IT 관리 / 보안

보안 문제, 결국 CSO의 리더십 부족이 원인

George V. Hulme  | CSO 2014.06.13
정보 보안 전문가들에게 지난 10년간 일하면서 가장 어렵게 느껴졌던 과제에 대해 묻는다면, 아마도 조직의 경영진이 그들에게 보안에 필요한 ‘지원’과 ‘공간’을 충분히 제공하지 않았다는 이야기를 종종 듣게 될 것이다. 이는 즉 ‘예산이 부족하다’라는 뜻이며 보안 쪽 인력이 요직이 아닌 ‘변두리’에만 머물러 있다는 말이다.



많은 보안 인력이 조직의 중심에서 밀려나있다는 느낌을 받고 있다는 것은 의심의 여지가 없다. 아일랜드 더블린에 소재한 BH 컨설팅(BH Consulting)의 CEO 브라이언 호난은 “많은 기업이 사이버 보안을 비즈니스 문제가 아닌, 단순한 IT 관리 문제로 치부한다”며, “그러나 기업이 얼마나 IT 시스템에, 그리고 그 시스템 내의 정보에 의존적인지 고려해보면 경영진은 사이버 보안이 기업 전체에 있어 얼마나 중요한 문제인지 깨달을 필요가 있다”고 설명했다.

하지만 이런 ‘인식의 문제’는 결국 IT 보안 리더의 책임으로 이어진다. 결국 경영진에게 투자 필요성을 납득시키는 것은 보안 리더의 역할이기 때문이다.

IT 보안 시장 조사 업체 시큐로시스(Securosis)의 분석가 마이크 로트먼은 “나는 보안을 소홀히 하는 것에 대한 책임이 기업 경영진에 있다는 것에 동의하지 않는다. 경영진의 역할은 자원을 가장 효율적인 방법으로 분배하는 것이다. 만약 보안에 필요한 예산이 제대로 분배되지 않았다면 이는 애초에 경영진을 설득하는데 실패한 보안팀의 책임이다”고 말했다.

로트먼은 “만약 CSO가 보안에 대한 지원이 부족한 것을 경영진의 탓으로 넘긴다면 이는 책임 회피와 다를 것이 없다”고 말하며, “CSO(Chief Security Officer)는 직책의 의미 상 조직의 보안을 책임진다는 뜻이다. CSO는 조직의 임원들뿐 아니라 조직의 모든 이들에게 정보 보안의 중요성을 이해시켜야 하는 의무가 있다. 만약 조직이 CSO의 뜻을 받아들이지 않는다면, 이는 그 CSO가 해당 조직에 맞지 않는 인물이라는 의미다” 라고 설명했다.

보안 문제를 외면하는 경영진도 문제

보안 문제가 1차적으로는 CSO의 책임인 것은 맞으나, 일부 비즈니스 리더들이 보안 위협에 대한 경고를 한 귀로 듣고 한 귀로 흘리는 것 또한 부정할 수 없는 사실이다. 이 문제에 대한 원인 가운데 하나는 조직 내 위계서열 방식이다.

451 그룹(The 451 Group)의 보안 분석가 자바드 말리크는 분석 연구를 수행한 결과, CISO(Chief Information Security Officer)들 스스로가 보안 문제에 대해 지속적으로 무력감을 느낀다는 것을 발견했다.

말리크는 “연구 결과에서 CSO나 CISO, 혹은 보안 책임자들이 실제 조직 내 보안 관리에 큰 영향력이 없다는 사실을 알 수 있었다. 이 문제에 대한 원인은 보안 리더 대부분이 직함에 ‘최고(Chief)’라는 단어가 들어감에도 불구하고 최고 경영진으로 대우받지 못한다는데 있었다. 이들은 보통 한 부서의 ‘장’이라기 보다는 CIO(Chief Information Officer)나 CFO(Chief Finance Officer)들에게 보고를 하는 위치”라고 말했다.

CISO가 최고경영진으로서 제대로 된 대우를 받지 못한다는 것은 참으로 안타까운 일이다. 더군다나 기업의 IT 프로젝트와 정보 보안 사이에 강력한 이해 상충이 일어난다는 것을 고려할 때, CISO가 CIO에게 보고를 한다는 사실은 더욱 문제를 심각하게 만든다.

하지만 다행스럽게도 CSO 매거진의 연례 CSO 실태 조사 보고서를 살펴보면, 조사에 응답한 보안 결정권자의 46%가 ‘지난 해와 비교해 조직 내에서 보안 위험 관리에 대한 인식이 높아졌다’고 말했으며, 61%는 ‘기업 리더들이 앞으로도 위험 관리의 가치를 더욱 높이 평가할 것’이라고 기대했다. 조사 결과에서는 조직의 규모가 클수록 경영진이 보안 위험 관리에 부여하는 가치가 더 큰 것으로 나타났다.

게다가 보안 전문가 응답자의 3/4(75%)이 ‘선임 경영진들과 기타 최고 사업 결정권자들이 보안 관련 문제에 대한 조언을 구했다’고 말했으며, 79%의 응답자는 ‘앞으로 3년 동안 보안 관리 조언에 투자하는 시간이 더 늘어날 것’으로 예상했다.

보안에 대한 관심이 높아진 현재, 이 기회를 놓치지 않고 경영진의 신뢰를 얻는데 활용해야 할 것이다.

호난은 “보안은 기업이 사업 목표를 달성하는데 이바지할 수 있다. 비즈니스 리더의 신용을 얻기 위해선 우선 비관적인 자세는 피해야 한다. 경영진은 항상 수많은 이슈 가운데 어떤 것이 투자할 만한 가치가 있는지, 끊임없이 취사 선택을 하는 위치에 있다. 그렇기에 CSO는 모든 관건이 최우선시 될 수 없다는 사실에 대해 타협하는 자세도 필요하다”고 말했다.

바로 여기서 CSO의 리더십이 필요한 것이다. 경영진에게 보안 관리가 투자할 가치가 있는 분야라는 것을 설득시키고 이를 실현하기 위한 최선의 방법을 설명하는 것이 바로 CSO기 때문이다. editor@itworld.co.kr
 
 Tags CSO 보안

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.