"기술적 전문성 넘어 비즈니스 리더로 발전하라" 훌륭한 CISO의 조건

CISO가 기술적 전문성을 넘어 비즈니스 리더가 되고 있는 이유를 전문가들과 함께 살펴본다. 비즈니스 리더로서 성공 여부는 영향력을 행사하고 보안 아젠다를 이끌 수 있는 능력에 달려 있다.
 
CISO 역할은 과거 기술적 통제를 관리하는 데서 비즈니스 전략을 지원하는 데까지 발전했다. 훌륭한 CISO가 되기 위해서는 기술적 전문성 이상이 필요하다. CISO는 여러 비즈니스 위험의 균형을 맞추고 위협으로부터 시스템을 보호하고 기업의 회복탄력성을 보장해야 한다.
 

ⓒ Getty Images Bank

 
엘라스틱(Elastic)의 CISO 맨디 안드레스는 “과거 기술 또는 규정 준수에 초점을 둔 역할에서 비즈니스 전략과 운영을 이해하고 위험 대처와 가장 유망한 분야에 대한 투자 사이에서 절충하는 의사 결정을 내려야 하는 비즈니스 리더로 CISO의 역할이 바뀌었다”라고 말했다.
 
이 사고의 전환은 보안 이벤트를 필연적인 것으로 재규정하고, 침해가 발생할지 여부가 아니라 언제 발생할지에 초점을 두고 대비한다. 안드레스는 “20년 전에는 데이터 침해가 발생하면 자동적으로 책임이 CISO에게 돌아갔기 때문에 새 일자리를 알아봐야 했다. 목표가 제로 이벤트였기 때문”이라고 말했다. 지금은 많은 기업이 보안 설정이 불완전하며 사고 발생 시의 회복탄력성과 준비에 집중해야 한다는 것을 받아들이고 있다.
 
과거에는 보안 설정을 온/오프의 이분법으로 분류했지만 현재 보안 프로그램은 사고 발생 시 영향을 최소화하면서 적응하고 대응하는 데 도움을 주도록 설계돼야 한다. 이제는 대응 및 회복탄력성 계획에 사이버 보안 및 비즈니스 운영 팀이 관여하므로 CISO는 기업 전반을 무대로 활동해야 하고, 특히 사고 발생 시 그러한 역할이 더 강조된다.
 
안드레스는 “프로세스에 참여하는 사람들의 범위가 넓어진다. 즉, 보안 이벤트가 발생하면 기술 보안 팀뿐만 아니라 홍보, 커뮤니케이션 팀, 그리고 규모와 심각도에 따라 경영진도 관여하게 된다”라고 말했다.
 
또한 CISO는 예산에 대한 논의도 주도하고 있다. 과거에는 예산이 주어지고 그 예산으로 최대한 많은 일을 하면 됐지만 지금의 예산에 대한 논의는 예전처럼 단순하지 않다. 안드레스는 “역할의 진화로 CISO 관점에서 더 어려워진 점은 다른 방식으로 일을 하고 싶고 그 방법이 더 낫다는 것을 알지만 비즈니스의 초점은 다른 부분에 맞춰져 있는 상황을 많이 보게 된다는 것”이라고 말했다.
 

이상적인 CISO의 배경

CISO는 대학, 직장 경력, 전문 자격증 등 어떤 배경에서도 배출될 수 있다. 특히 변화하는 사이버 보안 요구사항에 따라 배경을 구분하는 경계가 흐려지고 있다.
 
전 CISO이자 현재는 이사회 고문, 사외이사, CISO 멘토로 일하는 폴 코넬리는 과거에는 섹옵스(SecOps) 경력을 가진 사람들은 운영 보안에 치중하고 GRC 출신들은 위험 관리를 위한 규정 준수를 우선하는 경우가 많았다면서 “정보보안을 위해서는 기술에 대한 기본적인 역량이 필요하지만 CISO가 반드시 엔지니어나 개발자일 필요는 없다”라고 말했다.
 
