?? ?? ?? 4?? CISO?? ?? ?? ???(COO), ???, ??? ??, ?? ??? ????? ??? ??? ??? ???? ??? ????? CISO?? ??? ???. 1990년대 중반 스티브 카츠가 씨티은행(Citicorp)에서 첫 최고 정보 보안 책임자(CISO)가 된 이후, 약 30년 동안 CISO만큼 많은 변화가 있었던 직책은 거의 없었다. 기술 통제 관리에서 비즈니스 리스크 관리로 역할이 바뀌면서 CISO가 다른 직책으로 진출할 수 있는 길도 열리게 됐다. 서로 다른 길을 걸어온 4명의 CISO가 새로운 역할로 옮기는 과정에서 겪은 경험과 조언을 공유했다. CISO에서 COO로··· 래디언트로직(RadiantLogic) COO 채드 맥도널드래디언트로직의 CISO에서 COO로 자리를 옮긴 채드 맥도널드는 20여 년의 경력 동안 고객 경험 및 전문 서비스뿐만 아니라 여러 CISO 역할을 수행해 왔다. 그는 CISO 역할이 비즈니스 전반에 걸쳐 전략적으로 사고하고 다양한 부서에 영향을 미쳐야 한다는 것을 깨달았다. 이런 기술은 다음 단계를 모색할 때도 유용했다. 맥도널드에 따르면 전략적 기술은 COO와 같은 더 광범위한 역할로 나아가는 데 도움이 된다. 예를 들어 COO는 고객의 요구를 이해하고 고객과 소통하는 언어를 구사할 수 있어야 한다. 맥도널드는 “CISO는 재무, HR, 마케팅 및 제품 부서와 대화해 변화를 이끌어내고 조직의 보안 환경에 대한 관점을 바꾸거나 리스크 부담을 줄여야 한다. 이런 기술을 갖고 있으면 직책을 쉽게 옮겨갈 수 있으며, 모든 종류의 운영팀을 운영하는 데 유리한 위치를 점할 수 있다”라고 설명했다. 그는 또한 “CISO가 매일 하는 일은 자신의 영역뿐만 아니라 비즈니스 전반에 걸쳐 전략적으로 사고하는 것이다. 하나의 변화가 전체 비즈니스에 영향을 미치기에 특정 업무 외의 영역에도 영향력을 행사하는 역량을 갖춰야 한다”라고 말했다. 여러 업종에 대한 폭넓은 경험을 쌓으려면 다양한 규제 및 규정 준수 요구 사항을 이해해야 하는데, 이 역시 다른 직무로 전환하는 데 도움이 된다. 맥도널드는 “내부 요구 사항뿐만 아니라 고객이 필요로 하는 요구 사항을 어떻게 해석하고, 소통 가능한 언어를 구사하며 외부와 내부의 시각에서 조직을 바라보는 등 다양한 방식으로 생각할 필요가 있다”라고 말했다. 대부분 선형적인 커리어 경로이지만, 점점 더 보안과 娇色导航및 CTO 등 다른 최고 경영진의 역할에 겹치는 부분이 많아지면서 새로운 기회가 열리고 있다. 맥도널드는 CISO가 재무, 프로젝트 관리, 법적 계약 이해 등 광범위한 비즈니스 기술을 파악하고 있어야 한다고 조언하면서, “이런 기술이 CIO, CTO 또는 COO와 같은 역할로 전환하려는 CISO에게 매우 중요하다”라고 설명했다. 원활한 커뮤니케이션 능력도 여전히 중요하다. 맥도널드는 “직급이 올라갈수록 단순한 전술적 뉴스를 넘어 임원 수준으로 소통해야 하며, 기술이나 보안에 대한 경험이 없는 사람들에게도 나아갈 방향과 이유를 명확하게 설명할 수 있어야 한다”라고 조언했다. CISO에서 CIO, 부사장으로··· 탬파대학교 정보 기술 및 보안 담당 부사장 태미 로퍼탬파대학교의 정보 기술 및 보안 담당 부사장인 태미 로퍼는 보안 및 기술 운영을 구축하고 혁신하는 과정에서 경력을 쌓아 CISO에서 CIO로, 현재는 부사장으로 승진했다. 로퍼는 경력을 쌓는 과정에서 전략적으로 사고하고, 전반적으로 강력한 관계를 구축하고 동의를 얻는 것이 성공에 필수적이며 승진의 기회로 이어진다는 사실을 깨달았다. 