2019.02.11

신임 CISO를 위한 5가지 전략과 규칙

Stacy Collett | CSO
2017년 8월, 부동산 임대업계의 디지털 마케팅 기업인 렌트패스(RentPath)의 CISO로 부임한 미셸 스튜어트는 자신의 CISO 사전에 몇 가지 새로운 규칙을 추가할 필요성을 느꼈다. 마지막으로 보안 리더 자리를 맡았을 때와는 시대가 변해 있었다. 한 때는 단순히 기술 전문가로만 취급되던 CISO가 이제는 보안 이니셔티브의 가치를 비즈니스 관점에서 의사소통할 수 있는 비즈니스 지원자의 역할까지 하고 있었다. 
 
ⓒ Getty Images Bank 

좀 더 유능한 보안 전문가가 되기 위해 지켜야 할 기본적인 원칙, 모범 사례들은 사실 크게 변하지 않았다. 우선 보안 상황을 평가하고, 보안 팀을 구성한 뒤 비즈니스 리더들, 임원들과 관계를 맺고 신뢰를 쌓아 나가야 한다. 다만 이런 기본적인 원칙에 이제는 몇 가지 주의 사항이 따르게 된 것뿐이다.

콘 페리(Korn Ferry) 글로벌 보안 분야 공동 리드이자 수석 파트너인 제이미 커밍스는 "오늘날 CISO는 예전과는 사뭇 다른 역량을 발휘해야 하며, 더욱 다양한 이해 당사자들과 협력을 요구한다. 또한 여러 가지 분야에 두각을 나타낼 수 있는 다각적인 팀을 구성해야 한다"고 말했다.

CISO는 또한 이사회와의 소통을 위한 비즈니스적 수완도 필요하게 될 것이다. 가트너에 따르면, 2020년이 되면 대기업의 100%가 사이버보안 및 기술 위험에 대해 적어도 연 1회 이상 이사회에 보고할 것인데, 이는 2018년의 40%에서 2배 이상 증가한 것이다.
뿐만 아니라 사이버 및 정보 보안 요구 사항은 업종별로 더욱 다각화되고 있다. 콘 페리의 글로벌 사이버보안 공동 리드이자 수석 파트너인 에일린 알렉산더는 "CISO는 자신이 속한 산업과 회사의 전략적 방향, 그리고 사업적 우선 순위를 이해하기 위해 더 많은 시간과 노력을 투자해야 한다"고 말했다. 

새로운 회사로의 이전을 성공적으로 해낸 CISO들이 말하는, CISO가 알아야 할 5가지 새로운 전략과 규칙에 대해 알아 보자.


1. 보안 성숙도 평가 진행

- 주의사항:  '완벽'에 집착하기 보다는 '이 정도면 충분한가'를 생각할 것
신임 CISO가 처음 맡게 되는 업무 가운데 하나는 조직의 보안 현황을 파악하는 것이다. 그러기 위해서는 우선 조직의 사이버 보안 상태를 먼저 파악하고, 기존의 리스크를 평가하며, 중요 자산 인벤토리를 살펴보고 이를 어떻게 안전하게 보호할 것인지를 결정해야 한다. 
스튜어트는 처음 렌트패스에 CISO로 부임한 뒤 첫 60일 동안은 보안 현황 평가와 보안 성숙도 평가를 통해 보안 간극을 식별하고 우선순위화 하는 작업에 매진했다. 스튜어트는 "이런 작업을 통해 큰 그림을 그릴 수 있다"고 말했다. 하지만 이 모든 작업을 반드시 첫 해 안에 완벽하게 끝내야 한다고 생각하면 너무 큰 부담이 된다고 덧붙였다. 
스튜어트는 "이 정도면 충분하다는 생각이 들 정도면 된다. 완벽에 집착할 필요는 없다"고 말했다. 올 해 스튜어트는 2018년에 일부 항목들이 완수되지 못한 이유를 설명하고, 주어진 투자 및 자원에 따라 기대치를 조정할 수 있었다. 


