CIO / 보안

"CSO 역할이 바뀌고 있다" 최고 보안 직무에 대한 책임과 요구사항

Josh Fruhlinger | CSO 2021.05.26
CSO(Chief Security Officer)는 기관과 기업의 물리적, 사이버 환경에서 전체 보안 상태를 책임지는 경영진이며, 회사의 운영 위험에 대한 큰 그림을 갖고 있다. 
 
ⓒ Getty Images Bank

     
CSO란 무엇인가? 

CSO는 정보 보안 또는 기업 보안, 또는 2가지 모두를 담당하는 부서의 리더다. 이는 ‘CSO란 무엇인가’라는 질문에 대한 가장 간단한 대답이다. 하지만 CSO라는 직함을 가진 모든 이가 똑같은 역할과 책임을 지는 것은 아니다. 

CSO라는 직함은 주로 IT 보안 책임자를 지정하기 위해 주로 정보 기술 부서 내에서 사용됐다. 많은 기업에서 CSO라는 용어는 여전히 이런 방식으로 사용하고 있다. CISO(Chief Information Security Officer)가 이런 직책에 대한 좀 더 정확한 설명이 될 수 있으며, 오늘날 CISO는 정보 보안에 초점을 맞춘 리더들에게 널리 퍼지고 있다. 그러나 이렇게 깔끔하게 구분되는 것은 아니다. 

CSO라는 이름은 일부 기업에서도 직원, 시설 및 자산의 물리적 보안 및 안전을 포함하는 ‘기업 보안’ 기능의 리더를 설명하는 데 사용된다. 일반적으로 CSO는 부사장 또는 기업 보안 책임자와 같은 직함을 갖고 있다. 역사적으로 기업 보안 및 정보 보안은 서로 다른 부서에서 담당해왔다(때로는 불화가 있기도 하다).

 
점점 더 의미가 더해지는 CSO 

CSO는 기업에서 물리적 및 디지털 전체 보안 상태를 책임지는 임원이다. 또한 CSO는 비즈니스 연속성 계획(business continuity planning), 유출 방지, 부정 행위 방지, 개인정보 보호와 같은 관련 영역을 담당하거나 밀접하게 참여한다. 물론 현실 세계에는 두 영역 모두에 대한 부담을 짊어지지 않으면서도 공식 CSO 직함을 가진 사람들이 많이 있다. 

그러나 CEO나 CFO(Chief Financial Officer)는 어떤 질문을 하든 빨리 답을 찾을 수 있기를 기대한다. CSO가 보안 질문에 대해 ‘이건 내 문제가 아니다, 저쪽의 다른 사람이다’라고 답했을 때 CEO에게 보내는 메시지는 기업 운영 위험에 대한 큰 그림을 가진 '최고' 책임자가 없다는 것이다.  

CSO 직책이 어떤 일을 하는지 자세히 알아보고, 그 직책에서 실제로 일했던 사람과 그들을 고용하는 데 도움을 준 사람들과 이야기를 나눴다. 하지만 CSO를 거론하면서도 최고 전략 책임자가 무엇인지는 설명하지 않을 것이다. 


CSO는 무엇을 하는가?

렐러티버티(Relativity) CSO 아만다 펜넬은 CSO가 되는 것이 무엇을 의미하는지에 대한 높은 수준의 견해를 갖고 있다. 펜넬은 “최신 CSO는 기업의 길잡이이자 문제 해결자다. 다양한 IT 및 엔지니어링 팀과 긴밀히 협력해 빠르게 변화하는 규정 준수 및 거버넌스 범위 내에서 다각적인 프로그램을 구성하고, 전략을 펼치면서, 실행한다"라고 설명했다. 

흥미롭긴 하지만, 좀 추상적일 수 있다. 실제로 최고 보안 책임자는 직무 책임은 무엇인가? 또는 좀 더 간결하게 설명하자면, CSO는 무엇을 하는가? 

선가드 AS(Sungard AS) CSO 숀 버크는 “나는 주로 사람, 정보 자산 및 기술을 보호하기 위한 기업 비전, 전략 및 프로그램을 수립할 책임이 있다. 궁극적으로는 보안 기능이 조직의 가치를 제공하도록 보장할 책임이 있다”라고 말했다. 

두 기업 모두 CSO는 무엇보다도 CSO가 기업의 보안 문제를 단순히 사후 검토나 피해 제어 시나리오가 아닌 전략적 자산이자 임무의 일부로 생각할 수 있는 방법을 만들어야 한다는 것이다. 

