정직이 최선책일 수 있다. 하지만 CISO가 경영 회의에서 보안 상황에 대해 사실을 보고할 때 몇 가지 주의사항이 있다.
이미지 출처 : Tim Green
한 대형 제조기업의 CISO가 지난해 이사회에 참석해 보안 문제에 관한 프레젠테이션을 진행했다. 그리고 그날 이후 며칠 동안 그는 “이제 회사를 그만둬야 하나?”라는 걱정에 많은 밤 잠을 설쳐야 했다.
당시 그는 CISO 직을 맡은 지 1년 여가 지난 시점이었고, 이사회 회의 참석 전까진 자신의 행동이 적절한 것이라 생각했다. 그가 진행한 프레젠테이션의 내용은, 자사 정보보안 활동의 문제들을 정말 솔직하게 설명하는 것이었다.
그는 “그들이 내게 원하는 것은 ‘걱정 마세요. 제가 다 해결할 수 있습니다’라는 확신이었던 것 같다. 우리 기업은 보안에 관심도, 관련 자원도 별로 없는 그리 성숙하지 못한 곳이었다”라고 당시를 회상했다.
교훈 1. 솔직함과 더불어 요령도 필요하다
그가 저지른 두 번째 실수는(지금은 그 자신도 그것이 실수였음을 잘 알고 있지만) 상황 판단에 이어 곧바로 “하지만 제겐 이 문제를 해결할 계획이 있습니다”라는 말을 덧붙이며 계획을 설명한 것이었다. 이후 실제로 문제는 해결됐지만, 이사회가 기대한 것만큼 신속하게는 아니었다. 그는 “이사회가 내게 만족하지 않았다는 것을 직감으로 알 수 있었다”고 말했다. 그리고 그의 예상대로 그는 같은 해 9월 해임 조치됐다.
교훈 2. 언제나 해결책을 준비해둬야 한다
이사회와의 긴장 속에서 CISO가 배울 수 있는 교훈은 이 뿐만이 아니다. 타깃, 소니, JP 모건 체이스 등 주요 기업들의 보안 유출 사고가 보도된 이후 연방 규제 당국의 압박 수준도 한 층 강화됐고, 이는 사고 발생 시 실질적인 책임자의 위치에 놓이는 의사결정권자들에겐 견디기 힘든 부담으로 작용하고 있다.
이번 달 발간된 뉴욕증권거래소 거버넌스 서비스(NYSE Governance Services)와 베라코드(Veracode)의 공동 보고서에 따르면, 기업의 임원급 가운데 90% 가량이 사이버 유출 사고 발생 시 규제 당국(연방 거래 위원회 등)이 비즈니스에 책임을 묻는 것이 정당하다는데 동의하고 있었다. 규제 당국의 관여뿐 아니라 브랜드 가치 훼손 및 주가 하락 등의 시장 평판 역시 임원 및 관리진들에게 부담을 주는 요소였다. 포레스터 리서치의 조사에서도 보안 사고는 기업의 평판을 해치는 두 번째 요인(1위는 윤리적 이슈)으로 꼽힌 바 있다.
가트너의 관리 부문 F. 크리스찬 번스는 “CISO들은 이사회와의 커뮤니케이션 방법을 조금 더 고민해 볼 필요가 있다. 보안은 더 이상 IT만이 관여하는 백 오피스 업무가 아닌, 비즈니스의 핵심 이슈로 자리 잡았다. 그러한 인식 변화에 맞춰 CISO들 역시 태도와 지향을 새로이 해야 할 것이다”라고 조언했다.
NYSE의 설문조사에 따르면, 오늘날 보안은 비즈니스 전체의 문제로 인식되고 있고 따라서 관련 문제가 발생할 경우 그 책임은 임원급 전체에게 전달되는 경우가 일반적이다. 그럼에도 CISO의 역할과 책임은 지속적으로 커져가고 있으며, 그 역할은 다른 누구도 대체하기 어려운 것이 현실이다.
(상당수 익명을 요구한) 보안 전문가들은 이사회와의 만남에서 자신들이 겪었던 일과 거기에서 배운 것들에 대한 이야기를 전해 주고 있다.
교훈 3. 이사진들을 놀라게 하지 마라
보안 책임자들에게 리서치에 기반한 자문과 가이드를 제공하고 있는 크라우드소싱 IT 리서치 기업 와이즈게이트(Wisegate)의 부대표 엘든 넬슨은 “보안 전문가들은 이사회에서 말하는 ‘보안’의 의미에 대해 잘 모르는 경우가 많다. 보안 전문가들은 보안 문제를 볼 때 당장 처리하지 않아도 괜찮은 문제와, 지금 당장 해결해야 하는 문제로 나누어 본다. 비즈니스 전문가들 역시 리스크에 대해 잘 이해하고는 있지만, 여러 가지 성과 지표나 수치와 같은 측면에서 보안을 바라본다”라고 말했다.
하나 더, 이사회를 비롯한 경영진들을 놀라게 해선 안 된다.
