컨텐츠 바로가기

11.01 (금)

CISO의 새로운 역할, "신뢰를 구축하라"

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
신뢰(Trust)는 시장에서 차별화 요소가 되고 있다. 좀 더 전략적인 역할을 추구하는 CISO라면 모든 이해 관계자들에게 신뢰가 조직에 최선의 이익이 된다는 확신을 심어줘야 한다.
ITWorld

<이미지를 클릭하시면 크게 보실 수 있습니다>


ⓒ Getty Images Bank

커스텐 데이비스는 힘든 과업을 맡았다. 회사의 유럽 직원들이 자신을 염탐하는데 사용될 수도 있다고 걱정하는 새로운 보안 프로토콜을 받아들이도록 하는 일이었다.

당시 HPE의 부CISO였던 데이비스는 EU가 전면적인 프라이버시 규정인 GDPR(General Data Protection Regulation) 제정을 준비하고 있는 상황에서 직원들이 여러 새로운 도구와 정책을 수용하도록 만들어야 했다. 그러나 직원들은 회사가 자신들을 감시하는데 보안 도구를 사용할 수 있다고 우려했다. 그리고 보안 도구의 기능이 자신의 프라이버시를 침해할 수 있는지 여부를 물었다.

데이비스는 이런 우려를 없애기 위해 유럽 전역으로 출장을 갔다. 직원들이 구성한 협의회와 만나 기업이 직면한 위험, 도입하려는 도구의 중요성을 설명했다. 태어나서 바로 영어를 배워 사용한 네이티브 미국인인 데이비스는 독일어에 유창했고, 이를 이용해 관계를 구축할 수 있었던 독일을 출발점으로 삼았다.

데이비스는 새 도구가 어떻게 직원들과 회사를 보호하고, 이런 도구가 왜 중요한지 직원들을 이해시키는데 목적이 있었다고 설명했다. 데이비스는 독일 직원 협의회와 사이버보안 마스터 합의서를 만들어 체결하는 방법으로 과업을 달성했다. 그리고 이 합의서는 HPE의 20여 해외 직원 협의회와 체결한 유사한 합의서의 모델 역할을 했다.

데이비스는 “처음 만든 사이버보안 합의서는 양쪽 모두 신뢰에 바탕을 둔 합의가 형성되도록 도와줬다. 회사를 보호하는 협력 관계가 구축된 것이다”라고 말했다.

현재 다양한 화장품, 뷰티 제품 브랜드를 생산해 판매하고 있는 글로벌 기업인 에스티로더(Estee Lauder Companies Inc.)의 SVP 겸 CISO를 맡고 있는 데이비스는 2016년 직원 협의회와의 경험이 새로 맡은 보안 부서의 책임과 일치한다고 말했다. 다양한 구성원들이 조직과 리더를 신뢰, 데이터 보안과 프라이버시에 있어 옳은 일을 하도록 설득하는 책임이 있다는 의미이다.

데이비스는 “현재 신뢰가 ‘진화’하고 있는 상태다. 그러나 우리와의 트랜젝션이 안전하고, 안정적이며, 진실되어야 한다고 기대하는 점은 같다”라고 말했다.

IT 분야의 CIO처럼, CISO도 자신의 역할이 변화하는 것을 경험했다. 전술에 초점이 맞춰진 관리 측면의 역할이 전략에 관여하는 경영 측면의 역할로 바뀐 것이다. 그런데 현재 CISO의 역할은 이보다 한층 더 진화하고 있는 추세다.

사이버보안과 관련된 문제에 있어 조직의 이익을 극대화하는 것을 염두에 두고, 고객부터 비즈니스 파트너, 직원, 이사회 이사들에 이르기까지 조직의 모든 이해관계자들과 접촉해 신뢰를 구축하는 역할을 수행해야 한다.

그러나 이것이 단순히 난해한 대화를 하거나, 철학적으로 행동하는 것을 의미하지는 않는다. CEO들은 이해관계자와의 신뢰 구축 및 유지가 디지털 시대에 성공하는데 아주 중요하다고 믿는다. PwC의 ‘21세기 글로벌 CEO 서베이’에 따르면, 고객과 신뢰를 구축하기 위해 사이버보안에 투자하고 있다고 대답한 CEO의 비율이 87%에 달한다.

