인력이 다른 기회를 찾아 떠날 것인지 알 수가 없고, 이는 공석으로 둘 수 없는 중대한 직무이기 때문이다. 


CISO 급여 

CISO는 고급 직무이고 그만한 대우를 받는다. 물론 급여를 예상하는 것은 과학이 아니라 예술에 가깝지만, 대체로 10만 달러 이상이라는데 의견이 수렴되어 있다. 집리쿠르터(ZipRecruiter)는 미국의 평균 급여를 15만 3,117달러(약 1억 7,268만 원)로 제시한 반면 샐러리닷컴(Salary.com)은 일반적 급여 범위가 이보다 높아 19만 2,000달러(약 2억 1,653만 원)에서 25만 4,000달러(약 2억 8,646만 원) 사이다.
 
글래스도어(Glassdoor)를 참조하면 현재 CISO 구인 시의 급여 범위를 알 수 있다. 이에 의해 어떤 업종이 급여가 더 많거나 더 적은지 파악할 수 있을 것이다. 예를 들어 미 연방 정부는 CISO 구인 시 현재 16만 4,000달러(약 1억 8,495만 원)~17만 8,000달러(약 2억 74만 원)를 제시하고 있고, 유타대학교의 경우 23만 달러(약 2억 5,939만 원)~25만 1,000달러(약 2억 8,307만 원) 사이다. editor@itworld.co.kr 


CIO / CISO / CSO
2019.01.21

"CISO란 무엇인가" CISO의 직무와 책임, 그리고 요건

Josh Fruhlinger | CSO
최고정보보안임원(Chief Information Security Officer, CISO)은 조직의 정보 및 데이터 보안을 책임지는 임원이다. 과거, 이 직함은 다소 협소한 의미로 쓰였지만, 요즘은 CSO, 보안 부사장(VP)과 종종 혼용되고 있는데 이는 조직 내에서 CISO의 역할이 한층 확장됐음을 의미한다.
 
기업 내에서 출세하고 싶은 야심찬 보안 전문가라면 CISO 직위가 눈에 들어올 것이다. CISO가 될 확률을 높이려면 무엇을 해야 하고, 이 중요한 직위를 차지했다면 막상 무슨 책임이 수반되는 지를 알아보자.  


CISO 직무 

CISO는 무슨 일을 하는가. CISO 직무를 이해하는 가장 좋은 방법은 CISO가 매일 같이 수행하는 일이 무엇인지 알아보는 것이다. CISO의 역할은 조직마다 다를 수밖에 없지만, 90년대 시티그룹에서 CISO 역할을 개척했던 스티븐 캐츠는 MSNBC와의 인터뷰에서 CISO의 직무 영역을 개략적으로 소개했다. 캐츠는 CISO 직무를 다음과 같은 범주로 세분했다. 

- 보안 업무: 당면한 위협의 실시간 분석, 그리고 무언가 잘못되었을 때 자원의 선별적 분배
- 사이버 위험 및 사이버 첩보: 진화하는 보안 위협에 정통하고, 기업 인수나 여타 중대한 비즈니스 변화에 따라 발생할 수 있는 잠재적 보안 문제를 이사회가 이해하는데 기여 
- 데이터 유출 및 사기 방지: 내부 직원이 데이터를 악용하거나 훔치지 못하도록 단속 
- 보안 아키텍처: 보안 하드웨어 및 소프트웨어를 계획하고, 구매하고, 전개, 그리고 모범 보안 관행에 유의하며 IT 및 네트워크 인프라를 설계 
- 신원 및 접근 관리: 권한있는 사람만 제한적으로 데이터 및 시스템에 접근할 수 있도록 보장 
- 프로그램 관리: 예컨대 정기 시스템 패치 등 위험을 완화하는 프로그램이나 프로젝트를 이행하면서 보안 니즈에 선제적으로 대처 
- 조사 및 포렌식: 보안 사고 시 잘못된 부분을 규명하고, 내부 보안 사고 시 관련자를 조사하고, 동일한 위기의 재발을 방지할 계획을 수립 
- 거버넌스: 앞선 모든 사항이 원활하게 실행되도록 보장하고, 필요한 자금을 확보하고 그리고 기업 지휘부가 이들의 중요성을 인식하도록 계몽 

자세한 사항은 SANS의 백서인 <기술 및 비즈니스의 조합: 최고정보보안임원의 역할과 책임(Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer)>을 참조하라.


