CISO 역할은 과거 기술적 통제를 관리하는 데서 비즈니스 전략을 지원하는 데까지 발전했다. 훌륭한 CISO가 되기 위해서는 기술적 전문성 이상이 필요하다. CISO는 여러 비즈니스 위험의 균형을 맞추고 위협으로부터 시스템을 보호하고 기업의 회복탄력성을 보장해야 한다.
엘라스틱(Elastic)의 CISO 맨디 안드레스는 “과거 기술 또는 규정 준수에 초점을 둔 역할에서 비즈니스 전략과 운영을 이해하고 위험 대처와 가장 유망한 분야에 대한 투자 사이에서 절충하는 의사 결정을 내려야 하는 비즈니스 리더로 CISO의 역할이 바뀌었다”라고 말했다.
이 사고의 전환은 보안 이벤트를 필연적인 것으로 재규정하고, 침해가 발생할지 여부가 아니라 언제 발생할지에 초점을 두고 대비한다. 안드레스는 “20년 전에는 데이터 침해가 발생하면 자동적으로 책임이 CISO에게 돌아갔기 때문에 새 일자리를 알아봐야 했다. 목표가 제로 이벤트였기 때문”이라고 말했다. 지금은 많은 기업이 보안 설정이 불완전하며 사고 발생 시의 회복탄력성과 준비에 집중해야 한다는 것을 받아들이고 있다.
과거에는 보안 설정을 온/오프의 이분법으로 분류했지만 현재 보안 프로그램은 사고 발생 시 영향을 최소화하면서 적응하고 대응하는 데 도움을 주도록 설계돼야 한다. 이제는 대응 및 회복탄력성 계획에 사이버 보안 및 비즈니스 운영 팀이 관여하므로 CISO는 기업 전반을 무대로 활동해야 하고, 특히 사고 발생 시 그러한 역할이 더 강조된다.
안드레스는 “프로세스에 참여하는 사람들의 범위가 넓어진다. 즉, 보안 이벤트가 발생하면 기술 보안 팀뿐만 아니라 홍보, 커뮤니케이션 팀, 그리고 규모와 심각도에 따라 경영진도 관여하게 된다”라고 말했다.
또한 CISO는 예산에 대한 논의도 주도하고 있다. 과거에는 예산이 주어지고 그 예산으로 최대한 많은 일을 하면 됐지만 지금의 예산에 대한 논의는 예전처럼 단순하지 않다. 안드레스는 “역할의 진화로 CISO 관점에서 더 어려워진 점은 다른 방식으로 일을 하고 싶고 그 방법이 더 낫다는 것을 알지만 비즈니스의 초점은 다른 부분에 맞춰져 있는 상황을 많이 보게 된다는 것”이라고 말했다.
이상적인 CISO의 배경
CISO는 대학, 직장 경력, 전문 자격증 등 어떤 배경에서도 배출될 수 있다. 특히 변화하는 사이버 보안 요구사항에 따라 배경을 구분하는 경계가 흐려지고 있다.
전 CISO이자 현재는 이사회 고문, 사외이사, CISO 멘토로 일하는 폴 코넬리는 과거에는 섹옵스(SecOps) 경력을 가진 사람들은 운영 보안에 치중하고 GRC 출신들은 위험 관리를 위한 규정 준수를 우선하는 경우가 많았다면서 “정보보안을 위해서는 기술에 대한 기본적인 역량이 필요하지만 CISO가 반드시 엔지니어나 개발자일 필요는 없다”라고 말했다.
정보보안 책임에 대한 폭넓은 이해는 필요하지만 IT 또는 내부 감사를 포함해서 어떤 업무에서도 CISO가 나올 수 있다. 다양한 산업과 기업에 대한 경험은 사고의 다양성이라는 장점으로 이어진다. 현대의 CISO는 보안을 위한 노력을 비즈니스 목표와 맞추는 데 가장 높은 우선순위를 둬야 한다. 코넬리는 “기업의 여러 부서를 거치면서 폭넓은 경험을 쌓은 사람들은 섹옵스 또는 다른 한 분야에만 집중하면서 올라온 사람보다 준비가 더 잘 되어 있다”라고 말했다.
중간 및 대규모 기업에서는 관리 기술, 리더십 역량, 비즈니스 지식이 기술적인 역량보다 중요하다. 반면 규모가 작은 팀에서는 모든 팀원이 여러 역할을 해야 하며, 이러한 환경의 CISO는 기술적인 리더가 돼야 한다. 코넬리는 “이 경우 섹옵스와 같은 기술적인 기반이 도움이 될 수 있다”라고 말했다.
가장 중요한 것은 환경에 맞춰 보안 아젠다를 설정하고 이끄는 능력이다. CISO는 이사회와 경영진의 신뢰를 얻으려면 정보 보안의 비즈니스 측면을 이해해야 한다. 이 같은 변화를 반영해서 비즈니스 전반을 아우를 수 있는 보안 리더를 육성하는 데 도움이 되는 사이버 보안 리더십 과정도 나오고 있다.
코넬리는 “목표는 비즈니스 감각, 커뮤니케이션 기술, 법률 및 감사와 같은 다른 그룹과 협업할 수 있는 능력을 갖춘 사이버 보안 리더를 육성하는 것이다. 이는 오늘날의 리더십을 위한 효과적인 조합”이라고 말했다.
멘토로 오래 활동해온 코넬리의 조언은 경력을 발전시켜 리더십 자격을 갖추라는 것이다. 대규모 기업의 CISO라면 리더십 개발을 위해 여러 부서의 순환 배치 기회를 모색할 것을 권했다.
리더십을 추구하지만 그러한 기회가 없다면 자신의 성장을 지원하는 장기적이고 목표 지향적인 관계 개발을 위한 멘토를 찾아야 한다. 코넬리는 “멘토는 조언과 피드백을 제공하고 올바른 길을 선택하는 데 도움이 되는 아이디어를 제시한다”라고 말했다.
코넬리는 우선 멘토가 도움이 될 수 있는 부분을 파악한 다음 잠재적인 멘토 목록을 추려서 직접 접근하거나 상호 인맥을 통해 접근하는 방법을 제안했다. 코넬리는 이 관계를 최대한 활용하려면 목표를 설정하고, 매번 만남에서 대화를 이끌되 멘토가 자신의 생각을 덧붙이고 필요한 경우 조정할 수 있는 여지를 남겨둬야 한다면서 “멘토에게서 도움을 받고자 하는 목표, 또는 자기 계발을 위해 도움을 받고 싶은 문제를 미리 정해두고 관계를 시작해야 한다”라고 말했다.