이처럼 신뢰가 시장 차별화 요소로 부상하고 있는 것으로 보인다. PwC에서 사이버보안 및 프라이버시 분야에 대한 조사를 책임지고 있는 숀 코노스는 “신뢰는 데이터를 윤리적으로 사용하고, 보호하고, 올바르게 관리하는 기업에서 중요한 경쟁 우위 요소 역할을 하게 될 것”이라고 강조했다.


신뢰의 가치

PwC는 경영진들이 디지털 시대에 신뢰가 반드시 필요하다는 것, 이런 신뢰의 가치를 경시하거나 과소평가하는 일이 없어야 한다고 강조했다.
PwC는 2018년 ‘디지털 신뢰로의 여정(The journey to digital trust)’이라는 보고서에서 “디지털 경제의 피는 데이터이고, 데이터의 심장은 디지털 신뢰, 즉 안전한 디지털 세상을 구현하는 사람, 프로세스, 기술에 대한 신뢰도를 의미한다”라고 설명했다.

물론 CISO는 직함이 존재하는 한, 조직의 시스템, 시스템에 보관된 데이터를 안전하게 유지하고 보호하는데 몰입할 것이다. 기업 경영진과 이사회 이사들은 오래 전부터 CISO가 이런 부분을 전달하기 기대해왔다. 심지어 고객과 비즈니스 파트너도 CISO가 이런 과업을 수용할 수 있는 수준으로 이행하고, 달성하는 것을 기대하게 되었다.

그런데 기술 전문 변호사이자 SANS 인스티튜트의 선임 강사로 활동하고 있는 벤자민 라이트에 따르면, 이제 사회가 CISO에게 기대하는 수준 또한 높아지고 있다.

라이트는 "사회가 CISO에게 복잡한 요구사항을 충족하고, 이런 요구사항을 충족하지 못하고 보안을 달성하지 못했을 때 처벌을 받게 되는 법을 통과시키고, 규정을 제정하고 있다"라고 말했다.

그 결과, CISO의 역할이 최고 재무 책임자(CFO)와 유사해지고 있다. 기업의 보안 부서가 법무 부서와 유사한 일을 하고 있는 것이다. 보안에 있어서는 재무 및 법무 부서처럼 일상적인 책임을 넘어서는 임무를 수행하고 있기 때문이다.

라이트는 “보안 팀원들이 변호사나 CPA 자격증을 취득해야 한다고 말하는 것은 아니다. 그러나 역사적으로 기업의 법무 및 재무 부서의 전문가들은 전문적 조언을 제공했고, 이런 조언에는 많은 무게가 실려 있었다. 나는 많은 대기업에서 보안 부서 또한 이런 전문적인 포지셔닝으로 변화하고 있다고 생각한다. 사회가 대기업에 부과하고 있는 사이버보안 문제 해결에 대한 요구가 크기 때문이다. 사회는 대기업에 개인 식별 정보와 리소스를 보호할 책임이 있다고 말한다. 그리고 이런 책임을 이행하지 않을 경우에 처벌을 받게 된다고 말한다”라고 설명했다.

그러나 사회가 기업 보안을 무조건 믿고 있는 것은 아니다. 라이트는 기업이 사이버보안 필요사항을 다루고 있음을 증명하도록 요구하는 소수 규정들을 예로 들었다. 2017년 뉴욕 재무국이 금융서비스 기업에 부과한 사이버보안 요건이 여기에 해당된다. 또, 미국 연방거래위원회(Federal Trade Commission, FTC)는 2019년 페이스북 마크 저커버그 CEO로 하여금 페이스북이 소비자의 프라이버시를 보호하기 위한 조치를 취하고 있음을 증명하도록 요구했다. 고객 데이터가 오용된 캠브릿지 애널리티카 스캔들 이후 FTC와 페이스북의 합의에 따라 부과된 요건이다.