YL 벤처스(YL Ventures) 운영 파트너이자 아카마이 전 CSO인 앤디 엘리스에 따르면, 이를 달성하는 한 가지 방법은 위험 관리 기술을 적용하는 것이다. 엘리스는 “CSO는 비즈니스 전반에 걸친 위험을 고려할 때 2가지 중요한 입력 사항, 즉 수정 비용이 얼마나 드는지, 그리고 수정이 가져올 수 있는 이익(일반적으로 리스크 감소에는 있지만, 잠재적으로 부수적인 비즈니스 이익)의 균형을 맞춰야 한다”라고 설파했다. 그는 위험을 4개의 사분면으로 나눈다.
 
  • 저비용, 저이익(변경 요청): 최고 경영진은 이런 문제를 직접 처리해서는 안되지만, CSO는 당연히 이런 영역의 문제를 해결할 수 있는 강력한 프로세스를 만들어야 한다. 
  • 저비용, 고수익(사고): 저비용 수정이 있는 고수준 위험은 신속하게 처리해야 하며, CSO는 경로를 정리하고 필요에 따라 파괴적인 사고 프로세스를 실행한 후, 중단을 방지하기 위해 프로세스를 개선해야 한다. 
  • 고비용, 저이익(환경 위험): 이는 비즈니스 수행 비용을 나타내며, CSO는 해결 방법이 비용보다 가치가 없는 시기를 평가하고 해당 평가에 따라 경영진을 참여시켜야 한다. 
  • 고비용, 고이익(심각한 위험): CSO가 대부분의 에너지를 소비해야 하는 영역은 쉬운 솔루션이 없는 영향력이 큰 심각한 위험을 해결하는 것이다.

엘리스는 “경영진이 위험의 작은 부분만 해결하면 위험이 상당히 완화된다고 스스로 속이는 것은 쉬울 수 있다. 이런 위험을 완화하는 데 초점을 맞추는 것이 CSO의 임무다. 그렇게 하는 데 몇 년이 걸릴 수도 있다"라고 말했다. 


CSO와 CISO, 이름에는 무엇이 있는가 

잠시 CSO와 CISO의 차이점에 대해 알아보자. 
CSO가 A를 수행하고, CISO는 B를 수행한다는 강력하고 명확한 규칙이 있다면 좋을 것이다. 하지만 종종 그렇지 않다. 이전에 도큐사인(DocuSign) CISO였으며, 현재 원로그인(OneLogin)의 최고 신뢰 및 보안 책임자인 바네사 페구에로스는 “책임에 있어서는 꽤 넓은 스펙트럼을 갖고 있다. 명확한 정의가 존재하지 않는다”라고 말했다. 

앞서 언급했듯이 CISO의 역할은 주로 IT 보안에 중점을 뒀지만, CSO는 더 많은 업무를 처리한다. 넷엔리치(NetEnrich)의 CISO이자 보안 전략 책임자인 크리스 모랄레스는 “모든 것이 인터넷에 연결됨에 따라 어느 정도 수렴이 이뤄지고 있다. CISO조차 물리적 환경에 대해 생각하기 시작했다”라고 말했다. 

YL 벤처스의 엘리스는 아마도 CSO나 CISO가 기관과 기업에서 어떤 역할을 하는지 가장 잘 알 수 있는 방법은 동일한 기업 내에서 다른 유사한 직위가 존재하는지 확인하는 것이라고 말했다. 엘리스는 “다른 최고위 보안 역할이 없는 경우, 기업 내 이사와 부사장 가운데 보안 역할을 맡고 있는 사람이 있는지 찾아보라. 종종 CIO 산하에 IT CISO가 있을 수도 있고, 시설 부서에 기업 보안 책임자가 있을 수 있다. 이는 CSO가 비즈니스 전반에 걸쳐 거버넌스 및 감독 기능을 더 많이 갖고 있지만, 운영 업무를 주도하지는 않는다는 것을 의미한다”라고 설명했다. 


CSO가 되는 방법

라샬 네트워크(LaSalle Network) 기술 채용 담당 폴 발렌베리는 CSO 채용을 돕고 있다. 발렌베리는 고객사가 채용할 때 필요로 하는 실질적인 최고 보안 책임자 자격에 대해 간략하게 설명했다. 발렌베리는 “기업이 가장 먼저 찾아야 할 것은 보안 분야에서 기술적, 기능적 역량을 폭넓게 갖춘 검증된 실적이다”라며, "CSO는 SIEM, ID 관리 및 위협 인텔리전스와 같은 최신 보안 분야를 다루는 도구 및 시스템으로 작업하는 엔지니어 또는 설계자로 근무한 경험이 있는 기술적 배경이나 해당 분야를 담당하는 보안 전문가를 관리한 기능적 배경에서 비롯될 수 있다. 개인적으로는 거버넌스, 위험 및 컴플라이언스에 더 많이 관여했다. 또는 특정 산업에서는 화이트 햇이나 윤리적 해킹 사고 방식을 가진 CSO에 대한 필요성이 대두되고 있다"라고 설명했다.