그녀는 “새로운 보안 프로그램을 시작하면서 캠퍼스 내 모든 부서를 만나 사용 중인 시스템, 처리하는 정보의 유형, 기술, 비즈니스 과제 및 격차를 분석했다”라고 말했다. 로퍼는 조직 내에서 교육과 영향력을 행사할 수 있는 권한을 키우는 데 유용한 공동 사명을 만들고 있다. 이는 승진을 위한 중요 요소인 가시성 확보에도 도움이 된다. 로퍼는 “역할이 조직에 묻혀 있고 탑-다운 방식이 아니라 바텀-업으로 일을 추진하려고 한다면, 임원진이 이를 알아보고 역량을 파악할 만한 가시성이 확보되지 않을 수 있다”라고 말했다. CISO는 조직의 프로세스를 이해하고 보안을 핵심 미션의 일부로 자리매김하는 데 있어 유리한 지점을 갖고 있으며, 이는 잠재적으로 더 높은 직책의 기회를 열어줄 가능성이 있다. 로퍼의 경우 보안 프로그램을 성공적으로 구축한 후 전략을 IT 전반으로 확장해 娇色导航자리에 올랐다. 결국 부사장으로 승진한 데에는 대학 내 모든 부서에 걸쳐 IT와 보안에 일정한 권한이 필요하다는 점이 반영됐다. 문제는 비즈니스 요구와 보안 요구 사이의 균형 유지였다. CISO는 보안에만 집중하는 습관을 버려야 할 수 있다. 그녀는 “CISO는 때때로 타협에 어려움을 겪을 수 있지만, 조직의 목표를 달성하고 결정에 확신을 가지려면 균형을 찾을 수 있어야 한다”라고 말했다. CISO에서 멘토이자 이사회 멤버로··· 이사회 고문 폴 코넬리폴 코넬리는 NSA와 백악관에서 근무한 경력을 포함해 여러 차례 CISO, CSO 및 정보 보안 직책을 역임한 후 기술 고문 및 이사회 멤버로 자리를 옮겼다. 그 과정에서 CISO 역할의 초점과 위상이 변화하는 것을 목격했다. 코넬리는 “처음 시작했을 때는 기술 지식만 필요했지만, 지금은 비즈니스에 대한 이해와 비즈니스에 미치는 영향이 중요해졌다”라고 말했다 그는 오늘날 직무에 대한 열정, 의사 소통 능력, 조직 관리 기술이 어떤 것보다 중요하다고 언급했다. 이사회 멤버가 되는 과정에서 코넬리는 성공적인 CISO가 되기 위해 필요한 기술이 리더십 역할에 잘 적용된다는 사실을 발견했다. 코넬리는 “CISO 역할이 달라진 점은 비즈니스 리더와 소통하고 전략적 의사 결정에 참여하게 됐다는 것이며, 전략을 수립하고 다른 사람들과 협력하며 성공적인 프로젝트를 추진하는 능력을 입증하면 이사회 진출의 기회가 열릴 것”이라고 조언했다. 이사회 역할에서 그는 CIO나 CISO가 최신 업데이트를 발표할 때 테이블에 있던 다른 사람들이 파악하지 못한 상황을 제기하거나 후속 질문을 던질 수 있다. 그는 “기업에서 보안이 얼마나 중요한지 생각해 보면 우리 같은 배경을 가진 사람이 적다는 사실이 놀랍다”라고 언급했다. 그러나 CISO가 CFO, CEO, 이사회 멤버 등이 있는 네트워킹 그룹에 속해 있지 않다면 이사회 추천 대상에서도 제외되기 쉽다. 코넬리는 “인적 네트워크를 구축해 준비가 되면 바로 추천될 수 있도록 해야 한다”라고 조언했다. 또한 코넬리는 CISO가 다른 비즈니스 리더들과도 교류하고 리스크 또는 DEI 등의 직장 내 위원회에 참여해 역량을 넓힐 것을 권했다. 그는 “이사회는 한 분야에만 집중하는 사람에게 자리를 배정할 여유가 없다. 다른 분야에도 참여하는 것이 중요하다”라고 설명했다. 이사회 업무에 대한 지식도 중요하지만 항상 자연스럽게 이뤄지는 것은 아니다. 그는 “이사회가 어떤 일을 하는지 공부하고, 전미 기업 이사 협회와 같은 단체를 통해 자격증을 취득하고, 항상 이사회 멤버를 모집하는 비영리 단체에서 봉사하며 경험을 쌓을 필요가 있다”라고 말했다. 