연구원과 컨설턴트, CISO들은 모든 기업과 기관이 이런 신고서에 서명해야 하는 일은 없겠지만, 향후 이런 규칙과 규정이 늘어날 것으로 예상한다고 말했다. 또 기업 경영진은 주주들에게 IT 시스템과 데이터를 보호하기 위해 노력하고 있음을 증명해야 할 것이라고 입을 모아 말했다.
코노스는 “신뢰를 얻는데 시간이 걸린다. 필요한 것만 수집하고, 요청 시 이를 없애고, 이를 보호하고, 윤리적으로 사용해야 신뢰를 얻을 수 있다”라고 말했다.


신뢰, 배양하기

디지털 신뢰 배양에 어려움을 겪는 기업이 많다. 델 테크놀로지스가 인텔, 밴슨 본(Vanson Bourne)과 협력해 40여 개 국가의 비즈니스 리더 4,600명을 조사한 2018 ‘디지털 트랜스포메이션 인덱스(Digital Transformation Index)’ 서베이에 따르면, 소속 조직이 5년 이내에 신뢰를 입증하지 못하는 것을 걱정하는 비율이 49%였다.

또 91%의 기업들이 디지털 트랜스포메이션을 지속적으로 방해하는 장애물에 직면해 있다고 대답했는데, 가장 많이 언급된 장애물이 데이터 프라이버시와 보안에 대한 우려였다. 그 다음은 리소스와 스킬의 제약(각각 2번째 및 3번째), 규정과 법 개정, 미성숙한 디지털 문화 순이었다.

그러나 코노스, 라이트 등은 CISO들이 신뢰를 생성할 기회가 있다는 점을 인식해야 한다고 강조했다.

또, CISO들은 조직 내부를 출발점으로 삼을 수 있다고 설명했다. 다른 최고 경영진과 관계를 구축하고, 보안 부서를 전략적인 토론과 의사결정에 참여시키고, ‘비즈니스 용어’로 이사들과 커뮤니케이션을 하는 방법을 사용할 수 있다. 이는 CISO들이 지난 몇년간 반복해 들었던 조언이다.

라이트는 이후 CISO들은 보안 및 프라이버시 노력을 문서화된 정책, 내부 메시지, 심지어 공개 성명으로 구체화하는 방법을 고려할 수 있다고 말했다. 그는 CISO는 이제 다른 임원과 이사는 물론, 일반직원, 비즈니스 파트너, 소비자, 규제기관, 전체 사회와 신뢰를 구축해야 한다고 강조했다.

코노스도 여기에 동의했다. 코노스는 “디지털 신뢰가 점차 더 중요해질 것이다. 사람들은 자신의 데이터를 적절하게 다루는 기업과 거래를 하고 싶어하며, 이렇게 하지 않거나 못하는 기업은 이에 따른 ‘결과’를 직면하게 될 것이다”라고 말했다.

또 기업이 데이터를 이용해 하고 있는 일, 데이터 보호 방법, 사용하는 장소, 공유하는 이유에 대해 질문을 하는 소비자가 증가하고 있는 추세다. CISO는 이런 요구에 대응하는 조직의 정책과 성명에 이런 정보를 적절히 추가하는 역할을 하게 될 것이다.

코노스는 “정책이 있다는 것만으로는 부족하다. 사람들은 자신의 데이터가 어디로 향하는지 알고 싶어한다. 이런 사람들에게 적절한 통제책을 갖고 있다는 점을 증명해야 한다”라고 말했다. 그는 또 CISO들은 조직 내부는 물론 외부에서도 비즈니스 파트너, 이 파트너의 파트너와 협력해 신중히 데이터를 보호하고 있음을 증명해 신뢰를 배양할 수 있다.

그러나 이런 일을 하면서 고립감을 느껴서는 안된다. 코노스는 이른바 ‘정보보호의 3요소(CIA Triad)’로 불리는 사이버보안 모델을 인용, “CISO의 역할은 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 제공하는 것이다. 그러나 CISO만 이를 책임지는 것은 아니다. 전체 조직이 신뢰를 구축할 수 있도록 만드는 것이 중요하다”라고 말했다.

PwC는 디지털 신뢰 보고서에서 신뢰 구축은 추구할 가치가 있는 노력이라고 강조했다. 이 보고서는 “연결된 세상에 보안과 신뢰성, 프라이버스, 데이터 윤리에 있어 선도하는 방법을 제시하는 기업은 미래에 ‘거인’이 될 것”이라고 분석했다.


