기업 문화 / 보안

“보안을 비즈니스로, 비즈니스를 보안으로” BISO의 역할 이해하기

Deb Radcliff | CSO 2023.01.09
IT 보안 분야에서 일하는 이리나 싱은 그동안 여러 어려운 프로젝트를 잘 해냈다. 정보 시스템 관리 학사 학위를 취득하고 국제 비즈니스를 부전공했으며, 현재는 의료기기 회사인 메드트로닉(Medtronic)에서 기본 사업부 4곳에 IT 서비스를 제공하는 비즈니스 정보 보안 조율팀을 관리한다. 싱은 “비즈니스를 보안으로, 보안을 비즈니스로”가 자신의 슬로건이라고 말했다. 어떤 의미일까?
 
ⓒ Getty Images Bank

싱은 스스로를 ‘비즈니스 정보 보안 파트너’로 칭하지만 이 역할에 가장 일반적으로 사용되는 명칭은 ‘비즈니스 정보 보안 책임자(business information security officer, BISO)’다. 온라인의 직무 설명 자료와 이 기사를 위해 취재한 여러 소스에 따르면, BISO는 하나 또는 여러 비즈니스 영역을 담당하며 보통 CISO나 CTO에 보고한다. BISO가 갖추어야 할 핵심 역량은 규정 준수에 대한 능숙함, 사이버보안에 대한 탄탄한 기초, 그리고 비즈니스 감각이다.

싱은 “일자리가 부족했던 9/11 테러 직후 졸업해서 에너지 스타트업에 입사해 컴퓨터를 조립하는 방법과 서버 및 데이터베이스를 관리하는 방법을 비롯해 모든 것을 처음부터 새로 배웠다. 이후에는 포춘 100대 감사 및 회계 기업의 IT 감사 부문에서 일했고 멘토링과 교육을 통해 프로젝트 기반의 작업에 재미를 느끼게 됐다”라고 말했다.


보안과 비즈니스의 간극을 잇는 사람

포춘 100대 컨설팅 기업에서 컨설팅 업무를 하던 싱은 GLBA, PCI, SAS 70 감사(SOC II의 전신)에 초점을 두고 금융 기관을 감사했다. 이후 대형 의료 IT 서비스 그룹에서 정부 규정 준수를 주 업무로 맡았다. 최종적으로는 BISO 역할이 공식적으로 정의되기 전부터 메드트로닉에서 이 역할을 개척했다. 싱은 책임자(officer)라는 직함보다는 비즈니스 정보 보안 파트너라는 명칭을 선호했지만, 많은 대규모 기업에 만연한 사이버보안과 비즈니스 부서 간의 커뮤니케이션의 어려움을 해결해야 하는 역할이라는 점을 알고 있었다. 

싱은 “먼저 보안 기능에 직접 참여하는 것부터 시작했다. 가능한 한 모든 팀 회의에 참석해서 이들의 문화와 워크플로우를 배워 나를 믿을 수 있는 보안팀의 연장선으로 볼 수 있도록 했다”라고 설명했다. 이런 방법을 통해 싱은 이후 관련 사이버보안 프로세스를 통해 비즈니스 이해관계자를 안내하거나 비즈니스 이니셔티브에서 우선순위를 확보해야 하는 시점이 됐을 때 자신의 메시지를 잘 전달할 수 있었다. 또한 싱은 외부 업체 위험, 규정 준수 위험, 인수합병 위험이 포함된 보고 및 규정 준수를 위한 위험 대시보드를 구축하는 일을 도왔다. 회사의 여러 사업부가 이 대시보드를 복제해 사용했다.

2년 전, 싱은 자신의 프로그램을 4곳의 개별 사업부로 확장할 기회를 제안받았다. 현재 싱의 팀에는 5명의 비즈니스 관계 관리자가 각각의 비즈니스 및 IT VP, 기타 리더와 파트너로 일하면서 보안, 위험, 규정 준수에 대한 전문 지식을 제공한다.

싱은 “사람들은 모든 CISO가 BISO여야 한다고 말한다. 한 가지에 초점을 두는 소규모 기업에서는 가능하지만 복잡한 환경에서는 CISO가 보안 기업의 모든 수준, 또는 모든 사업부에 접근할 수 없다. 자신의 부서에서 진행 중인 각 프로젝트의 기술에 대해 교육할 시간도 부족하다. 이런 어려움은 모든 대규모 기업이 경험한다. 따라서 BISO는 양쪽 모두에 파트너십을 판매해야 한다. 기술적 개념과 그 개념이 지원하는 비즈니스에 대한 이해가 필요한, 중요한 관계 기반 직책”이라고 말했다.