그러나 CSO는 특정 기술 역량과 업무 궤적을 뛰어넘는 자격을 입증해야 한다. 렐러티버티의 펜넬은 “CSO는 복잡한 전술적 목표가 내부 이해 관계자들의 개인정보보호와 신뢰를 존중하면서 기업을 전체적으로 보호하는 전략적 실행에 기여할 수 있어야 한다. 기술적인 배경은 정보에 입각한 결정을 내리는 데 많은 도움이 될 수 있지만, 정보 보안과 수반되는 새로운 퍼즐을 해결하기 위한 열정은 필수적이다”라고.  

선가드 AS의 버크는 “최근 CSO는 기술적 세부 사항에만 집중하는 보안 리더에서 좀 더 비즈니스 지향적인 방향으로 전환하고 있다”라고 말했다. CSO는 항상 기술적으로 능숙해야 하지만, 위험 관리 방법론과 같은 업무 측면을 이해 관계자에게 명확하게 설명할 수 있어야 한다. 기본적으로 CSO는 고위 경영진에게 신뢰할 수 있는 조언자가 돼야 하며, 좋은 대인 관계와 리더십을 갖춰야 한다는 것이다. 

많은 기업이 여전히 CSO를 보유하고 있지 않으며, 이는 직원을 위한 경영진으로의 길을 만들 수 있다. 발렌베리는 “보안이 자체 부서가 아니라 부서 내의 역량인 IT 환경에서 CSO 역할을 맡은 사람은 본질적으로 기업에서 보안에 대해 가장 깊이 이해하는 사람이 될 것”이라며, “외부 후보의 경우, 일반적으로 보안 설계 수준이나 보안 프로그램 및 인프라에 대한 책임자 또는 부사장 수준에 있는 사람들을 볼 수 있다”라고 말했다. 


CSO, 누구에게 보고하나?

IDG의 2020년 보안 우선순위 연구 설문조사에 참여한 기업 가운데 보안 책임자의 거의 절반이 최고 의사결정권자와 직접 연결되어 있었다. 최고 보안 책임자가 CEO에 보고하는 기업이 34%, 이사회에 보고하는 기업이 12%였다. 한편, 33%의 기업이 기업 또는 부서 CIO에게 보고했다. 나머지는 서로 다른 사일로에 흩어져 최고 위험 책임자 또는 법률 고문과 같은 임원에게 보고했다. 당연히 중소기업의 경우, 보고 체계가 더 간단해 최고 보안 임원의 59%가 CEO에게 보고한 반면, 대기업의 경우 22%에 불과했다. 

도미노(Domino) CISO 나일 브라운은 2가지 방법 모두에 대해 장단점이 있다며, “CSO를 CIO 아래 두는 것은 기술 제공 모델과 강력한 연계를 보장하는 데 도움이 된다. 하지만 의무의 세분화 문제가 있을 수 있다”라고 말했다. 

브라운은 “CSO가 CEO에게 직접 보고하는 주된 이점은 CSO가 변화를 주도하는 데 더 높은 수준의 영향력을 갖고 있다는 것이다. 반대로 CSO는 CEO의 책임 범위가 넓기 때문에 CEO와의 시간이 매우 제한적일 수 있다”라고 설명했다.
 
실제로 점점 더 많은 CSO가 이사회에 직접 보고하거나 C레벨 경영진에 속해 있기 때문에 정기적으로 대면하는 등 훨씬 높은 권한을 다루고 있다. 원로그인의 페구에로스는 “보안 리더가 한발 더 나아가 적극적인 참여자이자 고위 경영진의 구성원이 되어야 할 때”라며, “보안과 관련된 기업이 직면하는 문제는 더 이상 한달에 한번 또는 분기마다 한 번 들을 때까지 기다릴 수 없다. 고위 경영진 수준에서 의견을 요구하고 있다”라고 말했다. 

또 다른 흥미로운 상관 관계는 최고 경영진의 지식을 갖춘 보안 임원은 보안 목적으로 IT 예산의 상당 부분을 차지할 가능성이 높다. CIO 닷컴에서 실시한 2019년 CIO 현황 설문 조사에서 IT 예산의 5% 미만을 보안에 지출한 기업은 CSO가 CIO나 CEO에게 보고하도록 할 가능성이 높았지만, 10% 이상의 보안 비용을 지출한 기업에서는 CSO가 CEO에게 보고할 가능성이 거의 2배에 달했다. 이 같은 효과는 최고 보안 책임자가 CISO인 기업에서 더욱 두드러졌는데, IT 예산의 5% 미만을 지출한 기업에서는 3%에 불과했지만, 10% 이상 지출한 기업에서는 26%였다. 