넬슨은 최근 보안 전문가들과 진행한 화상 회담에서 이사회와의 미팅 후 해고 당한 어느 대형 회계 서비스 네트워크의 정보보안 담당자의 이야기를 듣게 됐다. 그 역시 이사회에게 자신의 생각을 100% 솔직하게 말한 것이 화근이었다. 문제가 무엇인지도 알고 있었고, 더욱이 솔루션도 가지고 있었지만, 미팅에 들어가 나쁜 소식을 ‘폭탄 떨구듯’ 떨구고 나온 것이 문제였다고 넬슨은 말했다. 그 담당자가 배운 교훈은 ‘다시는 이사회 회의에 가서 그들을 놀라게 할 만한 이야기를 앞뒤 없이 투척하지 말자’였다.
이 때 해고 당한 담당자도 이제는 공식적으로 이사회 회의에 들어가기에 앞서 이사진들이 문제에 대해 인지하고 있는지 확인해야 함을 알게 됐다고 넬슨은 말했다. 우선 그 이야기를 들어야 하는 이들에게 먼저 따로 설명을 하고, 그들로 하여금 이사회 전체에게 귀띔을 하도록 여유를 주거나, 적어도 담당자 자신이 그 역할을 해야 한다. 또 자신이 전하게 될 소식에 대해 어떤 반응이 돌아올 지 예상해 두고, 거기에 대한 답변도 준비되어 있어야 한다.
교훈 4: 보안 위험에 대해 직접 느낄 수 있게 설명하라
미국의 한 대형 은행에서 일하던 한 정보보안 담당자는 이사회와의 대화에서 꽤나 확신에 찬 말투로 “상황이 좋지 않다”는 말을 꺼냈다가 이사회와의 관계에서 큰 어려움을 겪었다. 이후 그는 수 년에 걸쳐 “조심스레 그 관계를 회복하기 위해 노력해야 했으며, 또 이것은 비즈니스 및 리스크 관리의 문제지 기술의 문제가 아니라는 점을 이사회에게 납득시키기 위해 힘썼다”고 전했다.
그가 사용한 가장 효과적인 전략 중 하나는 이사회에게 직접 회사가 직면한 보안 문제가 무엇인지 구체적으로 보여주고, 자신이 어떤 대책들을 취하고 있는지 설명하는 것이었다.
그는 “기업에서 배부한 노트북을 이사회 멤버들 앞에 놓고, 레드팀 해커 중 한 명이 직접 해킹 하는 것을 보여주었다. 해커가 카메라나 마이크를 작동시키고, 문서에 접근할 수도 있음을 보여주고 나면 ‘이런 것까지 가능하단 말이야?’라며 놀라는 분위기였다”라고 설명했다.
레드팀의 이러한 시연은 네트워크에 대한 정교한 공격이 중요 데이터의 유출을 야기할 수 있다는 것도 보여주었다. 보안 담당자는 각 이사진들에게 회사 직원들과 똑같은 수준의 접근, 권한, 그리고 보안 레벨이 적용되는 태블릿을 하나씩 나눠주고 자신의 지메일 계정으로 중요 문서를 이메일로 발송하는 것이 얼마나 위험한지, 혹은 해커가 이사회 멤버들 중 하나의 계정인 척 가장하여 그의 비서에게 이메일을 보내는 것이 얼마나 쉽고 간단하게 이루어지는지를 보여주었다.
“이렇게 직접 보안 위험이 어느 정도인지를 보여주고, 이사회 멤버로서의 특권이 없는 상태에서 보안 문제를 바라보게 하자 보안에 대한 관심도 높아졌다. 그 후로는 중국이나 러시아 같은, 보안 위험이 높은 국가로 출장 갈 때 이들에게 일회용 휴대폰이나 노트북을 사용하라는 권고에도 협조해 주었다”고 그는 말했다.
교훈 5. ‘우리는 안전한가’라는 질문에는 조심해서 대답하라
“우리는 안전한 것 맞느냐”는 질문은 단순해 보이지만 사실 함정일 수 있다고 보안 전문가들은 말했다. 인디애나주의 글로벌 하드웨어 기업 ‘두 잇 베스트(Do It Best Corp.)’의 정보보안담당자 브라이언 오하라는 “이 질문에 대해 ‘우리는 안전하다’고 확답하는 사람은 그냥 호언장담을 하고 있을 뿐”이라고 밝혔다.
혹시라도 이사회로부터 그런 질문을 받게 될 때면, 오하라는 좀 더 신중하게 답변하는 쪽을 택한다. “내가 확신을 갖고 말할 수 있는 건 현재 우리가 어떤 작업을 하고 있고, 다른 직원들은 어떤 부분에 신경을 쓰고 있으며, 이상적인 일 처리는 어떠한 모습이어야 하는지, 그에 비했을 때 현재 상황은 어느 정도 인지가 전부다. 다시 말해, 할 수 있는 모든 조치를 취하고 있음을 보여주는 것이 최선이다”라고 오하라는 말했다.
그는 이전 직장에서 CISO로 일하며 몇 가지 귀중한 교훈을 얻었다. 리더들과 더욱 돈독한 관계를 쌓아두고, 이사회를 교육시키며, 쉽지만 가시적인 성과를 통해 점수를 따놓는 것이 그것이다. “모든 문제를 CISO가 해결하지 않아도 된다. 하지만 몇 가지 문제에 대해서는 직접 손을 써야 한다. 특히 결과가 잘 보이는, 가시적인 성과들 말이다”라고 그는 강조했다.
*Stacy Collett는 CSO와 컴퓨터월드에 기고하고 있다. dl-ciokorea@foundryco.com
