?? ?? ??? ?? ?????????(CISO)? ?? ??. ?? CISO? ??? ??? ?? ???? ???? ?? ??? ???? ??? ??? ???? ? ? ??. 많은 CISO가 보안 외에도 추가적인 책임과 역할을 맡고 있다. CISO와 최고정보책임자(CIO), 최고기술책임자(CTO), 엔지니어링 부사장, 제품 책임자, 인프라 책임자 등을 겸하는 식이다. 이런 이중 직책은 CISO의 다양한 기술에 대한 조직의 인식과 책임 범위가 확대되고 있음을 보여준다. 뛰어난 CISO는 리스크 관리, 전략적 사고, 리더십, 기술 이니셔티브를 비즈니스 목표에 맞추는 능력 등을 갖추고 있다. 사실 이런 능력은 CISO뿐만 아니라 다른 C레벨 임원 역할을 수행하는 데도 도움이 된다. 업계에서 CISO 외 여러 역할을 동시에 맡고 있는 임원에게 겸직 CISO의 장점과 도전과제에 대해 들어보았다. 전략적 ‘원팀’ 만드는 이중 직함CISO가 여러 역할을 겸직하면 사이버 보안 전략을 여러 조직에 보다 쉽게 확대할 수 있다. 링크드인의 CISO 겸 엔지니어링 부사장인 제프 벨냅은 ID 및 액세스 관리, 로그 수집, 분석 수행, 소프트웨어 및 기타 인프라 등의 보안 인프라를 구축하고 유지 관리하는 소프트웨어 엔지니어 팀을 감독하며 CISO의 업무를 동시에 수행하고 있다. 벨냅은 CISO를 처음 맡을 때 선배 CISO로부터 자체 소프트웨어 엔지니어를 두는 것의 이점에 대해 조언을 들었다. 처음에는 완전히 이해하지 못했지만, 그 조언을 기억하며 수년에 걸쳐 실천해 왔다. 벨냅은 “보안 부서 리더로서 진정한 영향력을 발휘하려면 자체 인프라를 구축하고 지원해야 한다는 사실을 시간이 지나면서 강하게 동의하게 됐다”라고 전했다. 벨냅은 여러 팀이 한 명의 리더 밑에서 일하면 훨씬 협업이 수월해진다고 설명했다. 외부 팀은 자신의 팀과 다른 우선순위와 목표를 갖고 있으니 의견 충돌이 발생할 수밖에 없는데, 이를 하나의 팀으로 묶으면 훨씬 협력이 쉬워진다는 것이다. 벨냅은 “우리 조직은 보안과 엔지니어링 팀이 함께 일하면서 보안 문제를 깊이 이해한 상태에서 혁신적인 해결책을 만들고 있다. 단 보안에 너무 치중되지 않도록 소프트웨어 개발의 전문성도 중요하게 여기고 있다”라고 설명했다. 벨냅은 자체 엔지니어 팀을 보유함으로써 파트너와 협력할 때 유리한 위치에 설 수 있었다고 밝혔다. 프로젝트에 대해 지원이나 도움을 요청할 때 그의 팀은 이미 많은 것을 구축해 놓았기 때문에 파트너 팀의 작업량을 줄일 수 있었기 때문이다. 벨냅은 “다시 말해 파트너만이 할 수 있는 일을 파트너에게 맡길 수 있다. 우리 팀이 할 수 있는 일이나 전문성에 맞지 않는 일에 파트너를 끌어들일 필요가 없어진다”라고 언급했다. 피델리티 인베스트먼츠(Fidelity Investments)의 디지털 제품 책임자이자 전 CISO인 애덤 일리는 이러한 이중 직책이 CISO가 조직의 기술 리더 겸 운영자로서 더 많은 역할을 수행하는 상황을 반영한다고 표현했다. 일리에 따르면 CISO는 보통 모든 조직과 함께 일하고, 비즈니스 라인의 운영 방식을 잘 알며, 사람과 매일 이용하는 기술을 이끌며, 위기 관리자 역할을 맡는다. 