2019.03.29

단명하는 CISO가 장수하는 6가지 비결

Jaikumar Vijayan | CSO
최고정보보안임원(Chief Information Security Officers, CISO)이나 여타 기업 보안 리더들은 한 조직에서 전략적 차이를 만들어낼 만큼 오랫동안 머물지 못한다. 한 조직에서 장수한 CISO들은 CISO로서 장수하는 데에는 사업 집중, 핵심 이해관계자와의 소통 능력, 기대치를 관리하는 법을 아는 것이 핵심이라고 말한다. 



지난 8년 동안 아카마이의 최고 보안 임원으로 재직 중인 앤디 엘리스는 회사의 보안 태세를 근본적으로 변화시킨 제로-트러스트 데이터 액세스 모델을 구현하는데 주도적 역할을 했다. 앤디 CISO는 아카마이에서 다양한 보안 직무를 총 16년 동안 해오면서 조직의 핵심 보안 전략을 정의하고 진화시키는데 기여했다.
 
엘리스는 변화에 영향을 주는 자신의 능력이 한 회사에서 그렇게 오랫동안 재직하는데 결정적이었다고 믿는다. 엘리스는 "이 직무를 스스로 만들다시피 했다. 그래서 시간이 지나면서 편안한 장갑을 끼는 느낌이다. 나는 조직이 어떻게 기능하는지 알고 있고, 따라서 더 많은 일을 할 수 있다"고 말했다.

이렇게까지 말할 수 있는 CISO는 그리 많지 않다. 연구에 따르면, 대다수 CISO의 재임 기간은 보통 2~4년이다. 널리 인용되는 2017년 설문조사에 기초한 ESG(Enterprise Strategy Group)와 ISSA(Information Systems Security Association)의 보고서에서는 CISO의 평균 재임 기간을 24~48개월로 추산했다. 보다 최근의 카스퍼스키 랩의 연구에서는 전체 CISO 가운데 겨우 절반 정도가 5년 이상 근무하는 것으로 나타났다. 그러나 이 가운데 64%만이 비즈니스 의사 결정에 적절히 관여하고 나머지 36%의 CISO는 직무 범위가 그 만큼 넓지 않았다.   

CISO가 한 곳에 오래 머물지 않는 한 가지 주요 요인은 보다 많은 급여라는 유혹이다. CISO는 다른 보안 전문직과 마찬가지로 이른바 잘나가는 직종이다. 앞서 언급한 ESG-ISSA 설문조사에서는 38%의 CISO가 더 나은 급여 및 수당을 위해 현재 직무를 그만 두는 것으로 나타났다. 이는 유일한 이유가 아니다. 동일한 설문조사에서 36%는 회사와 맞지 않아 직무를 그만 두고, 34%는 임원 의사 결정 과정에서 배제된다고 느끼기 때문에 회사를 떠난다. 여타 빈번하게 언급되는 사직 이유는 예산 부족, 인재 부족, 최고 경영진의 부적절한 지원 등이다.
 
CISO는 데이터 침해 시 가장 먼저 책임을 져야 하는 직무이기도 하다. 페이스북 CISO인 알렉스 스태모스와 에퀴팍스 CSO인 수잔 몰딘은 보안 실책의 결과로 회사를 떠나라는 압력을 느낀 대기업 보안 리더의 실례이다. 

엘리스는 오랫동안 장수한 비결을 아카마이의 사업 요구사항을 자신의 하는 모든 것에서 우선시 했기 때문이라고 말했다. 엘리스는 CISO가 스스로를 회사를 변혁시킬 임무를 가진 초인적 영웅으로 쯤으로 생각하는 경향이 있다고 말했다. 엘리스는 "CISO 가운데 회사의 양심이 되어야 한다고 생각하는 사람이 많다. 하지만 현실은 그저 곁가지에 불과할 뿐이다. 우리의 일은 비즈니스의 성공을 돕는 것이다"고 지적했다. 엘리스와 여타 보안 리더들은 CISO로 장수하는 6가지 핵심 요소를 다음과 같이 제시했다. 