정보보안 책임에 대한 폭넓은 이해는 필요하지만 IT 또는 내부 감사를 포함해서 어떤 업무에서도 CISO가 나올 수 있다. 다양한 산업과 기업에 대한 경험은 사고의 다양성이라는 장점으로 이어진다. 현대의 CISO는 보안을 위한 노력을 비즈니스 목표와 맞추는 데 가장 높은 우선순위를 둬야 한다. 코넬리는 “기업의 여러 부서를 거치면서 폭넓은 경험을 쌓은 사람들은 섹옵스 또는 다른 한 분야에만 집중하면서 올라온 사람보다 준비가 더 잘 되어 있다”라고 말했다.
 
중간 및 대규모 기업에서는 관리 기술, 리더십 역량, 비즈니스 지식이 기술적인 역량보다 중요하다. 반면 규모가 작은 팀에서는 모든 팀원이 여러 역할을 해야 하며, 이러한 환경의 CISO는 기술적인 리더가 돼야 한다. 코넬리는 “이 경우 섹옵스와 같은 기술적인 기반이 도움이 될 수 있다”라고 말했다.
 
가장 중요한 것은 환경에 맞춰 보안 아젠다를 설정하고 이끄는 능력이다. CISO는 이사회와 경영진의 신뢰를 얻으려면 정보 보안의 비즈니스 측면을 이해해야 한다. 이 같은 변화를 반영해서 비즈니스 전반을 아우를 수 있는 보안 리더를 육성하는 데 도움이 되는 사이버 보안 리더십 과정도 나오고 있다.
 
코넬리는 “목표는 비즈니스 감각, 커뮤니케이션 기술, 법률 및 감사와 같은 다른 그룹과 협업할 수 있는 능력을 갖춘 사이버 보안 리더를 육성하는 것이다. 이는 오늘날의 리더십을 위한 효과적인 조합”이라고 말했다.
 
멘토로 오래 활동해온 코넬리의 조언은 경력을 발전시켜 리더십 자격을 갖추라는 것이다. 대규모 기업의 CISO라면 리더십 개발을 위해 여러 부서의 순환 배치 기회를 모색할 것을 권했다.
 
리더십을 추구하지만 그러한 기회가 없다면 자신의 성장을 지원하는 장기적이고 목표 지향적인 관계 개발을 위한 멘토를 찾아야 한다. 코넬리는 “멘토는 조언과 피드백을 제공하고 올바른 길을 선택하는 데 도움이 되는 아이디어를 제시한다”라고 말했다.
 
코넬리는 우선 멘토가 도움이 될 수 있는 부분을 파악한 다음 잠재적인 멘토 목록을 추려서 직접 접근하거나 상호 인맥을 통해 접근하는 방법을 제안했다. 코넬리는 이 관계를 최대한 활용하려면 목표를 설정하고, 매번 만남에서 대화를 이끌되 멘토가 자신의 생각을 덧붙이고 필요한 경우 조정할 수 있는 여지를 남겨둬야 한다면서 “멘토에게서 도움을 받고자 하는 목표, 또는 자기 계발을 위해 도움을 받고 싶은 문제를 미리 정해두고 관계를 시작해야 한다”라고 말했다.
 

인플루언서 역할로까지 확대

CISO의 담당 분야가 기술적인 부분 이상으로 확장되면서 기업 전반에 영향을 미칠 수 있는 역량이 차지하는 비중이 커졌다. CISO는 다양한 팀과 관계를 구축하고 협업해서 보안이 기업 전반의 프로세스와 책임에 통합되도록 해야 한다.
 
CISO가 보안 이니셔티브를 주도하기 위해서는 영향력이 핵심적이다. 기술 솔루션을 강요하는 시대가 끝나면서 그 대신 다양한 관점을 경청하고 고려하는 데 초점을 두는 것이 중요해졌다. 안드레스는 공유된 해결책을 추구하는 것이 중요하며, CISO가 자신의 역할을 효과적으로 수행하기 위해서는 이와 같은 협의적인 접근 방식이 필수적이라면서 “이 부분에서 영향력이 작용한다. 다양한 개인에게 어떻게 접근할지를 이해하고 개인화된 상호작용을 하고 상황에 따라 적응해야 한다”라고 말했다. 
 
