첨단 CSO의 조건: 기술보다는 비즈니스와 커뮤니케이션을 중시하라

베이비 붐 세대들이 회사에서 은퇴하고 여가를 즐기는 가운데, CSO(보안 담당 최고 책임자) 역시 이러한 은퇴 대열에 합류하고 있다. 이에 따라 역사상 그 어느 때보다도 기업 내 CSO 리더십의 부재가 두드러지고 있다

최근 열린 금융 CSO 회의에 참석한 한 세계적인 CSO는 이 회의 참석자들 대부분이 향후 1~5년 내에 은퇴를 앞두고 있다는 점을 지적했다. 현재 50세인 그는, 앞으로 글로벌 CSO 자리를 차지하게 될 수 있을지 궁금해했기 때문에 회의 참석자들의 연령대를  주시했다.

과거에는 은퇴한 FBI 요원, 기밀 조사부, 군, 혹은 정부 기관에서 근무했던 법집행 전문가들이 CSO를 맡곤 했다. 또한 과거에는 CSO 자리뿐만 아니라 이사회의 자리도 이러한 방식으로 채워졌으며, CISO의 직책 또한 CSO가 그전에 일했던 기관 혹은 부서의 직원으로 채워지는 사례가 비일비재했다.

이러한 고용 관행으로 기업의 보안 부서와 다른 경영 중점 조직 사이에서는 문화가 단절되는 경우가 많았다. 그러나 최근의 임원들은 새롭게 고용한 CSO가 즉각적으로 자사의 비즈니스 요구사항을 파악하기를 기대하고 있다. 적절한 멘토링과 준비 기간 없이 어떻게 이러한 것들이 가능할 수 있을까?

기업이 변화하고 있다. CSO를 채용한 후, 비즈니스를 주도하는 동력이 변화하는 경향이 나타나고 있다. 오늘 날의 기업들은 과거의 방식보다는 기술 주도적으로 운영될 가능성이 매우 크다.  최근에는 미국 정부의 규제에도 직면하고 있다. 만약 글로벌 기업이라면 전세계의 각기 다른 규정과 규제를 준수해야 할 뿐만 아니라 사업을 운영하는 지역의 문화에도 익숙해져야 한다.

많은 기업에서 CISO와 CSO는 ‘C’레벨(최고 책임자)로써 이사회의 한 자리를 차지한다. ‘C’ 레벨 보안 임원은 풍부한 사업 수완, 월등한 커뮤니케이션 기술, 그리고 일정한 기업 전략 목표를 지원하기 위한 보안 목적을 개발하는 능력을 갖춰야 한다.

최근 요구되는 CSO의 자격은? 자사의 정보 보안을 책임지고 물리적인 보안 운영을 이끌어갈 최고 보안 책임자를 선출하는 한 인사부 책임자는 CSO 후보자에게 다음과 같은 사항들을 기대하고 있다고 언급했다:

- 우리 회사에게 적임자인가가 가장 중요하다.

- 우리 업무의 본질은 관계를 기반으로 한다.

- 우리 회사에서는 업무를 같이 수행하는 사람에 대해 후보자가 어떻게 느끼느냐가 중요하다.

이 인사 책임자의 요점은 자사의 CSO라면 경영을 이해하고 있음을 입증해야 하고 뛰어난 커뮤니케이션 수완을 가져야 하며 전략적이고 전술적인 수준으로 보안, 컴플라이언스, 그리고 위기 관리 등 다양한 분야에서 전문성을 가져야 한다는 것이다.

여기에서 강조되는 사항은 비즈니스와 관계에 대한 수완이다. 견고한 비즈니스와 관계 구축 수완이 없다면 해당 전문가가 어떠한 보안, 위기 대응 및 컴플라이언스 기술을 보유하고 있다 한들, 아무 소용없게 된다. 견고한 비즈니스, 재무, 커뮤니케이션, 전략, 협력, 문제 해결 및 협상 기술이 없다면 CSO 후보자는 채용될 수도 없으며 앞에서 언급한 HR 책임자의 비즈니스 환경에서는 성공하기도 어려울 것이다.

앞서 언급한 인사 책임자는 상상할 수 있는 모든 보안 분야에 대한 경력을 가지고 있는 CSO를 찾기보다는 비즈니스와 문화적인 측면에서 자사에 적합한 CSO를 찾는데 좀 더 주력했다. 그의 생각은 경영상의 필요에 의해 보안과 위험 솔루션을 배치하고, 현재 직면한 보안 이슈가 CSO의 기술 영역을 벗어난 경우 해당 분야의 보안 전문가와 상담할 수 있는 능력을 입증할 수 있는 CSO 후보자를 선택한다는 것이었다.

이 인사 책임자는 CSO를 물색하던 초기 단계에서는 정부 기관 출신의 후보자들을 인터뷰했다. 이 후보자들은 이전에 기업에서 일한 경험이 없었다. 그는 후보자들이 조사 혹은 자금 세탁과 같은 특정한 한 두 가지 보안 문제에 대해 매우 깊은 조예가 있지만 자사의 매우 높은 창조성과 자율적인 업무 스타일의 복잡성을 이해하고 있지 못하다는 것을 금방 알아차렸다.

이 인사 책임자는 10년 이상 기업에 몸담은 경력이 있는 후보자가 적임자라고 판단했고, 결국 최고의 법 집행 기관에서 몸담은 경력과 10년 이상 기업 보안 관련 경력을 가진 후보자를 선정했다. 이 CSO 후보자는 법 집행 기관에 재직할 당시 잘 다듬어진 물리적인 보안 경험뿐만 아니라 기술적으로 깊은 여러 정보 보안 경험을 가지고 있었다.

