보안

보안 부서의 성숙도는 조직 구조 개편의 '필수 조건'

Mary K. Pratt  | CSO 2022.04.20

평가 시간이 가장 중요해

조 노세라 ⓒ PwC
새삼스러울 것 없이 오메라 등은 모든 것에 효과적인 유일한 만능 모델은 없다고 말한다. 그러나 동시에 CISO가 어떻게 조직을 구성할 것인지, 언제 조직을 개편할 것인지를 신중하게 결정해야 한다는 데 동의한다. 물려받은 것, 또는 항상 해왔던 것에 그냥 안주해서는 안 된다.

PwC의 사이버 및 프라이버시 혁신 연구소(Cyber & Privacy Innovation Institute)의 책임자인 조 노세라는 조직 구성 및 개편 시 여러 요인을 고려하도록 CISO에게 조언한다고 말했다. 

CISO는 보안 부서가 대규모로 전달할 핵심 서비스와 전사적 서비스가 무엇인지 검토해야 한다. 노세라에 따르면 보안 운영 센터, 신원 및 접근 관리, 정책 제어 등이 주로 전사적 서비스로 제공되는 요소다. 

또한 CISO는 보안이 비즈니스 단위와 어떻게, 얼마나 효과적으로 정렬하는지를 평가해야 한다. 노세라는 “보안이 비즈니스 단위를 이해하고 맞춤형 보안을 지원할 수 있다면 비즈니스 단위에 인력을 배치할 수도 있다”라고 말했다. 그러면서 이 배치 인력은 CISO에 직간접으로 보고할 수 있다고 덧붙였다. 

그리고 클라우드와 데브옵스의 도입이 증가하면서 CISO는 애플리케이션 개발 부서 지원 방법을 검토하고, 아울러 어떻게 하면 보안 부서가 애자일 개발을 최적으로 지원하고 개발 과정 초기에 보안을 배치할 수 있는지를 생각해야 한다고 말했다. 

노세라에 따르면 여기에서는 보안 부서의 규모가 아니라 기업이 전반적으로 사이버보안에 접근하는 방식이 얼마나 성숙했는지가 핵심이라고 지적했다. 
또한, “보안을 우선시한 적이 없는 기업에는 중앙에서 모든 일을 추진하고 확인하는 중앙식 모델이 낫다. 그러나 프로세스, ‘머슬 메모리’, 거버넌스를 갖춘 조직이라면 연합 모델을 고려”하라고 말했다. 
 

신중함의 가치 

다른 사람들과 마찬가지로 노세라는 중앙 및 분산 모델이 저마다 혜택이 있음을 발견한다. 

노세라는 “중앙 모델에서 CISO는 한층 규범적이고, CISO가 기대하는 기준 내에서 인력이 일하고 있을 확실성이 높다. 아울러 역할, 책임, 워크플로우에서 일관성이 약간 더 높다. 또한 실시간 피드백 및 진로 수정도 더 유리하다”라고 설명했다. 

분산 모델의 경우에는 보안이 현업 또는 개발 프로세스와 가깝기 때문에 아마 최초의 아이디어 회의에서 논의될 것이다. 따라서 보안을 프로젝트 초기에 배치할 수 있다. 그리고 비즈니스 단위나 개발자가 보안 인력을 부서의 일부로 인식할 때 더 많은 소유권을 갖게 된다”라고 말했다. 

그러나 전문가는 조직 구조는 단순히 장점과 단점을 이해하는 차원이 아니라고 지적한다. 오히려 핵심은 CISO가 어떤 모델을 이용할 것인지와 그 이유를 결단력 있게 파악하는 것이다.
 
스티븐 심 ⓒ ISACA
노세라는 “결단력 있는 CISO라면 어떤 모델에서든 최적의 보안 수준에 이를 수 있다고 생각한다”라고 말했다. 

다국적 기업의 글로벌 CISO이자 ISACA(ISACA Emerging Trends Working Group)의 일원인 스티븐 심의 견해도 비슷하다.

심은 3계층으로 이루어진 보안 조직을 이끌고 있다. 최상위 계층은 거버넌스, 사건 관리, 프로젝트 관리 임원을 포함하고, 전 세계에 걸친 업무를 담당한다. 그리고 지역 사무소가 있고, 그 아래에는 자체 IT 및 보안 부서를 보유한 비즈니스 단위가 있다. 

심은 보안이 중앙 집중식 공유 서비스를 제공한다고 말했다. 그러나 일부 업무는 분산되어 처리되고 지역에서 담당하도록 구조화되었다. 

심은 필요 시 한 지역에서 자원을 가져와 다른 지역에 투입하고, 여러 지역에 걸쳐 공조가 이루어지기 때문에 예를 들어 상이한 지역에서 발생하고 있는 사건의 연관성을 판단할 수 있다고 말했다. 

또한 “분산화가 타당한 영역이 분명히 있다. 그러나 하나의 만능의 해법은 없다. 해법은 기업, 기업 성숙도, 민첩성, 문화에 달려있다”라고 말했다. 

심은 위험에 대해 최종 책임을 지는 비즈니스 단위 리더를 포함해 모든 사람이 협력하는 것이 이보다 더 결정적일 수 있다고 말했다.

또한 “이것은 그야말로 모두 함께 일한다는 정신이다. 보안은 갈수록 모든 사람의 책임이 되어가고 저마다 해야 할 역할이 있다”라고 말했다. 
 
샘 올리아이 ⓒ GARTNER
가트너의 위험 및 보안 관리 그룹의 일원인 샘 올리아이는 이에 공감하며 보안 부서 구조가 성공에 영향을 주는 것은 사실이지만 “핵심은 언제나 거버넌스”라고 말했다.

올리아이도 역시 조직도에 먼저 집중하는 것이 아니라 “보안 부서가 기업에 얼마나 잘 맞는가? 조직이 전반적으로 위험을 얼마나 잘 처리하는가? 프로세스와 정책이 얼마나 원숙한가? 기업이 독재적인가, 민주적인가? 그리고 해당 환경에서 보안이 얼마나 최선으로 보안 표준을 만족하는가에 집중해야 한다”라고 말했다. 올리아이에 따르면 이러한 문제 해결이 가장 중요하다.

올리아이는 “보고 경로를 달리 하고 부서를 개편하며 분산 또는 비분산 모델을 적용하는 등 수많은 방식으로 구조를 조정할 수 있다. 그러나 핵심 문제를 해결하는 길은 아니다. 기저의 거버넌스 문제를 해결하는 것이 더 중요하다. 클라이언트에게도 항상 이 점을 강조한다”라고 말했다.
editor@itworld.co.kr 
 Tags CISO

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.