‘사이버 보안의 역할 변화에 대응하려면’… CISO 이안 슈넬러의 5가지 원칙

HCSC(Health Care Service Corporation) 보안 리더 이안 슈넬러가 CISO의 범위와 위험, 그리고 성공적으로 역할을 수행하는 데 필요한 사항에 대해 이야기했다.
 

1990년대 초 이안 슈넬러가 입사했을 때만 해도 사이버 보안은 이제 막 기업 내에서 하나의 직무로 자리를 잡아가고 있었다. 특수 직무였고, 만약 도입한 경우라면 주로 조직과 고객에 대한 공격을 차단하는 기술적인 역할을 담당했다. 슈넬러는 당시를 “공격자의 끊임없는 공격을 방어하고 조직의 시스템, 정보, 서비스를 보호하는 역할이었다. 대부분 시스템 관리자, 개발자 또는 기술적인 배경을 가진 사람을 통해 발전한 매우 기술적인 직무였다”라고 회상했다.

이후 보안 운영 부문에서 커리어를 쌓은 슈넬러는 현재 HCSC에서 CISO를 맡고 있다. 2023년에는 댈러스CIO(DallasCIO) 오르비 어워드 CISO 부문의 신설 이후 첫 수상자가 돼 회사 전반에서 혁신 업무 환경을 조성하고 민감한 정보와 시스템의 무결성을 유지한 성과를 인정받았다. 한편 슈넬러가 커리어를 쌓는 과정에서 사이버 보안 분야는 진화를 거듭해 왔다. 2017년까지 포춘 500대 기업의 70%가 CISO를 고용했으며, 그 수는 계속 증가하고 있다.

수많은 CISO가 대규모의 정교한 조직을 감독하며 기업의 보안을 위한 모든 활동, 즉 방어의 기술적인 측면을 넘어서는 활동을 관리하고 있다. 기술적인 측면도 여전히 중요하지만, 슈넬러는 “이제 테이블에 판돈을 걸고 게임을 시작하기 위해 베팅해야 하는 단계”라고 묘사했다.

CISO 역할이 얼마나 변화했는지에 대한 슈넬러의 견해를 뒷받침하는 데이터도 있다. 이를테면 최근 스플렁크 설문조사에 따르면 CISO의 86%가 입사 이후 자신의 역할이 너무 많이 바뀌어 거의 다른 직업이 됐다고 답했다.

다음은 슈넬러가 오늘날의 역할을 위해 CISO가 갖춰야 한다고 언급한 5가지 핵심 원칙이다.

1. CISO 역할의 범위를 인식
슈넬러는 오늘날 CISO의 역할이 얼마나 포괄적인지 인식하는 것이 훌륭한 CISO가 되기 위한 첫 번째 원칙이라고 말했다. 초기에는 CISO가 회사와 고객을 보호하기만 하면 됐는데, 이는 혼자서도 충분히 할 수 있는 일이었다. 하지만 오늘날에는 조직을 보호하기 위해 기업 전반의 리더, 그리고 어떤 의미에서는 모든 직원과 협력해야 한다.

슈넬러는 “더 이상 사일로가 아니다. 기업을 보호하는 것은 CISO가 갖춰야 할 능력 중 하나일 뿐이다. 인재를 채용하고, 사이버 보안 투자를 지지하고, 인수를 평가하고, 브랜드를 보호하고, 확장되는 규정 준수를 탐색할 수 있어야 한다. 한마디로 비즈니스 리더가 돼야 하는 것이다”라고 말했다.

2. 책임감 있게 성장
슈넬러의 두 번째 신조인 “책임감 있게 성장하라”는 CISO가 지녀야 할 2가지 태도를 담는다. 먼저 ‘책임감 있게’는 조직을 보호해야 한다는 보다 전통적이고 명백한 태도에 가깝다. 반면 ‘성장’은 CISO의 역할이 진화해 이제 회사의 성장을 이루고 추진해야 할 책임까지 있다는 것을 인정하는 태도다. 