1. 기대치를 설정하고 관리하라 

엘리스는 사업 부서와 어떻게 협력할 것인지, 그리고 어떻게 보다 안전한 목적지로의 유익하고 지속적인 안내자가 될 것인지에 대한 기대치를 설정해야 한다고 말했다. 실질적 변화를 완수하는데 필요한 시간에 대해, 또는 자신에게 주어진 시간에 대해 명확한 개념을 가져야 한다. 예를 들어 아카마이의 제로-트러스트 이니셔티브는 시작부터 완료까지 6년 이상이 걸렸다. CISO로서 기성 기업에서 10년 계획을 갖는 것과, 신생 기업에서 이런 계획을 갖는 것은 전혀 다른 차원의 문제다. 
엘리스는 "스스로가 원하는 CSO 직무가 있는 곳을 파악하라"고 말했다. 판매, 마케팅, 심지어 IT 책임자와 달리, 보안 리더의 역할은 회사가 위험을 이해하고 대처하는데 도움을 주는 것이다. 엘리스는 "회사가 더 나은 선택을 하도록 돕는 것이 우리의 일이다"고 말했다. 


2. 개입하려는 문제가 무엇인지 파악하라 

보안 업체인 즈스케일러(Zscaler) 전직 CISO이자 사이버보안 업체 엔젤 투자자인 마이클 서튼은 CISO는 단순히 보안을 유지하기 위해 회사에 합류하는 것은 아니라고 말했다. 대다수 보안 리더는 변화를 이끌고 싶어하지만, 핵심은 권한이다. 서튼은 "직무에 만족하는 CISO와 이야기할 때에는 대부분 권한 문제로 귀결된다"면서, "이사회에서 발언권이 있는가, 이사회에 자리가 있는가, 이들은 정기적으로 보고받기를 원하는가를 자문하라"고 말했다. 서튼은 충분한 권한이 있어야만 성공에 필요한 자원도 따라온다고 지적했다.
2009년부터 애리조나 주립 대학교의 CISO를 맡고 있는 티나 소스텐슨은 "흔히, CISO 직무를 맡은 사람들은 이를 극히 기술적 직무로 생각한다"고 말했다. 이는 갈수록 현실과 멀어지고 있는 생각이다. CISO 직무는 관계 구축 및 임원 리더십 기술과 훨씬 더 연관이 많다. 그런데 일부 CISO에게 이는 뜻밖의 사실로 다가온다. 소스텐슨은 "조직은 기술 문제를 해석할 수 있을 뿐 아니라 사업 계열 사람의 목소리를 중요시하는 사람을 원한다"고 말했다. 또한 "CISO는 회사의 위험 취향을 수용할 수 있는 역량을 갖춰야 한다"고 덧붙였다.

 
3. 파괴자가 되고 싶은지, 구축자가 되고 싶은지 결정하라 

엘리스는 "흔히 기업은 데이터 침해가 발생하고서야 CISO를 고용하고는 보안에 투자가 부족했음을 깨닫는다"고 말했다. 새로 기용된 사람은 회사를 뒤바꿀 의무를 가진 채 들어온다. 엘리스는 "간혹 성공하기도 하지만, CISO가 장기적으로 성공을 거두는 데에는 장애가 너무 크다"고 지적했다. 일을 완수하기 위해 파괴자는 사람들을 잘못된 길로 내모는 경우가 빈번하고, 확연한 변화는 모두가 장기적 성공에 필수적인 관계를 희생하면서 발생한다. 엘리스는 "이런 일이 발생할 때마다 미래에 직무를 이행할 능력이 침식된다"고 말했다. 
CISO는 구축자(builder)와 파괴자(disruptor) 사이의 차이를 이해해야 한다. 파괴자는 불을 끄기 위해 부수고 깨뜨리는 소방수와 같다. 구축자가 되고자 한다면 핵심 이해관계자와 장기적 관계를 구축하고 유지하는데 집중해야 한다.

 
4. 지지를 얻는 법을 터득하라 

임원진의 지원 결여를 커다란 문제로 꼽는 CISO가 많다. 소스텐슨은 "그러나 이는 흔히 소통의 실패로 인한 것"이라고 말했다. 소스텐슨은 ASU에서 경력을 쌓는 동안 부사장들 및 이해관계자들과 만날 시간을 내어 이들이 우려하는 보안 문제 및 니즈에 관한 정보를 수집한다고 말했다. 이에 의해 소스텐슨은 대학의 요구에 합치하는 이니셔티브를 훨씬 더 간단하게 규명할 수 있었다. 
경력 초반, 소스텐슨은 전사적 데이터 암호화 계획을 이행하는데 대학 관계자들이 노트북, 스마트폰, 태블릿 등 모바일 장비의 보안에 대해 가진 널리 퍼진 우려를 이용했다. 소스텐슨은 "나는 암호화를 요구한 적이 없었다. 소실되고 도난 당한 장비에 대한 우려를 들었고, 이에 대처하는 방법이 암호화라고 설명한 것밖에 없다. 나는 기술을 밀어붙인 것이 아니라 우려에 대응한 것뿐이었다"고 말했다.