CISO 요건 

이 직무를 위해서는 어떤 자격이 필요할까. 먼저, CISO는 확고한 기술적 기반을 필요로 한다. 사이버디그리즈(CyberDegrees.org)는 일반적으로 컴퓨터 과학 또는 연관 분야의 학사 학위가 있어야 하고, 7~12년의 직무 경험이 있어야 한다고 말한다(여기에는 최소 5년의 관리자 직무가 포함되어야 함). 그리고 보안에 중점을 둔 공학석사 학위 역시 날로 가치가 높아지고 있다. 

그리고 기대되는 IT 스킬 또한 있다. 고위 기술 임원이라면 당연히 갖춰야 할 기본적 프로그래밍 및 시스템 관리는 물론이고, 보안 관련 기술들, 예컨대 DNS, 라우팅, 인증, VPN, 프록시 서비스, DDOS 완화 기법 등을 이해해야 하고, 아울러 프로그래밍 실무, 윤리적 해킹 및 위협 모델링, 방화벽 및 침임 탐지/예방 프로토콜에 대한 지식을 갖춰야 한다. 또한 CISO는 규제적 컴플라이언스에 기여해야 하기 때문에, PCI, HIPAA, NIST, GLBA, SOX 컴플라이언스 평가에 대해서도 알아야 한다. 

그러나 CISO가 되려면 기술 지식만 요구되는 것이 아니다. 기술 지식이 가장 중요한 것이 아닐 수도 있다. 결국, 대부분의 CISO 직무는 보안 관리와 함께 회사 지휘부 내에서 보안을 옹호하는 것과 관계된다. IT 연구원인 래리 포네먼은 한 인터뷰에서 최고의 CISO는 우수한 기술적 기반을 가지고 있을 뿐 아니라 비즈니스 경력, MBA, 그리고 다른 최고 임원 및 이사회와의 소통 기술을 갖춘 경우가 흔하다고 지적했다.
 
인력회사인 라살 네트워크(LaSalle Network)의 기술 서비스 총괄인 폴 월런버그는 CISO가 갖춰야 할 전문 및 비전문 스킬은 채용 회사에 따라 달라질 수 있다고 말했다. 월런버그는 "대체로, 세계적으로 사업을 운영하는 회사라면 총체적이고 기능적인 보안 경력을 갖춘 인재를 물색하고, 아울러 경력의 진전 및 성취를 참고하며 리더십 스킬을 평가하는 접근법을 취한다. 하지만 웹 및 제품에 치중된 사업을 하는 회사는 애플리케이션 및 웹 보안과 연관된 특수 기술을 가진 인재를 채용한다"고 말했다.

 
CISO 자격증 

CISO가 되기 위해 직급을 높여감에 따라, 이력서를 자격증으로 장식하는 것도 나쁘지 않다. 이 자격증들은 기억을 되살리고, 새로운 사고를 자극하고, 신뢰성을 높이고, 아울러 적절한 내부 교육 과정에서 필수적이다. 그러나 선택지의 수가 당혹스러울 정도로 많다. 사이버디그리즈는 7가지 자격증을 나열하는데, 이 가운데 라셀 네트워크의 월런버그가 꼽은 3종의 자격증은 다음과 같다. 
  
- 공인 정보 시스템 보안 전문가(Certified Information Systems Security Professional, CISSP): 보안에 경력 중점을 두는 IT 전문가를 위한 자격증 
- 공인 정보 보안 관리자(Certified Information Security Manager, CISM): 보안 분야에서 승진을 해 보안 지휘자 또는 프로그램 관리자가 되려는 사람에게 인기있는 자격증  
- 공인 윤리적 해커(Certified Ethical Hacker, CEH): 기업 보안을 위협할 수 있는 문제에 대한 고급 지식을 추구하는 보안 전문가에게 적합

 
CISO, CIO, CSO 비교 

보안은 조직 내의 누군가와 어쩔 수 없이 충돌하게 되는 역할이다. 보안 전문가는 본능적으로 시스템을 차단하려 하고, 접근을 어렵게 만들려 하기 때문이다. 그런데 이는 정보 및 애플리케이션을 마찰 없이 이용할 수 있도록 해야 하는 IT 직무와 상충될 수 있다. 조직의 최고 계층에서 펼쳐지는 드라마는 CISO 대 CIO의 전투라고 할 수 있다. 그리고 전투 지형은 조직 내 보고 계통에 따라 정해지는 것이 보통이다. 