2. 단기간의 성과 통해 신뢰 쌓기

- 주의 사항: 때론 관계를 맺기도 전에 일을 시작해야 하는 경우도 있다.
CISO 출신으로 현재는 정보 보안 서비스 업체 누하버 시큐리티(NuHarbor Security)를 창업해 CEO로 활동하고 있는 저스틴 핌레이드는 "새로 CISO에 부임하면 동료를 만나고, 부서간 미팅을 진행하며 ‘자신의 존재를 알리는' 데에만 수 개월이 지나버리곤 한다. 이 시간을 당신과 조직을 위한 정치적 자산을 구축하는 시간으로 활용할 수 있어야 한다. 동료들의 목소리를 듣고, 그들에게 공감하고, 무엇보다 그들의 목표가 무엇이며 당신이 그것을 어떻게 지원할 수 있을지를 이해하려 노력하라"고 조언했다.
웰포스(Wellforce)의 CISO 테일러 르먼도 본인의 경험을 빌어 비슷한 조언을 전했다. 2017년 6월 웰포스의 CISO 직을 맡은 르먼은 "그들을 괴롭히는 기술 문제들을 사이버보안의 관점에서 해결할 수 있음을 입증한 뒤에야 회사의 다른 동료들과 비로소 깊이 있는 소통을 할 수 있었다"고 말했다. 
웰포스에서 르먼이 처음 진행한 프로젝트는 IT 사업부의 3대 보안 관련 이슈를 점검하는 모의 훈련이었다. 90일 간 진행된 프로젝트를 통해 르먼은 2중 인증 및 원격 접근 시스템의 패치를 비롯한 작업을 추진했다. 르먼은 "우리가 보안 문제를 해결한 후에야 사람들은 그 문제에 대해 이야기하기 시작했다. CEO와 회의를 하다 보면 늘 듣는 말이 ‘왜 아직도 해결되지 않는 것인가?’라는 것이다. 처음부터 내게 기업의 전략적 방향성이나 CISO 직무의 중요성에 대해 이야기하는 CEO는 없었다. 성과만이 내 가치를 증명해 주며, 그렇게 시간이 지나다 보면 주도적으로 의제를 제시하는 것도 가능해질 것이다"라고 강조했다.

  
3. 비즈니스 리더와 긴밀한 협력 관계 유지

- 주의 사항: HR, 법무팀, 컴플라이언스 담당 팀, 프라이버시 및 위험 관리 책임자도 리스트에 추가할 것. 
유럽연합과 미국에서는 새로운 프라이버시 보호법 및 규제가 형성되고 있다. 이런 상황에서는 프라이버시 보호, 정보 위험, 그리고 기업 위험 관리 역시 CISO의 역할에 포함된다. 커밍스는 "직원들의 프라이버시 보호 문제에 있어서 최전선에 서야 하는 것은 HR이다. 컴플라이언스와 EU의 GDPR(개인정보보호규정)은 법무팀의 일이다. 이 둘은 프라이버시 측면에서 가장 주요한 이해관계자들이다. CISO는 이들과 긴밀한 관계를 맺고 협력하며 위험과 보안, 그리고 프라이버시 간의 균형을 맞추는 역할을 해야 한다"고 말했다. 
카스퍼스키랩의 설문 조사에 응답한 250명의 CISO 및 IT 보안 전문가 가운데 2/3 이상이 새로운 프라이버시 관련 규제 및 컴플라이언스 이슈로 인해 법무팀과 협력하고 있다고 답했다. CISO 가운데 43% 가량은 HR과의 관계가 (특히 신원 및 액세스 관리 문제에 있어서) 중요하다고 답하기도 했다. 최고 프라이버시 책임자가 있는 기업의 경우 이들과 CISO의 협력 관계도 중요하다고 커밍스는 지적했다. 
도큐페이스 테크놀로지스(Docupace Technologies)의 CISO이자 CIO인 존 커닝햄은 "이런 협력 관계는 CISO에게 있어서는 사이버보안과 관계된 법률적 이슈나 컴플라이언스 관련 문제에 대해 전문가가 될 좋은 기회이기도 하다"고 말했다. 커닝햄은 "회사에 컴플라이언스 담당 부서가 따로 있다면, 이들과 베스트 프렌드가 돼야 한다. 이들로부터 컴플라이언스와 관련된 모든 것을 배우고, 이를 경영자 및 이사회가 이해할 수 있는 언어로 바꾸어 설명해야 한다. 우선순위 목록을 작성하고, 가장 중요한 것에 초점을 맞춰야 한다"고 덧붙였다.