 
5. IT 지식에 능통하라 

현대의 CISO는 비즈니스 요구사항을 이해하고, 비즈니스 목표를 지원해야 하지만, 기술 지식 역시 결정적이다. CISO는 주제 전문가가 될 필요는 없다. 그러나 최소한 다른 최고 임원보다 한 수 위의 기술 지식을 가지고 있어야 한다. 무엇을 질문해야 하는지 알고, 그에 따른 응답의 수준을 평가할 수 있어야 한다. 
다임 커뮤니티 은행의 CISO이자 전직 시티뱅크 및 미쓰비시 보안 임원이었던 알렉스 레온은 "CISO는 조직이 어느 정도 위험을 감수할 용의가 있는지 이해해야 하고, 이사회 앞에서 위험을 명확히 설명할 수 있어야 한다"고 말했다. CISO는 위험을 완화하기 위해 이미 배치되어 있거나 이용이 가능한 제어 수단을 기업이 이해하는데 도움을 주어야 한다. CISO는 위험에 대해 기업을 교육시켜 이들이 앞으로의 방향을 결정할 수 있도록 해야 한다. 


6. 전사적으로 보안을 주입하라 

소스텐슨은 조직의 리더들이 보안 집단을 하나의 비용 소비처로 생각하지 않게 만드는 한가지 방법은 회사의 모든 측면에 보안을 주입하는데 집중하는 것이라고 말했다. 조직 안에 보안 집단을 결성하는 것보다, 보안을 각 업무 계열에 주입하고, 업무 소유자가 이를 관리할 책임을 지도록 할 수 있는지 파악하라. 소스텐슨은 "각 리더에게 보안 책임을 분담해야 함을 이해시켜야 한다"고 말했다. editor@itworld.co.kr  


2019.03.29

단명하는 CISO가 장수하는 6가지 비결

Jaikumar Vijayan | CSO
최고정보보안임원(Chief Information Security Officers, CISO)이나 여타 기업 보안 리더들은 한 조직에서 전략적 차이를 만들어낼 만큼 오랫동안 머물지 못한다. 한 조직에서 장수한 CISO들은 CISO로서 장수하는 데에는 사업 집중, 핵심 이해관계자와의 소통 능력, 기대치를 관리하는 법을 아는 것이 핵심이라고 말한다. 



지난 8년 동안 아카마이의 최고 보안 임원으로 재직 중인 앤디 엘리스는 회사의 보안 태세를 근본적으로 변화시킨 제로-트러스트 데이터 액세스 모델을 구현하는데 주도적 역할을 했다. 앤디 CISO는 아카마이에서 다양한 보안 직무를 총 16년 동안 해오면서 조직의 핵심 보안 전략을 정의하고 진화시키는데 기여했다.
 
엘리스는 변화에 영향을 주는 자신의 능력이 한 회사에서 그렇게 오랫동안 재직하는데 결정적이었다고 믿는다. 엘리스는 "이 직무를 스스로 만들다시피 했다. 그래서 시간이 지나면서 편안한 장갑을 끼는 느낌이다. 나는 조직이 어떻게 기능하는지 알고 있고, 따라서 더 많은 일을 할 수 있다"고 말했다.

이렇게까지 말할 수 있는 CISO는 그리 많지 않다. 연구에 따르면, 대다수 CISO의 재임 기간은 보통 2~4년이다. 널리 인용되는 2017년 설문조사에 기초한 ESG(Enterprise Strategy Group)와 ISSA(Information Systems Security Association)의 보고서에서는 CISO의 평균 재임 기간을 24~48개월로 추산했다. 보다 최근의 카스퍼스키 랩의 연구에서는 전체 CISO 가운데 겨우 절반 정도가 5년 이상 근무하는 것으로 나타났다. 그러나 이 가운데 64%만이 비즈니스 의사 결정에 적절히 관여하고 나머지 36%의 CISO는 직무 범위가 그 만큼 넓지 않았다.   

