CIO / 보안

CISO의 새로운 책임, ‘신뢰 구축하기’

Mary K. Pratt | CSO 2020.10.15
선도적인 CISO는 이미 신뢰의 개념을 제공가능한 개념으로 받아들이고 있으며, 실제로 신뢰를 전체 보안 기능의 중심 주제로 삼고 있다.
 
ⓒ Getty Images Bank
 
하이마크 헬스(Highmark Health) CISO인 오마르 카와자는 자신의 기업이 원격 작업 환경으로 대거 전환함에 따라 최우선 순위 임무를 갖게 됐다. 그 임무는 직원이 어디에 있든 업무를 수행할 수 있는 능력을 부여하는 것이었다. 

이 임무를 가능한 한 빨리 수행하기 위해 크와자는 특정 통제를 완화할 것을 제안했다. 카와자는 “우리는 사업을 가능케 하기 위해 존재하기 때문에 만약 우리가 사업을 하지 못하게 한다면 무의미한 것이다”라고 설명했다. 

카와자의 제안은 급진적으로 보일 수 있지만, 나머지 보안 계층이 필요한 보호를 제공할 것임을 알고 있다고 말했다. 그래도 카와자는 최고 경영진이 자신이 가진 자신감을 갖기를 원했다. 그들은 해냈다. 
Omar Khawaja
 

카와자는 “우리는 통제를 완화하고 있음을 경영진에게 말했는데, 이에 대해 경영진은 ‘분석을 완료하고 그것이 옳다고 생각한다면 우리는 지지한다’라는 말을 들었다”라고 말했다.
 
CISO는 전술적 배치에 중점을 둔 관리직에서 비즈니스 전략 및 위험 관리와 관련된 임원직으로 전환하면서 그 역할은 진화해왔다. 이런 진화의 일환으로 CISO는 고객, 파트너, 직원, 이사회 구성원 및 기타 경영진과 같은 모든 이해 관계자 사이에서 자신과 보안팀이 사이버보안 결정과 관련해 조직의 최대 이익을 염두에 두고 있다는 확신을 구축해야 했다.
 
즉, CISO는 각 그룹이 변화하는 시대와 심지어 특별한 상황에서 일상적인 업무를 수행할 때도, 사람과 개인정보 보호, 시스템 및 데이터를 원활하고 일관되게 보호할 수 있다는 이해 관계자의 신뢰를 얻어야 했다. 

미국 NCU-ISAO(National Credit Union Information Sharing & Analysis Organization) 전무이자 퓨어 IT 신용조합서비스(Pure IT Credit Union Service)의 사이버보안 책임자로 재직 중인 진 프레드릭슨은 “이제 모든 것이 거꾸로 됐다. 누구도 똑같이 일하지 않고, 밖에는 많은 불편함이 있다. 따라서 보안 담당자는 신뢰를 구축해야 한다. 신뢰를 구축하는 것은 CISO의 일이며, 해야 하는 일의 일부다”라고 설명했다.

  
신뢰 배양, CISO의 필수 요소 

Michael D. Weisberg
CISO의 신뢰 배양 능력은 난해한 토론이나 비즈니스 스쿨 실습 이상의 것이다. 전문가들은 CISO의 역할을 해내길 원하는 모든 CISO에게 신뢰는 필수적인 요소라고 말한다. CISO는 기업을 보호하고 고객을 포함한 다른 이와 상호작용하는데 안전하다는 것을 증명하기 위해 필요한 정책, 절차, 기술을 제정해야 하기 때문이다.  
 
IT 서비스 업체인 가넷 리버 LLC(Garnet River LLC) CISO 마이클 D 와이즈버그는 “신뢰가 없으면 동기를 의심받게 된다”라고 말했다. 
 
와이즈버그는 CISO가 보호하고자 하는 것을 위험에 빠뜨릴 수 있는 정책, 프로젝트, 또는 아이디어에 대해 말할 때 이해 관계자가 들을 수 있도록 신뢰가 있어야 한다고 말했다. 와이즈버그는 이해 관계자들이 잠시 멈추고 CISO의 조언에 귀를 기울이게 하는 것이 바로 신뢰라고 규정했다.

편, CISO는 지난 몇 년간 많은 사람이 경험한 바로는 ‘안돼 부서’라고 볼 수 없다고 덧붙였다. CISO는 안된다는 말 대신 기업, 파트너, 고객이 허용할 수 없는 위험에 처하지 않고 원하는 작업을 수행할 수 있도록 솔루션을 제공해야 한다. 
Dr. Keri Pearlson
 

CAMS(Cybersecurity at MIT Sloan) 사이버보안 전무 케리 펄슨은 사람들은 문제를 해결하는데 도움을 주는 동료와 협력자를 신뢰한다”라고 강조했다. 