4. 타 기업 CISO과 협력

- 주의 사항: CISO들과 보안 전략을 공유하고 대화할 것.
CISO의 역할은 무척 광범위하고, 복잡하며, 부담도 크다. 초기에 편하게 자문을 구할 수 있는 전문가, 경험자가 있는 것이 전문성 개발에는 이루 다 말할 수 없을 정도의 도움이 된다. 직전 회사에서 CISO로 일할 때 커닝햄은 업계 경쟁사들의 CISO와 협력 네트워크를 구축했다. 커닝햄은 이들과 주기적으로 만나는 정보 공유 그룹을 형성했다. 이들은 그룹 내에서 서로 협력하고, 지식을 공유했다. 커닝햄은 "CISO들은 서로 경쟁 관계가 아니다. 우리는 서로 위협에 대한 정보를 공유하고, 예산 및 보안 전략에 대해 이야기를 나누었다"고 말했다.

 
5. 조직 내에서 자신 위치 이해

- 주의 사항: 책임자들과 만나 발생할 지 모르는 인사 문제에 대해 사전에 논의한다. 
신임 CISO로써, 자신의 역할을 알고 자신에게 주어진 권한이 어디부터 어디까지 인가를 아는 것은 중요하다고 커닝햄은 덧붙였다. "CISO로 일하다 보면 불가피하게 높은 직위에 있거나 중요한 사람이 나쁜 짓을 하는 것을 보게 될 때가 있다. 이런 일이 실제로 발생하기 전에 어떻게 할 것인지 대책을 세워둬야 한다. 고위 관리자들, 인사과 담당자들과 사전에 만나 이런 문제와 관련해 발생할 수 있는 잠재적 상황들을 논의하고, 그 경우 어떻게 함께 대처할 것인가를 얘기해둬야 한다." 스튜어트는 "조직마다 회사 내규나 절차가 다르기 때문에 대처 방식은 조직에 따라 달라질 수밖에 없다고 말했다. editor@itworld.co.kr 


2019.02.11

신임 CISO를 위한 5가지 전략과 규칙

Stacy Collett | CSO
2017년 8월, 부동산 임대업계의 디지털 마케팅 기업인 렌트패스(RentPath)의 CISO로 부임한 미셸 스튜어트는 자신의 CISO 사전에 몇 가지 새로운 규칙을 추가할 필요성을 느꼈다. 마지막으로 보안 리더 자리를 맡았을 때와는 시대가 변해 있었다. 한 때는 단순히 기술 전문가로만 취급되던 CISO가 이제는 보안 이니셔티브의 가치를 비즈니스 관점에서 의사소통할 수 있는 비즈니스 지원자의 역할까지 하고 있었다. 
 
ⓒ Getty Images Bank 

좀 더 유능한 보안 전문가가 되기 위해 지켜야 할 기본적인 원칙, 모범 사례들은 사실 크게 변하지 않았다. 우선 보안 상황을 평가하고, 보안 팀을 구성한 뒤 비즈니스 리더들, 임원들과 관계를 맺고 신뢰를 쌓아 나가야 한다. 다만 이런 기본적인 원칙에 이제는 몇 가지 주의 사항이 따르게 된 것뿐이다.

콘 페리(Korn Ferry) 글로벌 보안 분야 공동 리드이자 수석 파트너인 제이미 커밍스는 "오늘날 CISO는 예전과는 사뭇 다른 역량을 발휘해야 하며, 더욱 다양한 이해 당사자들과 협력을 요구한다. 또한 여러 가지 분야에 두각을 나타낼 수 있는 다각적인 팀을 구성해야 한다"고 말했다.

CISO는 또한 이사회와의 소통을 위한 비즈니스적 수완도 필요하게 될 것이다. 가트너에 따르면, 2020년이 되면 대기업의 100%가 사이버보안 및 기술 위험에 대해 적어도 연 1회 이상 이사회에 보고할 것인데, 이는 2018년의 40%에서 2배 이상 증가한 것이다.
뿐만 아니라 사이버 및 정보 보안 요구 사항은 업종별로 더욱 다각화되고 있다. 콘 페리의 글로벌 사이버보안 공동 리드이자 수석 파트너인 에일린 알렉산더는 "CISO는 자신이 속한 산업과 회사의 전략적 방향, 그리고 사업적 우선 순위를 이해하기 위해 더 많은 시간과 노력을 투자해야 한다"고 말했다. 