비즈니스 위험을 깊이 이해하는 사람

여러 포춘 50대 기업에서 CISO를 지낸 르네 굿맨은 자신이 BISO에게 찾는 가장 중요한 점은 지원하는 사업부에 대한 철저한 이해이며, 여기에는 회사의 주요 자산, 즉 가장 중요한 자산과 그 위치, 이런 자산이 쉽게 당할 수 있는 표적화된 공격을 파악하는 일이 포함된다고 말했다. BISO는 사이버 위험을 식별하고 아키텍처 및 인프라 관리자 등과 협력해서 위험에 우선순위를 부여할 수 있어야 한다. 사업부가 새로운 기술 프로젝트를 시작하려고 할 때 가장 먼저 찾는 사람이 바로 BISO여야 하며, BISO는 초기에 개입해서 의도치 않게 공격에 노출될 수 있는 기술을 채택하지 않도록 해야 한다.

굿맨은 “BISO를 채용하기 위한 직무 설명을 작성할 때는 ‘보안의 고객 대면 측을 담당한다’는 내용을 포함해야 한다. 나의 경우 지원하게 될 그룹에 대한 지식이 있는지 확인하는 데 많은 공을 들였다. 재무 부서를 지원한다면 대차대조표, 감사 규칙, 위험 및 컨트롤에 대해 잘 알아야 한다. 또한 해당 사업부의 책임자는 그 사업부를 지원할 BISO의 면접과 채용에 관여해야 한다”라고 조언했다. 

이어 굿맨은 사고 대응 방법에 대해 한 기업의 커뮤니케이션 그룹을 교육하는 데 도움을 준 적이 있는, 전문적인 역량을 갖춘 BISO를 채용한 사례를 설명했다. 해당 그룹 사람들은 보안 사고에 적절하게 대응하는 데 필요한 모든 요소를 스스로 알고 있다고 생각했다. 그러나 BISO는 사고 중 반드시 해야 할 일이 무엇인지에 대해 그들이 몰랐던 사실을 알려줬다. 굿맨은 “홍보 부서의 모든 직원이 이 세션에 참석했는데, 지금까지 참여했던 세션 중 가장 흥미로웠고 전적으로 자신들의 업무와 관련된 내용이어서 많은 것을 배웠다고 평가했다”라고 덧붙였다.


위험한 관행을 멈추는 사람

BISO는 위험할 수 있는 프로젝트에 제동을 거는 방법도 배워야 한다. 한 고객이 취약한 암호를 통해서만 액세스되는 미션 크리티컬 데이터베이스에 대해 원격 액세스 수단을 설치하고자 했을 때 굿맨의 BISO는 기존 기술로는 그렇게 할 수 없고 MFA(multi-factor authentication)와 같은 더 안전한 옵션을 사용해야 한다는 점을 미처 설명하지 못했다. 굿맨은 “BISO가 사업부 EVP와 어려운 대화를 하지 못해 발생한 문제였다. 그래서 어려운 대화를 진행하는 방법과 선택지를 제안하는 방법에 관해 BISO들에 대한 추가 교육을 실시했다”라고 말했다.

BISO를 채용하는 대부분 회사처럼 굿맨의 경험에서도 BISO는 CISO인 자신에게 보고함과 동시에 지원하는 각 사업부의 리더와의 비공식적인 소통 라인이 있었다. 이처럼 BISO는 CTO에게 보고하는 경우도 있고 사업부 리더에게 직접 보고하는 경우도 있다. 

보고 체계에 관계없이 BISO의 역할은 보안 리더십이 기능하는 데 중요하다. 이런 이유로 사이버보안 관련 비영리 단체 WiCyS(Women in Cybersecurity)는 95명의 회원으로 구성된 WiCyS BISO 연합(WiCyS BISO Affiliate)을 조직했다. 리더인 바비 무니한은 워봇 헬스(Woebot Health)의 보안 및 개인정보 보호 책임자로서 자신의 역할을 수행하는 데 BISO 방법론을 도입했다.


소규모 기업에서는 CISO가 BISO

무니한은 규모가 작은 워봇 헬스에서 여러 직책을 담당한다. 워봇 헬스는 경증에서 중증도의 불안 및 우울증에 도움이 되는 사용자 가이드 기능을 갖춘 AI 챗봇을 통해 정신 건강 협력 기관이 되는 데 집중하고 있는데, 태생적으로 민감한 제품인 만큼 무니한은 혁신을 지원하는 동시에 고객과 사용자의 민감 데이터도 보호해야 한다. 따라서 다른 사업부 리더와의 대화는 윤리와 규정 준수에 바탕을 두고 이뤄진다. 새로운 아이디어가 민감 데이터에 영향을 줄 수 있기 때문이다.

무니한은 “주어진 보안 역할 내에서 BISO 역할을 의도적으로 수행하고 있는데, 이는 중소기업에서 흔히 보이는 모습이다. BISO는 비즈니스 리더 및 기타 인력과의 회의에 많은 시간을 보내면서 이들의 요구사항을 이해하고 개인정보 보호법과 윤리적 의무 준수 요건을 충족하는 방법을 알려준다. BISO는 비즈니스를 진전시키는 흥미로운 역할을 수행하며, 절대적으로 필요한 직책”이라고 강조했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.