슈넬러는 “조직은 성장하기 위한 수단으로서 혁신에 대해 강한 압박을 받고 있다. 혁신은 고객에게 서비스를 제공할 새로운 기술을 구매하고 통합하는 것일 수 있다. 앱 개발자와 함께 직접 이를 구축하는 것일 수도 있다. 그것이 무엇이든 개발자는 개발해야 한다는 압박을 받고 있다. CISO는 전략이 수립될 때 그 자리에 있어야 한다. 혁신이 왜 필요한지 이해하고 회사가 보안 준비 여부와 관계없이 제품을 배포할 것임을 알아야 한다. 최악은 방해가 되는 경우다. 제품이 출시 준비될 때 보안도 확보돼야 한다”라고 설명했다.

슈넬러는 회의 테이블에 앉는 것이 최소한의 일이라고 말했다. 그만큼 중요한 것은 회사가 어떻게 성장할 것인지 이해하고 사일로를 없애고 보안이 프로세스의 당연한 일부가 되지 않도록 CISO와 다른 리더들을 조율하는 파트너십을 구축하는 일이다. 보안은 전술적이면서 문화가 돼야 한다. 그는 “회사가 새로운 기능을 배포할 준비가 됐을 때, 다른 팀과 공동으로 조율했기 때문에 보안을 유지할 수 있었다”라고 언급했다.

3. 기업 평판 보호
슈넬러의 세 번째 원칙은 균형 잡기에 관한 내용이다. 평판을 보호하거나 애초에 평판을 구축하려면 특히 보안과 관련된 투명성이 필요하다. 그는 보안이 너무 중요해져서 많은 거래에서 보안이 장애물이 되고 있다면서, “특히 B2B 거래에서 이런 이야기를 자주 듣는다. CISO는 보안에 대해 솔직하게 논의할 수 있도록 고객사의 CISO 또는 CIO와 연락해야 한다”라고 말했다.

슈넬러는 여기에 바로 현대의 CISO가 업무의 기술적 측면뿐만 아니라 기업 전체와 비즈니스 활동을 파악해야 하는 이유가 있다고 강조했다. 그는 “그중 가장 큰 부분은 경영진의 존재감, 즉 영향력을 전달하고 다른 이해관계자를 도울 수 있는 실질적인 수단을 갖추는 것이다. 그리고 영업팀 및 법무팀과 적절히 협력해 과장된 약속을 하지 않도록 해야 한다”라고 설명했다.

이때 투명성을 제대로 관리하지 않으면 되려 불리한 상황이 생기기도 한다. 슈넬러는 “이제 전 세계가 기업의 보안 역량을 알고 있다는 사실을 받아들이는 것이 중요하다. 투명성은 악의적인 공격자가 기업 보안 태세를 파악하는 데 유용할 수 있다. 예를 들어 기업의 스코어카드가 있고 이를 공개한 경우, 공격자는 이를 검토해 정보를 파악할 수 있다. 또한 해당 업계가 일반적으로 운영하는 프로토콜을 알고 있을 수도 있다”라고 말했다.

슈넬러는 알지 못하는 것을 방어할 수는 없다면서 어찌됐든 그 이유를 알아야 한다고 말했다. 애초에 악의적인 공격자가 기업을 표적으로 삼는 이유를 파악해야 한다. 방금 유명 고객을 유치했나? 방금 중요한 유동성의 이정표를 지났나? 보안 상자에 체크만 하지 말라. 악당의 입장에서 생각하라.

4. 생태계 보호
이 모든 것의 근간에는 중요한 사실이 있다. 기업의 사이버 보안은 기업 자체의 방어뿐만 아니라 생태계에 속한 모든 사람의 방어에 의존한다는 점이다. 특히 생태계 내의 상당수가 기업 및 고객 정보에 어느 정도 액세스할 수 있다는 점을 고려해야 한다. 슈넬러는 “생태계가 안전하지 않다면 가상 또는 물리적 법률을 벗어난 침해가 회사나 고객에게 직접적인 영향을 미칠 수 있다”라고 말했다. 대표적인 사례로는 2016년 페이스북-케임브리지 애널리티카 정보 유출 사태가 있다. 사태가 진정됐을 때 메타는 거의 60억 달러를 지불했다. 이는 비금전적 피해를 거의 고려하지 않은 금액이다. 오늘날까지도 이 유출 사고가 메타의 브랜드를 괴롭히고 있다. 