 
신뢰를 얻는 방법  

미국 미주리 캔자스시티에 있는 마즈마 신용조합 CISO 모니카 로웨는 현재 역할과 경력 전반에 걸쳐 이런 접근방법을 취했다. 

로웨는 최고 경영진에게 보안 문제를 교육할 뿐만 아니라 기업의 모든 이들과 관계를 구축하는 일을 하고 있다고 말했다. 로웨는 “커튼을 약간 벗겨내어 적절한 수준의 세부 정보를 제공하는데, 이는 경영진이 비즈니스 위험 측면에서 보안을 이해하는데 도움이 됐다”라고 설명했다. 
Monica Rowe
 

결과적으로, 로웨는 "임직원들이 우리 모두가 공동의 이익을 위해 노력하고 있음을 안다"고 덧붙였다. 이는 보안 기능에 대한 최선의 선택이 아니라 기업 전체를 위한 최선의 선택을 한다고 신뢰한 것이다.
 
로웨는 신뢰가 결실을 맺는 것을 경험했다. 그녀는 2019년 VPN 기능을 포함해 마즈마 신용조합의 보안태세를 강화하기 위해 경영진의 도움을 받은 사실을 언급했다. “CEO가 자금을 승인하면서도, 내가 필요로 하는 것에 대해 의문을 제기하지 않았다”라고 말했다. 

업그레이드된 VPN이 증가하는 부하를 처리할 수 있음이 입증됐기 때문에, 개선이 필요하다는 그녀의 평가에 대한 경영진의 신뢰 덕분에 마즈마 신용조합은 코로라19에 대응해 원격 업무 능력을 신속하게 확장할 수 있었다.
 
이처럼 신뢰는 전체 비즈니스 결정에 영향을 미칠 수 있는 능력을 제공한다. 


신뢰의 가치 

현재 CISO들은 모두 코로나19 관련 변화로 인한 직원, 파트너, 소비자 간의 신뢰를 구축해야 하는 필요성을 강조하는 동시에, 7월에 있었던 트위터 계정 해킹과 같은 대규모 사이버보안 공격에 대한 보고서에 관심을 갖고 있다.
 
실수해서는 안된다. 매일 사람들이 관심을 갖고 있다. KPMG의 2020년 <기업 데이터 책임에 대한 새로운 의무(The New Imperative for Corporate Data Responsibility)>라는 보고서에 따르면, 1,000명의 미국인을 대상으로 한 설문 조사에서 87%가 데이터 개인정보 보호가 인권이라고 생각하고, 91%는 기업이 기업 데이터 책임 확립에 나서야 한다고 응답했다. 

베인 앤 코(Bain & Co)의 파트너이자 이 회사 엔터프라이즈 테크놀로지 설립자인 스티브 베레즈는 “사람들은 직접 거래하는 기업이나 심지어 거래하지 않는 기업이 보유한 데이터에 대해서도 점점 더 많이 인식하고 있다. 그리고 점점 더 많은 사람이 이 데이터 활용에 대한 혜택뿐만 아니라 관련된 위험을 이해하고 있다. 따라서 CISO의 업무는 신뢰와 회사에 제공된 데이터가 안전하다는 신뢰 형성에 많은 일을 하고 있다. 이것은 아마도 오늘날 CISO의 가장 중요한 역할이 될 것이다"라고 설명했다. 
Steve Berez


현재 대부분의 CEO는 디지털 시대의 성공을 위해서는 이해 관계자들의 신뢰 구축과 유지가 필수적이라고 믿고 있다. PwC의 21차 글로벌 CEO 설문조사에 따르면, 글로벌 CEO 87%가 고객과의 신뢰를 구축하기 위해 사이버보안에 투자하고 있다.
 
PwC 수석 자문이자 글로벌 사이버보안 및 개인정보 보호 리더인 션 조이스는 “경제의 디지털화와 함께 우리는 신뢰가 얼마나 중요한지 깨닫고 있다”라고 말했다.    


판매 시점부터 사회적 의무에 이르기까지 

조이스는 보안 및 개인정보를 유지하는 기업의 능력을 고객은 물론, 직원, 비즈니스 파트너, 자체 리더에게도 판매해야 한다고 보고 있다. 
Sean Joyce
 

조이스는 자신의 온라인 은행을 언급하면서 최근 자신이 하고 있던 비정상적인 구매(패들보드 구매)를 차단하는 보안 기능을 배치함과 동시에 은행이 판매를 승인할 것인지 묻는 문자를 자신에게 보냈다고 말했다. 이런 기능은 시장에서 차별화가 된다. 

