CISO 및 사이버 공격 위험을 과소평가하는 최고 경영진

COVID-19 팬데믹 초기 특히 스트레스가 많았던 어느 날 SoftBank Vision Fund의 수석 정보 보안 책임자(CISO)인 Gary Hayslip은 집에서 스트레스를 풀 방법을 모색하다 아내와 함께 4,700개의 조각으로 이루어진 1.2미터 길이의 레고 스타워즈 제국 구축함을 조립했습니다. “마음을 차분하게 하고 생각을 비우는 데 효과적”이라고 Hayslip은 말합니다.

그리고 이는 많은 CISO에게 굉장히 필요한 부분입니다. 

지난 18개월 동안 기업 보안 책임자들이 해결해야 할 과제가 늘어났으며, 이들 상당수가 지속적인 외부 위협과 함께 심각한 내부 문제로 계속해서 어려움을 겪고 있습니다. CISO는 원격/재택 근무로의 급격한 전환, 사이버 공격 급증, 보안 인력 부족으로 인한 워크로드 증가를 헤쳐 왔습니다. 또한 개인 정보 보호 규정 준수와 같은 새로운 업무가 할당되었습니다. 무엇보다도 CISO는 조직과 불확실하고 우려되는 관계에 놓여있습니다. 글로벌 정보 보안 임원을 대상으로 한 최근 EY 설문조사는 이러한 관계가 이처럼 긴장된 적이 없음을 보여줍니다.

호주 최대 통신사 소유의 기술 컨설팅 회사인 Telstra Purple의 사이버 보안 자문 책임자인 Manoj Bhatt는 “팬데믹 이후 비즈니스 수행 형태의 변화와 혹독한 위협 환경을 고려할 때 CISO는 조직 전체에서 가장 어려운 업무를 담당하고 있는 것이 틀림없습니다.”라고 말합니다. 

실리콘 밸리 암호화 기술 공급업체인 Eclipz의 CISO이자 보안 임원들이 직면한 당면 과제에 대한 글을 자주 쓰고 언급하는 Matthew Rosenquist는 많은 최고 경영진 동료들이 보안 위험을 이해하지 못하고 사이버 공격이 불가피하다는 것을 인정하지 않아 이러한 상황을 더욱 악화시킨다고 설명합니다.  

이렇게 되면 사이버 보안 리더들은 승산이 없는 상황에 놓이게 될 수 있습니다. “CISO가 업무를 제대로 수행하지 못하고 공격으로 인해 회사가 손실을 본다면 CEO는 ‘왜 CISO가 필요한가?’라고 할 것이며, CISO가 업무를 훌륭하게 수행해 내고 회사에 피해가 전혀 없다면 CEO는 ‘모든 것이 문제가 없으니 CISO는 필요 없다’고 할 것”이라고 Rosenquist는 설명합니다. 

베테랑 CISO를 비롯한 보안 전문가들은 최고 경영진 및 이사회 임원과의 커뮤니케이션이 원활하면 상부의 긴장을 완화하고 CISO가 받는 압박을 줄이는 데 큰 도움이 될 수 있다고 입을 모읍니다. 다음은 이들이 제안하는 이러한 핵심 그룹과의 공감과 이해를 증진시킬 수 있는 몇 가지 전략입니다.

1. 현실적인 기대치를 설정하고 최고 경영진에게 세부 정보를 제공 

대부분의 CISO는 직면한 위협과 이러한 위협을 사전에 차단하기 위해 어떤 조치를 취해야 하는지 잘 알고 있습니다. 다른 임원들도 동일한 지식을 갖도록 하는 것이 중요합니다. 리더들이 침해가 기업의 현실임을 이해하고 대응책에 확신을 갖게 되면 불시에 공격을 당했다고 느낄 가능성이 줄어듭니다.

“침해 사고는 연일 뉴스를 장식하고 있습니다. 더 포괄적인 컨텍스트를 제공하기 위해 이러한 위험이 회사와 어떤 관련이 있는지, 그리고 우리는 어떤 시스템을 갖추고 있는지에 대해 사람들에게 명시적으로 알려야 합니다.”고 Hayslip은 말합니다.  