CSO가 궁극적으로 누구에게 보고하든 효과를 발휘하려면 상위 고위 계층의 언어를 사용해야 한다. 애브노멀 시큐리티(Abnormal Security) CISO 마이크 브리튼은 “CSO는 이사회와 최고 경영진이 이해하는 비즈니스 용어로 결정의 가능성과 영향을 모두 설명하는 방식으로 대화와 기회를 구성해야 한다. 수익, 고객 손실, 평판 손실, 규제 등에 미치는 영향 등 비즈니스 관점에서 모두 표현해야 한다"라고.  

라샬 네트워크의 발렌베리는 적절한 적합성을 보장하기 위해 임원진이 모두 CSO 채용 프로세스에 참여해야 한다며, “CSO와 가장 많이 상호 작용할 사람들은 기업의 COO이자 CIO이므로, 면접 및 선발에 긴밀히 관여해야 한다”라고 덧붙였다. 

 

CSO는 정보 기술, 인적 자원, 커뮤니케이션, 법률, 시설 관리 및 기타 그룹을 포함해 회사 전체의 보안 노력을 감독하고 조정하며 보안 이니셔티브와 표준을 파악한다. CSO의 직속 보고서에는 최고 정보 보안 책임자와 기업 보안 및 안전 책임자가 포함된다. 


CSO의 책임

  • 기업과 브랜드의 가치를 높이기 위해 운영 리스크 관리 활동을 주도한다. 
  • 회사의 자산, 지적 재산 및 컴퓨터 시스템은 물론 직원과 방문자의 물리적 안전을 보호하는 보안 책임자 및 공급업체 네트워크를 감독한다. 
  • 기업 전략 계획과 일치하는 보호 목표, 목표 및 메트릭을 식별한다. 
  • 글로벌 보안 정책, 표준, 지침 및 절차의 개발 및 구현을 관리해 지속적인 보안 유지 관리를 보장한다. 물리적 보호 책임에는 자산 보호, 직장 폭력 방지, 접근 제어 시스템, 비디오 감시 등이 포함된다. 정보 보호 책임에는 네트워크 보안 아키텍처, 네트워크 접근 및 모니터링 정책, 직원 교육 및 인식 등이 포함된다. 
  • 다른 경영진과 협력해 적절한 위험 관리와 재무 방법론을 기반으로 보안 이니셔티브 및 지출의 우선 순위를 정한다. 
  • 지역, 주 및 연방 법 집행 기관 및 기타 관련 정부 기관과의 관계를 유지한다. 
  • 보안 침해 조사뿐만 아니라 사고 대응 계획을 감독하고, 필요에 따라 이런 침해와 관련된 징계 및 법적 문제를 지원한다. 
  • 독립적인 보안 감사를 위해 적절하게 외부 컨설턴트와 협력한다. 


CSO의 자격 

  • 고위 경영진에서 효과적인 역할을 할 수 있고, 광범위한 기술 및 비기술 직원에게 보안 관련 개념을 전달할 수 있는 지능적이고 명료하며 설득력 있는 리더여야 한다. 
  • 비즈니스 연속성 계획, 감사 및 위험 관리, 계약 및 공급업체 협상에 대한 경험이 있어야 한다. 
  • 관련 법률 및 법 집행 기관에 대한 강력한 실무 지식이 있어야 한다. 
  • 정보 기술 및 정보 보안에 대한 확실한 이해가 있어야 한다. 


CSO의 급여

C레벨의 급여는 업종과 기업, 그리고 경력과 임기에 따라 크게 달라질 수 있다. 하지만 적어도 CSO가 어느 정도 받는지에 대해 대략적인 그림을 제공할 수 있다. 

페이스케일(payscale)에 따르면, CSO의 급여는 평균 14만 7,802달러이며 7만 4,000달러에서 23만 달러까지 상당히 넓게 포진한다. 보너스와 이익 분배도 종종 포함되며, 추가 보상금으로 최대 10만 달러를 추가할 수 있다. CISO의 급여는 평균 22만 3,854달러이며, 범위는 일반적으로 16만 9,621달러에서 29만 114달러다. 

애브노멀 시큐리티의 브리튼은 “물론 급여는 정확한 직업의 윤곽에 따라 달라진다. 책임의 범위가 넓다는 것은 더 높은 급여를 의미한다. 물리적 보안과 비즈니스 연속성을 추가하면 연봉 인상에 도움이 된다”라고 말했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.