본인이 운영하지 않는 회사에 어떻게 영향을 줄 수 있을까? 슈넬러는 여기에서 “집단 방어의 개념이 매우 중요하다. 무역 유틸리티 부문 조직 내에서 어떻게 협력해 부문 전체에 걸쳐 공동으로 방어력을 높일 수 있을까?”라고 말했다. 이를 위해서는 첫 번째 원칙으로 거슬러 올라가야 한다. 다시 말해 CISO가 직무의 기술적 측면을 넘어서는 능력을 갖춰야 하는 이유다.

5. 보안 인재 육성
슈넬러는 사이버 인재에 대한 수요와 공급 사이의 격차를 생각할 것을 권했다. 그는 “모든 종류의 매체를 읽어보라. 수치는 조금씩 다를 수 있지만, 수십만 개는 아니더라도 수만 개의 사이버 일자리가 공석이라는 점에서는 일관된 의견을 내놓는다”라고 말했다. 스태티스타에 따르면 지난해 2월 미국에서만 약 75만 개의 사이버 일자리가 공석이었다. 세계경제포럼에 따르면 전 세계적으로는 약 350만 개에 달하며, 사이버크라임 매거진에 따르면 이 격차가 적어도 2025년까지 지속될 전망이다. 슈넬러가 지적했듯 이는 기업들이 사이버 인재를 유치하는 데 어려움을 겪을 것이며, 전통적인 방식을 벗어나 인재를 찾아야 한다는 의미다.

보안 인재를 유치하는 여러 전략이 있지만, 업무 중요도에 맞게 급여를 조정하고 경력 발전을 위해 명확한 경로를 제공하는 등의 전략은 모두 슈넬러가 강조하는 브랜딩으로 요약된다. 조직은 사이버 보안을 진지하게 받아들이고 있다는 사실을 전달해야 하며, 사이버 보안 인재에게 어려운 문제를 해결하고 경력을 발전시키고 존경받을 수 있는 문화를 제공해 비즈니스 성공에 기여하도록 지원할 것임을 알려야 한다. 사이버 인재가 이를 알고 있을 것이라고 가정해선 안 된다. 슈넬러는 “빅 뱅크의 경우, 사람들은 은행을 사이버 경력을 쌓을 만한 곳으로 여기지 않을 수 있지만 실제로는 대규모 사이버 보안팀이 있을 것”이라고 말했다.

그렇다면 애초에 인재를 어디서 찾을 수 있을까? 전통적인 방식을 벗어나면 어떤 방법이 있을까? 슈넬러는 2가지 리소스를 선호한다고 말했다. 첫 번째는 군대다. 그는 “제대 군인 채용을 지지한다. 제대 군인은 사이버 보안에 대한 많은 훈련과 경험을 갖고 있으며 조직을 위해 큰 일을 할 수 있다”라고 말했다. 많은 비즈니스 리더가 제대 군인의 채용을 긍정적으로 보고 있으며, 소포스(Sophos) 같은 기업에서는 자체적으로 제대 군인 사이버 보안 프로그램을 운영하기도 한다. 미군의 경우 2023년에만 사이버 보안 프로그램에 112억 달러를 투자했다.

두 번째 리소스는 고등학교와 커뮤니티 및 전문 대학이다. 이런 교육 기관은 사이버 보안 분야에서 역량을 발휘하는 데 필요한 기술과 패기를 가진 졸업생을 양성한다. 슈넬러는 이보다 더 중요한 것이 올바른 자격증, 더 일반적으로는 올바른 교육을 통해 재능이 발현되기 전에 이를 형성하고 개발하도록 도움을 주는 것이라고 언급했다. 그는 “CISO들이 지역 대학을 찾아 자문 위원회에 참여하기를 권한다. 커리큘럼을 만들고 학생들을 멘토링하라”라고 말했다.

해를 거듭할수록 사이버 보안은 더 빠르게 발전하고 정교해지고 있다. 악의적 공격자들은 새 취약점을 찾아내고 이를 악용하기 위해 새로운 도구를 사용한다. CISO도 그에 비례해 더 정교하고 복잡해지기 때문에 위의 원칙을 따라야만 조직을 제대로 이끌 수 있을 것이다. 슈넬러는 “CISO는 기업의 리더가 돼야 한다. 회사 전체를 아우를 수 있는 최고 경영진이 돼야 한다”라고 말했다. ciokr@idg.co.kr