CISO와 CIO 직책은 모두 '최고'라는 명칭이 붙어있지만, CISO가 CIO에게 보고하는 것이 비교적 흔한 편이다. 이는 CISO의 전략적 행동 역량을 제한할 수 있다. CISO의 비전은 CIO의 전체적 IT 전략에 결국 종속될 수밖에 없기 때문이다. CISO가 만약 CEO나 이사회에 직접 보고를 한다면 위상이 분명 높아질 것이다. 그리고 이는 갈수록 보편적 관례가 되고 있다. 이는 직함의 변경을 수반할 수 있다. 

2018년 세계 정보 현황 설문조사(the Global State of Information Survey 2019)에 따르면, CISO는 CIO에 종속되는 경향이 있지만 CSO(Chief Security Officer) 직함을 가진 보안 임원은 CIO와 동일한 수준이고, 덤으로 비-기술적 보안 책임까지 지는 경향이 있다. 
 
ⓒ IDG/Getty Images Bank

CIO와 CISO를 동등한 직급으로 둔다면 갈등을 줄이는데 기여할 수 있다. 이는 조직 전체에 보안이 중요하다는 신호를 보낸다는 차원 때문만은 아니다. 이는 또한 CISO는 단순히 기술 이니셔티브를 거부하는 문지기가 아님을 의미하기도 한다.

듀카티 CIO인 피에르죠지 그로시가 한 매체와의 인터뷰에서 말한 것처럼 "CISO는 단순히 거부를 하기보다는 IT 팀이 좀더 견실한 제품 및 서비스를 공급할 수 있도록 조력하는 역할을 해야 한다." 전략적 이니셔티브에 대한 이런 공동 책임은 관계 역학을 변화시킨다. 그리고 이는 CISO의 성공과 실패를 좌우하기도 한다.

 
CISO 직무 내역 

유능한 CISO를 물색 중이라면 먼저 CISO가 해야 할 일부터 상세히 작성해야 한다. 여기서 논의한 많은 사항이 유용할 것이다. 라살 네트워크의 월런버그는 "회사는 우선 CISO를 채용할 것인지 결정한 후 직급, 보고 체계, 공식 직함에 대해 승인을 받는다. 작은 회사라면 CISO는 부사장이나 보안 총괄 정도가 될 수 있다"고 말했다. 그러면서 "해당 역할에 대한 최소한의 요건과 자격을 설정해야 한다. 그 후 외부에서 후보자를 찾거나 내부에서 적임자를 물색하는 것이다"고 말했다. 

본지 CSO의 수석 편집자인 마이클 네이듀는 CISO의 직무 내역을 작성하는 법을 자세히 설명한다. 그가 지적한 중요한 사항 한가지는 조직의 보안에 대한 의지를 처음부터 매우 분명히 해야 한다는 것이다. 이에 의해 유능한 후보자의 관심을 끌 수 있다. 신임 CISO가 조직도 상에서 어디에 위치할 것인지, 그리고 이사회와 어느 정도로 교류할 할 것인지도 명확히 제시해야 한다. 또 다른 중요한 사항은 해당 역할을 하는 누군가가 있더라도 직무 내역을 최신으로 유지하는 것이다. 결국 해당 인력이 다른 기회를 찾아 떠날 것인지 알 수가 없고, 이는 공석으로 둘 수 없는 중대한 직무이기 때문이다. 


CISO 급여 

CISO는 고급 직무이고 그만한 대우를 받는다. 물론 급여를 예상하는 것은 과학이 아니라 예술에 가깝지만, 대체로 10만 달러 이상이라는데 의견이 수렴되어 있다. 집리쿠르터(ZipRecruiter)는 미국의 평균 급여를 15만 3,117달러(약 1억 7,268만 원)로 제시한 반면 샐러리닷컴(Salary.com)은 일반적 급여 범위가 이보다 높아 19만 2,000달러(약 2억 1,653만 원)에서 25만 4,000달러(약 2억 8,646만 원) 사이다.
 
글래스도어(Glassdoor)를 참조하면 현재 CISO 구인 시의 급여 범위를 알 수 있다. 이에 의해 어떤 업종이 급여가 더 많거나 더 적은지 파악할 수 있을 것이다. 예를 들어 미 연방 정부는 CISO 구인 시 현재 16만 4,000달러(약 1억 8,495만 원)~17만 8,000달러(약 2억 74만 원)를 제시하고 있고, 유타대학교의 경우 23만 달러(약 2억 5,939만 원)~25만 1,000달러(약 2억 8,307만 원) 사이다. editor@itworld.co.kr 


CIO / CISO / CSO
X