그런 면에서 이중 직책 또는 그 이상의 고위직을 맡기에 유리하다. 일리는 “많은 CISO가 기술 또는 엔지니어링 부서를 거쳐 임원 자리에 오른다. 특히 이전에 기술 및 제품 그룹과 함께 일한 경험은 다른 역할까지 겸직할 수 있는 역량을 만들어낸다. 이런 역량은 이젠 IT 기업 말고도 수많은 기업이 기술 및 디지털 제품에 대한 투자함에 따라 더 빛나고 있다”라고 전했다. 한편, 일리는 클라우드 컴퓨팅, 데브옵스, 자동화, 인프라 수명주기 관리와 같은 기술이 부상하면서 기술의 경계가 더 모호해지고 있는 현상에 주목했다. 이런 상황으로 보안이 여러 기술 프로세스에 더욱 통합되고 있다. 일리는 CISO로 일하면서 다양한 비즈니스 부서 업무를 배우고 그들과 관계를 구축하며 다양한부서와 함께 일하는 기회를 경험했다. 일리는 “나는 이미 회사가 어떻게 운영되는지, 어떤 프로젝트가 중요한지, 어떤 기술이 사용되고 있는지에 대한 큰 그림을 읽을 수 있었다. 많은 사람과 좋은 관계를 만들어 놨다. 그래서 제품 개발 총괄 역할도 잘 수행할 수 있었다”라고 설명했다. 비즈니스 전반을 잘 파악하고 있는 CISO미국의 IT 솔루션 기업 블루 맨티스(Blue Mantis)의 최고운영책임자인 제이 파스테리스는 이전에 회사의 CISO와 CIO를 겸직했다. 그는 두 가지 역할을 동시에 맡으면서 기업 전체 활동을 크게 보면서도 각 부서의 프로세스를 세부적으로 이해할 수 있었다고 한다. 그에 따르면, 한 가지 직함을 맡은 상태에서 이런 일을 할 수 있는 일을 할 수 있는 임원은 많지 않다고 한다. 파스테리스는 CISO가 두 가지 직책을 동시에 맡으면 CEO 또는 이사회에 더 직접적인 보고할 통로를 더 쉽게 마련할 수 있다고 설명했다. 보안 위협을 자주 보고해야 하는 CISO로서 이런 보고 기회는 매우 의미가 크다. 더욱이 CISO가 CEO 및 이사회에 자주 보고할 기회를 얻으면 이사회는 비즈니스 위험을 더 잘 이해할 수도 있다. 파스테리스는 “CISO는 사용하는 기술뿐만 아니라 데이터, 사용자, 고객, 잠재적 위협을 모두 고려해야 한다. 또 비즈니스를 어떻게 탄력적으로 만들 것인지 고민해야 한다. 이사회와 CEO는 이러한 투명성을 갖추고 CISO와 양방향으로 협력할 수 있는 능력을 갖춰야 한다”라고 설명했다. 두 가지 역할을 모두 수행하면 비즈니스 효율성 증대 그리고 보안성 강화라는 목표를 함께 추구할 수 있다. 물론 두 가지 목표는 상충되기도 한다. 그럼에도 CISO는 보통 비즈니스 성과가 무엇인지, 비즈니스 위험이 어디에 있는지도 잘 알고 있을 때가 많다. 파스테리스는 “CISO는 비즈니스와 보안이라는 함께 볼 수 있는 능력을 갖추고 있으며 이는 조직에 큰 가치를 줄 수 있는 일이다. 그래서 종종 CISO가 COO 역할로 승진하는 것을 볼 수 있다”라고 전했다. 미국의 신원 데이터 관리와 분석 기업 래디언트 로직(Radiant Logic)의 COO인 채드 맥도널드는 CISO 역할의 특징으로 엔지니어링 개발 파이프라인, 마케팅 스택, 영업팀이 사용하는 제품 등을 잘 이해하는 다소 독특한 위치에 있다는 점을 꼽았다. 이는 CISO가 보안 서비스의 공급자이자 소비자이기에 나타난 특징이라고 표현했다. 