새로운 회사로의 이전을 성공적으로 해낸 CISO들이 말하는, CISO가 알아야 할 5가지 새로운 전략과 규칙에 대해 알아 보자.


1. 보안 성숙도 평가 진행

- 주의사항:  '완벽'에 집착하기 보다는 '이 정도면 충분한가'를 생각할 것
신임 CISO가 처음 맡게 되는 업무 가운데 하나는 조직의 보안 현황을 파악하는 것이다. 그러기 위해서는 우선 조직의 사이버 보안 상태를 먼저 파악하고, 기존의 리스크를 평가하며, 중요 자산 인벤토리를 살펴보고 이를 어떻게 안전하게 보호할 것인지를 결정해야 한다. 
스튜어트는 처음 렌트패스에 CISO로 부임한 뒤 첫 60일 동안은 보안 현황 평가와 보안 성숙도 평가를 통해 보안 간극을 식별하고 우선순위화 하는 작업에 매진했다. 스튜어트는 "이런 작업을 통해 큰 그림을 그릴 수 있다"고 말했다. 하지만 이 모든 작업을 반드시 첫 해 안에 완벽하게 끝내야 한다고 생각하면 너무 큰 부담이 된다고 덧붙였다. 
스튜어트는 "이 정도면 충분하다는 생각이 들 정도면 된다. 완벽에 집착할 필요는 없다"고 말했다. 올 해 스튜어트는 2018년에 일부 항목들이 완수되지 못한 이유를 설명하고, 주어진 투자 및 자원에 따라 기대치를 조정할 수 있었다. 


2. 단기간의 성과 통해 신뢰 쌓기

- 주의 사항: 때론 관계를 맺기도 전에 일을 시작해야 하는 경우도 있다.
CISO 출신으로 현재는 정보 보안 서비스 업체 누하버 시큐리티(NuHarbor Security)를 창업해 CEO로 활동하고 있는 저스틴 핌레이드는 "새로 CISO에 부임하면 동료를 만나고, 부서간 미팅을 진행하며 ‘자신의 존재를 알리는' 데에만 수 개월이 지나버리곤 한다. 이 시간을 당신과 조직을 위한 정치적 자산을 구축하는 시간으로 활용할 수 있어야 한다. 동료들의 목소리를 듣고, 그들에게 공감하고, 무엇보다 그들의 목표가 무엇이며 당신이 그것을 어떻게 지원할 수 있을지를 이해하려 노력하라"고 조언했다.
웰포스(Wellforce)의 CISO 테일러 르먼도 본인의 경험을 빌어 비슷한 조언을 전했다. 2017년 6월 웰포스의 CISO 직을 맡은 르먼은 "그들을 괴롭히는 기술 문제들을 사이버보안의 관점에서 해결할 수 있음을 입증한 뒤에야 회사의 다른 동료들과 비로소 깊이 있는 소통을 할 수 있었다"고 말했다. 
웰포스에서 르먼이 처음 진행한 프로젝트는 IT 사업부의 3대 보안 관련 이슈를 점검하는 모의 훈련이었다. 90일 간 진행된 프로젝트를 통해 르먼은 2중 인증 및 원격 접근 시스템의 패치를 비롯한 작업을 추진했다. 르먼은 "우리가 보안 문제를 해결한 후에야 사람들은 그 문제에 대해 이야기하기 시작했다. CEO와 회의를 하다 보면 늘 듣는 말이 ‘왜 아직도 해결되지 않는 것인가?’라는 것이다. 처음부터 내게 기업의 전략적 방향성이나 CISO 직무의 중요성에 대해 이야기하는 CEO는 없었다. 성과만이 내 가치를 증명해 주며, 그렇게 시간이 지나다 보면 주도적으로 의제를 제시하는 것도 가능해질 것이다"라고 강조했다.

