보안

보안 부서의 성숙도는 조직 구조 개편의 '필수 조건'

Mary K. Pratt  | CSO 2022.04.20
20년 이상 기업 보안 업무를 담당한 대니얼 슈왈브는 보안 직종이 어떻게 변화해왔는지, 보안 부서의 구조가 어떻게 진화해왔는지를 모두 목격했다. 

예를 들어 1990년대 말 처음 일을 할 때 보안 부서는 네트워크 운영 부서에 보고하는 체계였다. 당시의 보안 부서는 IT 안의 깊숙한 곳에 묻혀 있었고 다른 사람들도 보안 부서와 이야기하고 싶어하지 않는 분위기가 강했다.

그러나 여러 해가 지나면서 보안은 네트워크 운영 부서에서 벗어나 보안을 전담하는 CISO 사무실 직속 체계가 되었다. 그러면서 분기가 시작되었다. 
 
ⓒ Getty Images Bank

당시 이사이자 부 CISO였던 슈왈브는 “중앙 부서가 있기는 했지만, 보안 업무를 담당할 만한 사람을 구할 때는 중앙 외의 다른 부서에서 찾으려고 했다. 보안 부서 소속이 아니면서도 관련 업무를 하는 사람들이다”라고 말했다. 
 
대니얼 슈왈브 ⓒ DOMAINTOOLS
슈왈브는 이들 협력자의 가치가 엄청났다며 “어떤 부서에 보안을 잘 아는 사람이 있을 때 이들과 협력한다면 상황이 훨씬 순조롭고 보안 업무가 훨씬 효율적으로 진행될 수 있다”라고 설명했다. 

이 교훈은 현재 도메인툴(DomainTools) CISO로 있는 슈왈브의 결정에 영향을 미쳤다. 슈왈브는 2021년 합병 후 계속 확대 중인 보안 부서를 가장 이상적으로 조직할 방법을 구상 중인데, 중앙 보안 부서를 두고 여러 비즈니스 조직과의 연락 담당자를 두는 쪽으로 기울고 있다. 이들은 각 부서가 무엇을 하고 있는지 파악하고 보안 위험을 신속히 규명하면서 신뢰성 있는 조언자 역할을 맡게 된다.

슈왈브는 “보안은 다른 부서의 신뢰와 존경을 받을 때 가장 잘 기능한다. 이 경우 다른 직원은 보안 부서의 도움을 받을 수 있음을 잘 이해한다”라고 말했다.

연락 담당자의 가치를 증명한 한 사례가 있다. 어떤 기업의 직원들은 보안된 시스템에서 정보에 접근할 때 계속 도움을 요청해야 했다. 보안 연락 담당자가 이 오류를 인지했고 보안 부서와 협력해 권한 수준을 조정했다. 기본적으로 보안은 비즈니스 부서가 효율적으로 일할 때 필요한 것을 제공하지만 여전히 최소 권한의 원리를 고수한다.  

슈왈브는 “더욱 협업에 어울리는 방식으로 일하고, 마냥 기다리는 것이 아니라 적극적으로 일을 찾음으로써, 기업은 훨씬 더 좋은 곳이 될 수 있다”라고 말했다. 

슈왈브는 2022년 도메인툴에 CISO로 합류했다. 따라서 신임 보안 리더로서 부서를 최상으로 조직할 방법을 검토하는 것은 당연하다.  

그러나 경험 많은 보안 임원 및 경영진은 CISO가 전체 전략 계획의 일환으로, 그리고 기업의 요구사항이 크게 변한 후에는 더더욱 조직 개편을 재고해야 한다고 말했다. 원격 근무, 클라우드 컴퓨팅, 디지털화를 가져온 포스트 팬데믹 상황에서 거의 모든 기업이 기업 요구의 급격한 변화를 경험하고 있다. 
 

적시에 적정한 모델을 찾아내라

애덤 골드스타인 ⓒ CHAMPLAIN COLLEGE
CISO는 완전 중앙화된 조직부터 연립 형태 그리고 그 사이에 있는 다양한 조직 모델 중에서 하나를 선택한다. 전문가들은 CISO가 시간을 갖고 어떤 모델이 가장 효과적일지와 최선의 구현 방법을 결정해야 하고, 이 노력은 ROI가 높다고 말했다. 

챔플레인 대학의 사이버보안 조교수이자 리히 디지털 포렌식 및 사이버보안 센터(Leahy Center for Digital Forensics & Cybersecurity)의 학술 소장인 애덤 골드스타인은 “신규 인력을 채용하거나 장비를 더 많이 구매하는 통상적인 문제가 아니라, 운영에 직결된 것이다. 가장 효과적인 보안을 생성할 수 있도록 조직을 안전하게 운영하는 방법에 대한 노력”이라고 말했다.

가이드하우스(Guidehouse)의 사이버보안 솔루션 사업부 책임자인 잭 오메라는 경영진은 보통 사건이 발생한 이후에야 보안 부서를 개편하는 경향이 있다고 지적했다.

오메라는 “그러나 위협은 끊임없이 진화하기 때문에, 그리고 변화하는 업무환경 역학으로 인해 재평가를 더욱 자주 실행해야 한다”라고 말했다. 

CISO는 조직 구조마다 장점과 단점이 있기 마련이고 계획을 실행하면서 혜택과 난제가 상존함을 발견할 것이다. 
 
잭 오메라 ⓒ GUIDEHOUSE

예를 들어 오메라는 중앙식 모델이 통제하기 쉽지만 조직 내 제반 기술 전체를 시야에 두지 못할 것이고, 기업 단위 내에 섀도우 IT 현상이 만연할 경우에는 더 심할 것이라고 경고했다.

오메라는 다른 한편으로 CISO는 연립 모델 아래에서 비즈니스 단위와 한층 원활하게 협력할 수 있지만, 강력한 거버넌스를 설정하고 유지하는 데 신경을 써야 하고, 보안 표준이 모든 분야에서 일관성 있게 유지되고 있음을 보장해야 한다고 조언했다.

하이브리드 모델을 선택하는 CISO가 많은 것은 이 때문이다. 일부 기능을 중앙화하는 한편 여러 비즈니스 단위에 보안을 배포하고 연계하면서 각 모델이 갖는 혜택을 취하고 잠재적 위험을 최소화하는 것이다.

슈왈브도 동의하며 부분적으로는 보안 직원이 CISO에 보고하지만, 연락 담당자가 정기적으로 회의에 출석해 모델 간의 균형을 잡는다고 설명했다.

 Tags CISO

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.