CISO가 한 곳에 오래 머물지 않는 한 가지 주요 요인은 보다 많은 급여라는 유혹이다. CISO는 다른 보안 전문직과 마찬가지로 이른바 잘나가는 직종이다. 앞서 언급한 ESG-ISSA 설문조사에서는 38%의 CISO가 더 나은 급여 및 수당을 위해 현재 직무를 그만 두는 것으로 나타났다. 이는 유일한 이유가 아니다. 동일한 설문조사에서 36%는 회사와 맞지 않아 직무를 그만 두고, 34%는 임원 의사 결정 과정에서 배제된다고 느끼기 때문에 회사를 떠난다. 여타 빈번하게 언급되는 사직 이유는 예산 부족, 인재 부족, 최고 경영진의 부적절한 지원 등이다.
 
CISO는 데이터 침해 시 가장 먼저 책임을 져야 하는 직무이기도 하다. 페이스북 CISO인 알렉스 스태모스와 에퀴팍스 CSO인 수잔 몰딘은 보안 실책의 결과로 회사를 떠나라는 압력을 느낀 대기업 보안 리더의 실례이다. 

엘리스는 오랫동안 장수한 비결을 아카마이의 사업 요구사항을 자신의 하는 모든 것에서 우선시 했기 때문이라고 말했다. 엘리스는 CISO가 스스로를 회사를 변혁시킬 임무를 가진 초인적 영웅으로 쯤으로 생각하는 경향이 있다고 말했다. 엘리스는 "CISO 가운데 회사의 양심이 되어야 한다고 생각하는 사람이 많다. 하지만 현실은 그저 곁가지에 불과할 뿐이다. 우리의 일은 비즈니스의 성공을 돕는 것이다"고 지적했다. 엘리스와 여타 보안 리더들은 CISO로 장수하는 6가지 핵심 요소를 다음과 같이 제시했다. 


1. 기대치를 설정하고 관리하라 

엘리스는 사업 부서와 어떻게 협력할 것인지, 그리고 어떻게 보다 안전한 목적지로의 유익하고 지속적인 안내자가 될 것인지에 대한 기대치를 설정해야 한다고 말했다. 실질적 변화를 완수하는데 필요한 시간에 대해, 또는 자신에게 주어진 시간에 대해 명확한 개념을 가져야 한다. 예를 들어 아카마이의 제로-트러스트 이니셔티브는 시작부터 완료까지 6년 이상이 걸렸다. CISO로서 기성 기업에서 10년 계획을 갖는 것과, 신생 기업에서 이런 계획을 갖는 것은 전혀 다른 차원의 문제다. 
엘리스는 "스스로가 원하는 CSO 직무가 있는 곳을 파악하라"고 말했다. 판매, 마케팅, 심지어 IT 책임자와 달리, 보안 리더의 역할은 회사가 위험을 이해하고 대처하는데 도움을 주는 것이다. 엘리스는 "회사가 더 나은 선택을 하도록 돕는 것이 우리의 일이다"고 말했다. 


2. 개입하려는 문제가 무엇인지 파악하라 

보안 업체인 즈스케일러(Zscaler) 전직 CISO이자 사이버보안 업체 엔젤 투자자인 마이클 서튼은 CISO는 단순히 보안을 유지하기 위해 회사에 합류하는 것은 아니라고 말했다. 대다수 보안 리더는 변화를 이끌고 싶어하지만, 핵심은 권한이다. 서튼은 "직무에 만족하는 CISO와 이야기할 때에는 대부분 권한 문제로 귀결된다"면서, "이사회에서 발언권이 있는가, 이사회에 자리가 있는가, 이들은 정기적으로 보고받기를 원하는가를 자문하라"고 말했다. 서튼은 충분한 권한이 있어야만 성공에 필요한 자원도 따라온다고 지적했다.
2009년부터 애리조나 주립 대학교의 CISO를 맡고 있는 티나 소스텐슨은 "흔히, CISO 직무를 맡은 사람들은 이를 극히 기술적 직무로 생각한다"고 말했다. 이는 갈수록 현실과 멀어지고 있는 생각이다. CISO 직무는 관계 구축 및 임원 리더십 기술과 훨씬 더 연관이 많다. 그런데 일부 CISO에게 이는 뜻밖의 사실로 다가온다. 소스텐슨은 "조직은 기술 문제를 해석할 수 있을 뿐 아니라 사업 계열 사람의 목소리를 중요시하는 사람을 원한다"고 말했다. 또한 "CISO는 회사의 위험 취향을 수용할 수 있는 역량을 갖춰야 한다"고 덧붙였다.