  
3. 비즈니스 리더와 긴밀한 협력 관계 유지

- 주의 사항: HR, 법무팀, 컴플라이언스 담당 팀, 프라이버시 및 위험 관리 책임자도 리스트에 추가할 것. 
유럽연합과 미국에서는 새로운 프라이버시 보호법 및 규제가 형성되고 있다. 이런 상황에서는 프라이버시 보호, 정보 위험, 그리고 기업 위험 관리 역시 CISO의 역할에 포함된다. 커밍스는 "직원들의 프라이버시 보호 문제에 있어서 최전선에 서야 하는 것은 HR이다. 컴플라이언스와 EU의 GDPR(개인정보보호규정)은 법무팀의 일이다. 이 둘은 프라이버시 측면에서 가장 주요한 이해관계자들이다. CISO는 이들과 긴밀한 관계를 맺고 협력하며 위험과 보안, 그리고 프라이버시 간의 균형을 맞추는 역할을 해야 한다"고 말했다. 
카스퍼스키랩의 설문 조사에 응답한 250명의 CISO 및 IT 보안 전문가 가운데 2/3 이상이 새로운 프라이버시 관련 규제 및 컴플라이언스 이슈로 인해 법무팀과 협력하고 있다고 답했다. CISO 가운데 43% 가량은 HR과의 관계가 (특히 신원 및 액세스 관리 문제에 있어서) 중요하다고 답하기도 했다. 최고 프라이버시 책임자가 있는 기업의 경우 이들과 CISO의 협력 관계도 중요하다고 커밍스는 지적했다. 
도큐페이스 테크놀로지스(Docupace Technologies)의 CISO이자 CIO인 존 커닝햄은 "이런 협력 관계는 CISO에게 있어서는 사이버보안과 관계된 법률적 이슈나 컴플라이언스 관련 문제에 대해 전문가가 될 좋은 기회이기도 하다"고 말했다. 커닝햄은 "회사에 컴플라이언스 담당 부서가 따로 있다면, 이들과 베스트 프렌드가 돼야 한다. 이들로부터 컴플라이언스와 관련된 모든 것을 배우고, 이를 경영자 및 이사회가 이해할 수 있는 언어로 바꾸어 설명해야 한다. 우선순위 목록을 작성하고, 가장 중요한 것에 초점을 맞춰야 한다"고 덧붙였다.


4. 타 기업 CISO과 협력

- 주의 사항: CISO들과 보안 전략을 공유하고 대화할 것.
CISO의 역할은 무척 광범위하고, 복잡하며, 부담도 크다. 초기에 편하게 자문을 구할 수 있는 전문가, 경험자가 있는 것이 전문성 개발에는 이루 다 말할 수 없을 정도의 도움이 된다. 직전 회사에서 CISO로 일할 때 커닝햄은 업계 경쟁사들의 CISO와 협력 네트워크를 구축했다. 커닝햄은 이들과 주기적으로 만나는 정보 공유 그룹을 형성했다. 이들은 그룹 내에서 서로 협력하고, 지식을 공유했다. 커닝햄은 "CISO들은 서로 경쟁 관계가 아니다. 우리는 서로 위협에 대한 정보를 공유하고, 예산 및 보안 전략에 대해 이야기를 나누었다"고 말했다.

 
5. 조직 내에서 자신 위치 이해

- 주의 사항: 책임자들과 만나 발생할 지 모르는 인사 문제에 대해 사전에 논의한다. 
신임 CISO로써, 자신의 역할을 알고 자신에게 주어진 권한이 어디부터 어디까지 인가를 아는 것은 중요하다고 커닝햄은 덧붙였다. "CISO로 일하다 보면 불가피하게 높은 직위에 있거나 중요한 사람이 나쁜 짓을 하는 것을 보게 될 때가 있다. 이런 일이 실제로 발생하기 전에 어떻게 할 것인지 대책을 세워둬야 한다. 고위 관리자들, 인사과 담당자들과 사전에 만나 이런 문제와 관련해 발생할 수 있는 잠재적 상황들을 논의하고, 그 경우 어떻게 함께 대처할 것인가를 얘기해둬야 한다." 스튜어트는 "조직마다 회사 내규나 절차가 다르기 때문에 대처 방식은 조직에 따라 달라질 수밖에 없다고 말했다. editor@itworld.co.kr 


X