이를 위해서는 다양한 팀의 언어와 요구사항, 한계를 이해해서 더 긍정적인 상호작용과 논의를 촉진해야 한다. 안드레스는 “예를 들어 ’이 목표를 달성하기 위한 유일한 방법은 이것’이라는 자세로 접근하면 적대적인 관계가 형성된다. 반면 ‘달성해야 하는 목표는 이것인데, 어떻게 협력해야 할지 논의해보자’는 자세로 접근하면 이 일을 왜 해야 하는지, 비즈니스에서 성공하고 고객을 돕는 데 어떻게 도움이 되는지에 집중하게 되고 훨씬 더 긍정적인 상호작용과 토론을 끌어낼 수 있다”라고 말했다.
 
플레이스미 리크루트먼트(PlaceMe Recruitment)의 기술 채용 책임자 킬리언 오리어리 역시 공유된 목표를 설정하고 이해관계자를 참여시키고 인플루언서로 행동할 수 있는 역량이 중요하다는 데 동의했다.
 
몇 년 전의 CISO는 자기만의 영역에 머무르는 섬과 같았다. 특정 성격 유형에는 잘 맞았지만 지금은 확실히 영향력과 협업을 이끄는 역할로 바뀌고 있다. 이러한 자질은 기업에서 신임 CISO를 채용할 때 매우 중요하게 평가하는 요소가 되고 있다. 오리어리는 “기업은 보안 로드맵에 동의하고 여정에 동참할 추종자를 모을 수 있는 성격의 CISO를 구하고 있다”라고 말했다.
 
오리어리는 자신의 경험을 바탕으로 현대 CISO에게는 기술적 전문성도 중요하지만 CIO 또는 CEO 등 사람마다 보안 태세의 의미를 다르게 해석한다는 것을 이해하는 것 역시 중요하다고 말했다. 이를 위해서는 진화하는 위협을 파악하고 경영진이 공감할 수 있는 방식으로 인사이트를 제시하고 기업 전반적으로 보안에 대한 인식을 조성해야 한다. 오리어리는 “유능한 CISO가 되기 위해서는 어려운 대화를 마다하지 않고 다른 사람에게 영향력을 행사하고 조언하고 사람들을 이해하면서도 비즈니스 개선을 위한 자신의 아젠다를 밀어 부쳐야 하므로 어느 정도의 근성이 필요하다”라고 말했다.

그러나 기업이 CISO의 역할을 완전히 이해하지 못하는 경우 상황이 복잡해지고, CISO가 구성해야 하는 직무 명세와 필요한 기술 역량 목록 간의 불일치로 이어질 수 있다.

오리어리는 기업이 CISO 역할의 기능, CISO가 영향을 미치는 대상과 긴밀하게 협력하는 대상을 이해해야 한다고 말했다.

경우에 따라 오리어리 같은 채용 담당자는 후보자가 다양한 경험을 갖고 있는지, 재직 기간이 짧은지, 또는 한 기업에서의 경험이 직무 양식에 맞지 않는지 등을 기준으로 후보자의 적합성을 설명할 수 있다. 오리어리는 “다양한 산업, 과제, 비즈니스 유형에 노출되었다면 그만큼 다방면에 걸친 경험이 있는 것”이라고 말했다.

오리어리는 변화가 큰 환경에서는 성장을 중시하는 사고방식이나 적응력과 같은 개인적인 자질이 CISO로서 성공하는 데 유리하게 작용할 수 있다며 “유능한 CISO는 스스로를 아직 개발 중인 미완성의 상태로 여긴다. 역할의 궤적에 따라 발전해야 하기 때문이다. 기업에서 더 확고한 입지를 다지는 것도 포함된다”라고 정리했다.

모두가 동의하는 한 가지 특징은 기업 보호라는 역할과 사명에 대한 열정이다. 이것이 훌륭한 CISO의 핵심 요소다. 열정은 개인적으로도 중요한 동기 부여 요소지만 팀 내에서 전파되기도 한다. 이는 기업, 고객, 직원 보호라는 사명을 위한 노력을 촉진하는 데 도움이 된다.

오리어리는 “훌륭한 CISO는 사이버 분야에 대한 열정을 갖고 평생 동안 배움과 개선을 위해 노력하는 사람”이라고 요약했다.
editor@itworld.co.kr