이 후보자는 공공기관에서 기업으로 이직해 능력을 이미 입증받은 것이다.  

이 인사 책임자는 과거 몸담았던 기업에서 매우 창의적이고 매우 관계 주도적인 CSO로 자리잡기 위해 CSO가 경영 전문가여야 한다는 것을 최우선으로 생각했고, 보안, 컴플라이언스 및 위기관리 전문가 역할은 그 다음이라는 것을 확실하게 인지하고 있었다.

차기 CSO의 프로파일 지난 번에 CSO를 채용한 방식대로 차기 CSO를 채용하는 것이 편리하고 가장 적은 우려가 나타나겠지만 그것이 과연 회사를 위한 올바른 결정일까?

진보적인 기업들은 CSO를 고용할 때 최근 몇 년 새 비즈니스 동력들이 변화해온 양상을 고려한다. 채용 책임자들은 최근 기술이 비즈니스을 견인하고 있다는 점을 인정하고 있다. 그러면서도 지난 번 CSO가 기술 경험은 보유하고 있었을지언정 회사에 제대로 기여하지 못했다고 판단하고 있다.

즉 차기 CSO로는 비즈니스뿐 아니라 보안과 위기 관리 프로그램에 대한 경험이 많은 사람이 채용되어야 한다는 결론에 이르게 된다. 이러한 결론에 따라 차기 CSO는 기업 전반에 대해 협동적이고 팀워크 주도 환경을 구축하기 위해 주주들과 원활하게 커뮤니케이션하는 대인 관계 형성 수완을 갖춰야 한다.

오늘날의 CSO는 평생 배우는 자세를 갖춰야 한다. 보안 위협은 그 자체가 범죄이며 최근에는 특정 국가에 의도적으로 피해를 입히려는 시도가 대두되고 있다. 다른 국가의 네티즌에 의한 경우도 있고 정부 산하의 사이버 군대에 의한 경우도 있다. 따라서 현재와 미래의 CSO들은 지속적인 교육과 인증을 통해 점점 증가하는 위협에 지속적으로 대응할 수 있어야 한다. 오늘날의 CSO들은 위기 관리 분야에 통달해야 하고 복잡한 위험 인텔리전스에 대한 식견도 갖춰야 한다.

비즈니스를 주도하는 것이 아닌, 단순히 강화한다는 마음가짐을 가지고 있는 CSO는 앞으로 변화하는 기업의 요구를 충족시킬 수 없을 것이다. 인사 책임자들은 후보자를 살펴볼 때 CSO가 갖출 덕목으로 비즈니스 전문가가 최우선이고 그 다음이 보안과 위기 관리 전문가라야 한다는 것을 고려해야 한다.

이러한 기업들은 차기 CSO를 이사회에 포함시킬 것이다. 따라서 새로운 CSO는 의미 있고 협력적인 사업 관계를 구축할 수 있어야 한다. 위기 측정, 기업의 안전 확보 및 비보안 직원들과의 이슈 공유과정에서 경영진들과 효율적으로 커뮤니케이션할 수 있어야 하는 것이다.

차기 최고 보안 책임자 모색과 모집 최근 보안 인재들을 찾고 그들과 접촉할 수 있는 방법은 많이 있다. 구인 게시판에 보안 직무 관련 공고를 내면 언제라도 새로운 일자리를 적극적으로 찾고 있는 보안 직무 후보자들이 몰려들 것이다.

상위 20~25%의 보안 인재를 영입하는 데 별 관심이 없는 기업이라면 구인 공고를 내는 것도 나쁘지 않다. 그러나 상위 20-25%에 속한 인재들은 적극적으로 구직활동을 하지 않아도 높은 연봉을 받고 경쟁사에 채용될 수 있다. 이들을 고용하려는 기업들이 직접 적극적인 방법으로 먼저 연락을 취할 것이기 때문이다.

요약하자면, 대부분의 산업에서는 컴플라이언스 요구가 점점 증가하고 있다. 기업들이 인터넷을 활용함에 따라, 위험과 취약성 문제가 계속해서 나타나고 있다. 보안 사고를 일으키는 사람들은 정교하고, 지식을 보유하고 있으며, 기술에 열광하는 이들이다. 가끔은 범죄 조직, 사이버 군대, 혹은 특정 국가 소속이거나 멀리 떨어져 있는 제3국에서 범죄를 저지르는 경우도 있다.

CSO는 의미 있는 전문적인 관계 구축의 가치를 이해하는 비즈니스 임원이 되어야 한다. CSO는 위험 관련 이슈를 식별하고 분간할 수 있어야 한다. 그들은 기업이 사업을 영위하고 어떠한 경우라도 경영의 속도가 늦춰지지 않도록 하기 위한 보안과 위험 관리 솔루션을 개발할 수 있어야 한다. 그들은 또 법 집행 기관 및 정부 기관 사람들과 깊은 유대 관계를 유지해야 한다. 그리고 그들은 점점 증가하는 위협에 대비하기 위해 지속적인 교육과 인증을 추구해야 한다.

자, 그렇다면 한번 점검해 볼 필요가 있다. 귀사의 현 CSO가 규제안과 규정을 강조하는가? 혹은 기업이 더 많은 사업을 영위하는 것을 가능하게 하는가?

* 제프 스나이더는 글로벌 정보 보안, 기업 보안, 그리고 보안 관련 리쿠르팅 서비스를 제공하는 SecurityRecruiter.com의 회장이다. editor@idg.co.kr