겸직 CISO의 도전 과제CISO 역할을 겸직 형태로 두면 좋은 이유는 많지만, 해결 과제도 분명 존재한다. 일단 업무 과부하가 생길 수 있다. 벨냅은 “책임을 진다는 것은 그만큼 많은 일을 해야 한다는 의미다. 이미 업무가 너무 많은 CISO에게 추가 인력이나 비용 없이 직함을 추가하면 안 된다”라고 조언했다. 만약 엔지니어링이나 제품 등의 다른 팀이 보안 관련 일을 자신의 업무 일부로 생각하지 않는다면, 팀이 조화롭게 통합되는데 어려움을 겪을 수 있다. 벨냅은 “보안 업무만 맞지 않더라도 어떤 방식으로든 소프트웨어, 인프라, AI를 사용하거나 감사를 통해 보안을 개선하고 있다면, 해당 직원은 이미 보안 실무자로 봐야 한다. 하지만 당사자는 처음에는 그렇게 생각하지 않을 수 있다. 그리고 CISO는 그렇게 생각하지 않은 직원 인식을 전환하는 작업을 먼저 해야 할 수 있다. 그래야 보안을 개선하고 통합된 조직 지원 사이의 마찰을 줄일 수 있다”라고 전했다. 파스테리스는 CISO를 겸직하고 있는 임원이 너무 많은 위험을 떠안지 않도록 주의하는 것이 중요하다고 강조했다. 물론 규정과 일부 법률에 대해 CISO는 이해하고 있어야 하지만, 그렇다고 해서 모든 책임을 다 져야 한다는 의미는 아니라는 것이다. 그는 “CISO가 법률 고문 혹은 데이터 프라이버시 보호 총괄 업무를 대신 맡을 필요는 없다. 법적 영향이 수반되는 매우 구체적인 역할은 대체하지 않는 것이 좋다”라고 조언했다. 파스테리스는 대신 법이나 데이터 보호 등과 관련된 영역에 있는 인물과 강력한 파트너십을 구축하하라고 조언했다. 동시에 적절한 책임 분담을 통해 각 임원의 역할과 책임이 겹치는 상황은 피하라고 권고했다. 파스테리스는 “위험을 결정하고 평가하며 동시에 승인까지 하는 사람이 될 필요 없다. 적절한 리스크 관리 체계 내에서 각자 역할을 나눠야 한다”라고 언급했다. COO가 되기 전에 래디언트 로직의 CISO이자 최고 책임자였던 맥도널드는 자신의 역할을 확대할 수 있는 위치에 있는 CISO는 이러한 전략적 동맹을 강화하되 천천히 그리고 전술적으로 진행하라고 조언했다. 맥도널드는 “CISO가 가져가야 할 핵심 업무는 잃지 않으면서 새로 맡게 되는 영역이 기존 업무와 충분한 연관성이 있는지 확인해야 한다”라고 설명했다. 여러 직함을 맡았다고 CISO가 모든 업무를 혼자 처리할 필요는 없다. 오히려 운영팀을 적절하게 구축해야 조직의 전략을 잘 실행할 수 있다. 미리 필요한 인력과 자원을 확보하지 못하면 꼭 필요한 순간에 성과를 내는데 어려움을 겪을 수 있다. 맥도널드는 “큰 그림의 전략이 없는 CISO는 대부분 세부적인 실행 결과나 운영 방식에 지나치게 집중하곤 한다”라고 밝혔다. 맥도널드는 보다 전략적인 우선 과제를 살펴보기 위해선 사고방식의 전환이 필요하다고 설명했다. 맥도널드는 “앞서가는 CISO는 리스크 관리 방법을 배운 후 기술적인 세부 사항에만 몰두하는 것을 멈춘다. 그리고 보안 기능뿐만 아니라 조직 전체의 전략적 방향을 살펴보며 조직의 목표에 맞춰 성과를 만들어낸다”라고 강조했다.dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????