또한 이사회로 진출하려는 목표를 지지해 줄 동료를 찾는 것도 중요하다. 이를 지지하는 CEO가 있다면 동료로서 이사회 멤버들과 교류할 기회를 제공하고, 준비 과정에서 프레젠테이션 및 업데이트에 대한 방향과 피드백을 조언해줄 수 있다. 코넬리는 “고위 경영진과 이야기해 관심사가 무엇인지 알리고 도움을 받을 수 있는지 알아보라”라고 조언했다. CISO에서 CSO, 투자 고문으로··· YL벤쳐(YL Ventures) 임원 저스틴 소마이니YL벤쳐의 임원인 저스틴 소마이니는 이전까지 몇몇 대형 글로벌 기술 기업에서 CISO, CSO, 최고 신뢰 책임자(chief trust officer) 등의 역할을 맡았다. 그는 CISO 역할에 영업 담당자와 유사한 측면이 있다면서, “내부적으로 보안을 판매하는 역할이기 때문”이라고 말했다. 다시 말해 CISO는 메시지를 전달하기 위한 마케팅, 사용자와 보안 채택의 근거를 이해하기 위한 인간 행동, 보안을 실행하기 위한 다리를 구축하는 방법을 배워야 한다. 소마이니는 “보안 담당자는 일만 하는 것이 아니라 문제를 찾아낸다. 그 다음 해결책을 찾고 회사의 다른 모든 사람에게 실제로 작업을 수행하도록 지시한다”라고 말했다. 이를 위해서는 다른 사람의 업무와 역량을 이해하고 과제와 걸림돌도 파악해야 한다. 이런 역량은 비즈니스가 어떻게 구축되는지, 새로운 기회를 위한 디딤돌이 무엇인지 CISO가 자연스럽게 배울 기회를 제공한다. 소마이니는 “다른 직무를 배우기 위해 노력한다면 현재 맡은 역할에서 성공할 뿐만 아니라 다음 직무로 나아갈 발판도 마련할 수 있다”라고 설명했다. 그에 따르면 정답이 있는 것은 아니기 때문에 CISO는 스스로의 길을 개척해 나가야 한다. 그는 “많은 CISO가 다음 단계를 고민하고 있다. 본격적으로는 업계에서 이를 처음으로 실험하고 있는 것과 같다. 하지만 하나의 업계로서 커리어 경로를 분명히 파악할 필요가 있다”라고 조언했다. 그는 많은 창업자와 VC를 알게 된 후 스타트업 자문과 같은 역할 등 “수년에 걸쳐 작은 일들을 많이 하면서” 현재의 자리에 올랐다고 설명했다. 소마니이는 새로운 직책으로 나아갈 기회를 만들기 위해 네트워크를 확장할 것을 권하면서, “베리사인(VeriSign)에서 근무할 때 팔로알토 네트웍스의 창업자 닐 주크를 소개받았다. 아무도 모르게 그의 고문으로 일하게 됐는데, 이런 일을 할 수 있을 줄 몰랐고 정말 좋은 경험이었다”라고 말했다. 소마이니는 이제 다음 투자 대상을 선정하는 팀의 일원으로 보안 분야 지식과 성숙 단계에 있는 기업을 지원한 경험을 활용하고 있다. 즉 영업 및 마케팅 라이프사이클을 이해하고 초기 단계에 아직 영업이나 마케팅 책임자가 없는 스타트업을 지원하는 ‘부가가치 창출형 VC’가 되는 것을 의미한다. 그는 CISO가 조직 전체에 걸친 역할이라는 이점을 활용해, 전문성을 더 쌓고 비즈니스의 모든 측면을 파악하며 다른 부서와 관계를 구축하기 위해 이중 직책을 맡는 것도 고려할 수 있다고 언급했다. 그는 “수평적 역할이기 때문에 CISO는 모든 것을 보고 다양한 관계를 구축할 수 있다”라고 말했다. 소마이니는 이런 네트워킹의 가치가 향후 새로운 일로 이어질 수 있다면서, “보안 세계 밖에서 관계를 개발하고 육성해 새로운 기회를 열어야 한다”라고 조언했다. dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????