조이스는 “이는 CISO가 하는 일이며, 브랜드를 차별화하는 데 사용하고 있다”라고 덧붙였다. 

실제로 PwC의 2020 디지털 트러스트 인사이트 펄스 설문 조사 결과에 따르면, CISO는 기업에 제공해야 하는 핵심 요소 가운데 하나로 '신뢰'를 꼽았으며, CISO는 보안, 탄력성 및 신뢰를 향상시킴과 동시에 좋은 관리자가 되어 사이버보안 예산을 절감하는데 도움이 되는 방법을 제공해야 한다. 

SANS 연구소 선임 강사인 벤자민 라이트 변호사는 "사회가 점점 더 디지털 신뢰를 요구함에 따라 CISO는 선택의 여지가 많지 않다"라며, “사회는 법을 통과시켰고 이에 따라 CISO는 우리가 기대하는 복잡한 요구사항을 충족하지 못하면 처벌을 받게 된다"라고 말했다. 
Benjamin Wright
 

2020년 초 발효된 미국 캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act, CCPA)이 적절한 사례이지만, 이 법률이 유일한 것은 아니다. 미국 메인 주와 네바다 주를 포함한 여러 주에서도 데이터 개인정보 보호법을 제정했으며, 다른 주에서는 아직 도입 중이다. 이는 2018년 발효된 EU의 GDPR(General Data Protection Regulation)에 따른 것이다. 


CISO의 새로운 임무 

디지털 신뢰를 구축하는 것은 많은 사람에게 힘든 일일 수 있다.

KPMG의 기업 데이터 책임에 대한 새로운 의무(The New Imperative for Corporate Data Responsibility) 조사에 따르면, 조사 대상 소비자의 68%는 기업이 개인 데이터를 윤리적으로 사용한다는 것을 신뢰하지 않으며, 53%는 기업이 개인 데이터를 윤리적으로 수집한다는 것을 신뢰하지 않으며, 50%는 기업이 개인 데이터를 보호한다는 것을 신뢰하지 않는다고 응답했다. 

또한 DELL 테크놀로지는 인텔과 밴슨 본(Vanson Bourne)과 공동으로 40개국 4,600명의 비즈니스 리더를 대상으로 설문한 2018 디지털 트랜스포메이션 지수에 따르면, 응답자의 49%가 5년 안에 신뢰할 수 있는 기업임을 증명하지 못할 것이라고 밝혔다. 

전략적 사이버보안 컨설팅 및 자문 업체인 사이드채널 시큐리티(SideChannel Security) 공동창업자 브라이언 호글리는 “기업들은 보안 기능과 성장이 일치한다고 믿지 않기 때문에 보안을 속도와 성장에 장애물 정도로 인식하고 있다”라고 말했다. 
Brian Haugli
 

그 결과, CISO는 종종 전략적 논의의 초기 단계에서 배제되고, 대신 보안이 통합하기 어려운 후기 단계에서만 참여하는 상황을 반복한다. 

한편 호글리는 “이와 같은 CISO들이 신뢰 구축이라는 임무를 맡을 준비가 되어있지 않을 수도 있다”면서, “이들은 아직 스스로를 비즈니스 지원자, 핵심 조언자, 전략적 파트너로 여기지 않고 오히려 기술 감독, 보안 프로그램을 제공하는 역할로만 생각한다"라고 지적했다.
 
그러나 선도적인 CISO들은 이미 신뢰의 개념을 전달 가능한 것으로 수용했으며, 실제로 전체 보안 기능을 중심 주제로 삼고 있다.
 
이것이 하이마크 헬스(Highmark Health) CISO 카와자가 취한 접근 방식이다. 카와자는 신뢰를 자신과 팀이 하는 일의 전형으로 파악하고, 2019년 초 회사의 전략적 비전에 더 잘 부합하기 위해 보안 프로그램의 임무 진술서를 다시 작성했다. 

이전 임무 진술서에는 보안의 3가지 비즈니스 목표인 규정 준수, 개인정보 보호 및 효율성에 대해 설명했다. 새로운 비전 선언문에는 “우리의 비전은 사람들이 자신의 정보가 안전하고 분명하게 신뢰하는 세상”이라고 쓰여있다. editor@itworld.co.kr 
 Tags CISO

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.