 
3. 파괴자가 되고 싶은지, 구축자가 되고 싶은지 결정하라 

엘리스는 "흔히 기업은 데이터 침해가 발생하고서야 CISO를 고용하고는 보안에 투자가 부족했음을 깨닫는다"고 말했다. 새로 기용된 사람은 회사를 뒤바꿀 의무를 가진 채 들어온다. 엘리스는 "간혹 성공하기도 하지만, CISO가 장기적으로 성공을 거두는 데에는 장애가 너무 크다"고 지적했다. 일을 완수하기 위해 파괴자는 사람들을 잘못된 길로 내모는 경우가 빈번하고, 확연한 변화는 모두가 장기적 성공에 필수적인 관계를 희생하면서 발생한다. 엘리스는 "이런 일이 발생할 때마다 미래에 직무를 이행할 능력이 침식된다"고 말했다. 
CISO는 구축자(builder)와 파괴자(disruptor) 사이의 차이를 이해해야 한다. 파괴자는 불을 끄기 위해 부수고 깨뜨리는 소방수와 같다. 구축자가 되고자 한다면 핵심 이해관계자와 장기적 관계를 구축하고 유지하는데 집중해야 한다.

 
4. 지지를 얻는 법을 터득하라 

임원진의 지원 결여를 커다란 문제로 꼽는 CISO가 많다. 소스텐슨은 "그러나 이는 흔히 소통의 실패로 인한 것"이라고 말했다. 소스텐슨은 ASU에서 경력을 쌓는 동안 부사장들 및 이해관계자들과 만날 시간을 내어 이들이 우려하는 보안 문제 및 니즈에 관한 정보를 수집한다고 말했다. 이에 의해 소스텐슨은 대학의 요구에 합치하는 이니셔티브를 훨씬 더 간단하게 규명할 수 있었다. 
경력 초반, 소스텐슨은 전사적 데이터 암호화 계획을 이행하는데 대학 관계자들이 노트북, 스마트폰, 태블릿 등 모바일 장비의 보안에 대해 가진 널리 퍼진 우려를 이용했다. 소스텐슨은 "나는 암호화를 요구한 적이 없었다. 소실되고 도난 당한 장비에 대한 우려를 들었고, 이에 대처하는 방법이 암호화라고 설명한 것밖에 없다. 나는 기술을 밀어붙인 것이 아니라 우려에 대응한 것뿐이었다"고 말했다.

 
5. IT 지식에 능통하라 

현대의 CISO는 비즈니스 요구사항을 이해하고, 비즈니스 목표를 지원해야 하지만, 기술 지식 역시 결정적이다. CISO는 주제 전문가가 될 필요는 없다. 그러나 최소한 다른 최고 임원보다 한 수 위의 기술 지식을 가지고 있어야 한다. 무엇을 질문해야 하는지 알고, 그에 따른 응답의 수준을 평가할 수 있어야 한다. 
다임 커뮤니티 은행의 CISO이자 전직 시티뱅크 및 미쓰비시 보안 임원이었던 알렉스 레온은 "CISO는 조직이 어느 정도 위험을 감수할 용의가 있는지 이해해야 하고, 이사회 앞에서 위험을 명확히 설명할 수 있어야 한다"고 말했다. CISO는 위험을 완화하기 위해 이미 배치되어 있거나 이용이 가능한 제어 수단을 기업이 이해하는데 도움을 주어야 한다. CISO는 위험에 대해 기업을 교육시켜 이들이 앞으로의 방향을 결정할 수 있도록 해야 한다. 


6. 전사적으로 보안을 주입하라 

소스텐슨은 조직의 리더들이 보안 집단을 하나의 비용 소비처로 생각하지 않게 만드는 한가지 방법은 회사의 모든 측면에 보안을 주입하는데 집중하는 것이라고 말했다. 조직 안에 보안 집단을 결성하는 것보다, 보안을 각 업무 계열에 주입하고, 업무 소유자가 이를 관리할 책임을 지도록 할 수 있는지 파악하라. 소스텐슨은 "각 리더에게 보안 책임을 분담해야 함을 이해시켜야 한다"고 말했다. editor@itworld.co.kr  


X