SoftBank에서 Hayslip은 다른 부서장들과 만나 부서의 비즈니스 목표, 보호가 필요한 중요 리소스, 보안 조치로 인해 팀과 어떤 마찰이 일어날 수 있는지 파악합니다. 자신의 역할을 단순히 기술 리더가 아니라 ‘위험을 관리하는 기업 임원’으로 생각합니다. “보안이라는 울타리에 갇혀 자신의 분야만 바라봐서는 안 됩니다.” 

2. 대상을 파악하여 효과적으로 커뮤니케이션 

CISO는 최고 보안 책임자로서 비즈니스 부서와 정보 보안 팀 간에 중요한 중개 역할을 합니다. 효과적으로 커뮤니케이션하기 위해서는 이들의 우선순위를 이해하고 복잡한 사이버 보안이나 IT 전문 용어가 아니라 이들의 언어로 이야기해야 합니다. 

그러나 런던에 기반을 둔 ClubCISO에서 글로벌 사이버 보안 리더 500명을 대상으로 실시한 최근 설문조사에 따르면 CISO 중 약 1/3만이 강력한 커뮤니케이션 능력을 보유하고 있다고 합니다. 또한 이 역할에는 비즈니스 지식이 기술 지식보다 훨씬 중요함에도 불구하고 소수의 CISO만이 이러한 능력을 충분히 갖추고 있다고 합니다. 

이것이 바로 내부 직원을 이해하는 것이 매우 중요한 이유입니다. Rosenquist는 “인사 담당자와는 민감한 직원 데이터의 기밀성에 대해 논의할 수 있습니다. 재무 팀은 기록과 프로세스의 무결성에 관심이 있고, 생산 팀 임원은 보안 제어가 수익성과 제품 계획에 어떤 영향을 미칠지 알고 싶어합니다.”라고 말합니다. 

3. 주목받으려면 측정이 필수 

CEO 다음으로 CISO에게 가장 중요한 최고 경영진 동료는 예산을 관리하는 최고 재무 책임자(CFO)입니다. CFO와 긍정적인 관계를 맺으면 좀 더 많은 리소스를 확보하여 워크로드와 다른 보안 이니셔티브에 사용할 수 있습니다. 

재무 책임자(그리고 다른 비즈니스 리더)와 작업할 때는 명확한 데이터가 필수적입니다. 일부 CISO는 지난 12개월 또는 18개월 동안 실패한 위협의 수, 방어한 방법, 공격자의 목표를 보여주는 데이터를 제공한다고 Deloitte의 CIO 프로그램 연구 책임자인 Khalid Kark는 말합니다.

금융 서비스 분야의 한 CISO는 최고 경영진 동료 및 기타 비즈니스 리더 각각을 위한 맞춤형 사이버 보안 대시보드를 만들어 보안 메트릭을 정기적으로 확인할 수 있게 한다고 합니다.

“사이버 보안에서는 측정값이 있어야 주목을 받습니다. 정의된 메트릭이 있다면 스토리 텔링에 도움이 됩니다.“라고 Kark는 말합니다.

앞으로의 희망적인 신호

ClubCISO 설문조사는 2022년을 시작하는 CISO에게 보다 긍정적인 전망을 제시합니다. CISO의 86%는 조직이 이제 보안을 비즈니스만큼 중요하게 여긴다고 말했으며 이는 팬데믹 이전의 65%에서 상승한 것입니다. 그리고 거의 70%의 응답자가 조직에 긍정적인 보안 문화가 조성되어 있다고 응답했으며 이는 2020년 45%에서 증가한 수치입니다.

한편 CISO들은 각자 스트레스를 해소하기 위한 자신만의 방법을 찾고 있습니다. Rosenquist는 새크라멘토에 있는 자신의 집 근처 시에라 네바다 언덕에서 오토바이를 타며 긴장을 풉니다. “라이딩은 완벽히 통제할 수 있고 예측 가능한 것으로 사이버 보안과는 완전히 다릅니다.”라고 Rosenquist는 말합니다.   

Hayslip과 그의 아내는 최근에 하와이 크루즈를 예약했습니다. 비행기를 타야 하는 휴가는 몇 년 만에 처음입니다. “이 분야에서는 일을 잠시 떼어놓을 수 있는 방법이 있어야 합니다.”라고 말합니다.