‘북극성’인 신뢰

과거 CISO로 일한 경험이 있는 컨설팅 회사 사이드채널 시큐리티(SideChannel Security)를 공동 설립한 브라이언 호글리 파트너에 따르면, 신뢰를 구축하려 노력하면서 어려움에 직면하는 CISO들이 많다.

CISO들은 지금도 보안이 속도와 비즈니스 성장에 방해가 된다고 생각하는 비즈니스 부문 동료들을 직면하게 되는 경우가 많다. 또, 초기에 전략적인 대화에 참가하지 못하고, 나중에 추진되는 이니셔티브에 관여해야 하는 경우가 많다. 이 경우, 보안을 통합시키기가 더 어려워진다.

반대로 신뢰 구축이라는 과업에 대한 준비가 되지 않은 CISO들도 존재한다. 이런 CISO는 스스로를 비즈니스 이네이블러, 핵심 조언자, 전략적 파트너로 생각하지 않는다. 대신 기술적 감시감독, 차단으로 해결하는 방식의 보안에 초점이 맞춰진 과거 CISO의 역할에 계속 머물러 있다.

이런 개념을 완벽히 수용하지 못한 기업들이 많다. '클라우드파더스: 포춘 500대 기업의 사이버보안 태세 분석(The Cloudfathers: An Analysis of Cybersecurity in the Fortune 500)' 조사 결과가 이를 증명한다. 클라우드 액세스 보안 브로커(CASB) 공급업체인 비트글래스가 포춘 500대 기업의 보안과 관련된 공개 정보를 분석해 2019년 9월 발표한 조사 보고서이다. 분석에 따르면, 보안 전략을 책임진 사람을 모르는 비율이 77%에 달한다. 또, 52%는 웹사이트에 법으로 요구되는 프라이버시 관련 고지에 대한 내용을 제외하면, 소비자 및 파트너 데이터를 어떤 방법으로 보호하는지 설명한 정보가 실려 있지 않다.

반면 이미 보안과 관련된 전체 업무에서 신뢰를 중심에 두고 있는 CISO들도 있다. 전국적인 의료 및 건강관리 회사인 하이마크 헬스(Highmark Health)의 오마 카와자 CISO를 예로 들 수 있다. 카와자는 신뢰가 자신과 보안 팀이 하고 있는 일을 대표한다고 강조한다. 실제 2019년 초, 조직의 전략 비전과 더욱 일치시키도록 보안 프로그램 강령을 다시 작성하면서 이 부분을 반영시켜 선언했다.

기존 강령은 보안은 3가지 비즈니스 목적을 추구한다고 설명하고 있었다. 정보보호의 3요소로 달성하는 있는 목적들인 컴플라이언스(규제 준수), 프라이버시, 효율성이 여기에 해당된다. 새로운 비전서에는 ‘우리의 비전은 사람들이 자신의 정보가 안전하다고 확실히 신뢰할 수 있는 세상을 만드는 것’이라는 내용이 들어있다.

카자와는 “신뢰는 ‘북극성’이 되어야 한다”라고 강조했다. 그러면서 보안 팀의 활동에서 신뢰 구축을 지원하는 것이 중요하다는 점을 깨닫게 된 과정을 설명했다.

카자와는 몇 년 전 기업 고객들과의 미팅에 참석하는 횟수가 늘어나면서 이에 대해 깨닫게 되었다고 말했다. 당시 의료기관을 표적으로 한 사이버공격과 데이터 침해 사고가 증가하고 있었고, 이에 고객들은 하이마크 헬스에 보관된 자신의 데이터가 안전하다는 확신을 원했다.

카자와는 “고객들에게 사이버 위험, 우리가 사이버보안을 위해 하고 있는 일을 설명하고, 우리가 하고 있는 일을 감안했을 때 안심해도 된다고 말을 했다. 이런 대화에서 성과를 일궈내려면, 고객들이 자신의 정보가 안전하게 관리되고 있으며, 하이마크가 데이터를 적절히 처리 및 관리하고 있다는 생각을 갖게 만들어야 한다. 나는 계속 이런 생각을 하고 있다”라고 말했다. editor@itworld.co.kr

Mary K. Pratt editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.