HCSC(Health Care Service Corporation) 보안 리더 이안 슈넬러가 CISO의 범위와 위험, 그리고 성공적으로 역할을 수행하는 데 필요한 사항에 대해 이야기했다.
1990년대 초 이안 슈넬러가 입사했을 때만 해도 사이버 보안은 이제 막 기업 내에서 하나의 직무로 자리를 잡아가고 있었다. 특수 직무였고, 만약 도입한 경우라면 주로 조직과 고객에 대한 공격을 차단하는 기술적인 역할을 담당했다. 슈넬러는 당시를 “공격자의 끊임없는 공격을 방어하고 조직의 시스템, 정보, 서비스를 보호하는 역할이었다. 대부분 시스템 관리자, 개발자 또는 기술적인 배경을 가진 사람을 통해 발전한 매우 기술적인 직무였다”라고 회상했다.
이후 보안 운영 부문에서 커리어를 쌓은 슈넬러는 현재 HCSC에서 CISO를 맡고 있다. 2023년에는 댈러스CIO(DallasCIO) 오르비 어워드 CISO 부문의 신설 이후 첫 수상자가 돼 회사 전반에서 혁신 업무 환경을 조성하고 민감한 정보와 시스템의 무결성을 유지한 성과를 인정받았다. 한편 슈넬러가 커리어를 쌓는 과정에서 사이버 보안 분야는 진화를 거듭해 왔다. 2017년까지 포춘 500대 기업의 70%가 CISO를 고용했으며, 그 수는 계속 증가하고 있다.
수많은 CISO가 대규모의 정교한 조직을 감독하며 기업의 보안을 위한 모든 활동, 즉 방어의 기술적인 측면을 넘어서는 활동을 관리하고 있다. 기술적인 측면도 여전히 중요하지만, 슈넬러는 “이제 테이블에 판돈을 걸고 게임을 시작하기 위해 베팅해야 하는 단계”라고 묘사했다.
CISO 역할이 얼마나 변화했는지에 대한 슈넬러의 견해를 뒷받침하는 데이터도 있다. 이를테면 최근 스플렁크 설문조사에 따르면 CISO의 86%가 입사 이후 자신의 역할이 너무 많이 바뀌어 거의 다른 직업이 됐다고 답했다.
다음은 슈넬러가 오늘날의 역할을 위해 CISO가 갖춰야 한다고 언급한 5가지 핵심 원칙이다.
1. CISO 역할의 범위를 인식
슈넬러는 오늘날 CISO의 역할이 얼마나 포괄적인지 인식하는 것이 훌륭한 CISO가 되기 위한 첫 번째 원칙이라고 말했다. 초기에는 CISO가 회사와 고객을 보호하기만 하면 됐는데, 이는 혼자서도 충분히 할 수 있는 일이었다. 하지만 오늘날에는 조직을 보호하기 위해 기업 전반의 리더, 그리고 어떤 의미에서는 모든 직원과 협력해야 한다.
슈넬러는 “더 이상 사일로가 아니다. 기업을 보호하는 것은 CISO가 갖춰야 할 능력 중 하나일 뿐이다. 인재를 채용하고, 사이버 보안 투자를 지지하고, 인수를 평가하고, 브랜드를 보호하고, 확장되는 규정 준수를 탐색할 수 있어야 한다. 한마디로 비즈니스 리더가 돼야 하는 것이다”라고 말했다.
2. 책임감 있게 성장
슈넬러의 두 번째 신조인 “책임감 있게 성장하라”는 CISO가 지녀야 할 2가지 태도를 담는다. 먼저 ‘책임감 있게’는 조직을 보호해야 한다는 보다 전통적이고 명백한 태도에 가깝다. 반면 ‘성장’은 CISO의 역할이 진화해 이제 회사의 성장을 이루고 추진해야 할 책임까지 있다는 것을 인정하는 태도다.
슈넬러는 “조직은 성장하기 위한 수단으로서 혁신에 대해 강한 압박을 받고 있다. 혁신은 고객에게 서비스를 제공할 새로운 기술을 구매하고 통합하는 것일 수 있다. 앱 개발자와 함께 직접 이를 구축하는 것일 수도 있다. 그것이 무엇이든 개발자는 개발해야 한다는 압박을 받고 있다. CISO는 전략이 수립될 때 그 자리에 있어야 한다. 혁신이 왜 필요한지 이해하고 회사가 보안 준비 여부와 관계없이 제품을 배포할 것임을 알아야 한다. 최악은 방해가 되는 경우다. 제품이 출시 준비될 때 보안도 확보돼야 한다”라고 설명했다.
슈넬러는 회의 테이블에 앉는 것이 최소한의 일이라고 말했다. 그만큼 중요한 것은 회사가 어떻게 성장할 것인지 이해하고 사일로를 없애고 보안이 프로세스의 당연한 일부가 되지 않도록 CISO와 다른 리더들을 조율하는 파트너십을 구축하는 일이다. 보안은 전술적이면서 문화가 돼야 한다. 그는 “회사가 새로운 기능을 배포할 준비가 됐을 때, 다른 팀과 공동으로 조율했기 때문에 보안을 유지할 수 있었다”라고 언급했다.
3. 기업 평판 보호
슈넬러의 세 번째 원칙은 균형 잡기에 관한 내용이다. 평판을 보호하거나 애초에 평판을 구축하려면 특히 보안과 관련된 투명성이 필요하다. 그는 보안이 너무 중요해져서 많은 거래에서 보안이 장애물이 되고 있다면서, “특히 B2B 거래에서 이런 이야기를 자주 듣는다. CISO는 보안에 대해 솔직하게 논의할 수 있도록 고객사의 CISO 또는 CIO와 연락해야 한다”라고 말했다.
슈넬러는 여기에 바로 현대의 CISO가 업무의 기술적 측면뿐만 아니라 기업 전체와 비즈니스 활동을 파악해야 하는 이유가 있다고 강조했다. 그는 “그중 가장 큰 부분은 경영진의 존재감, 즉 영향력을 전달하고 다른 이해관계자를 도울 수 있는 실질적인 수단을 갖추는 것이다. 그리고 영업팀 및 법무팀과 적절히 협력해 과장된 약속을 하지 않도록 해야 한다”라고 설명했다.
이때 투명성을 제대로 관리하지 않으면 되려 불리한 상황이 생기기도 한다. 슈넬러는 “이제 전 세계가 기업의 보안 역량을 알고 있다는 사실을 받아들이는 것이 중요하다. 투명성은 악의적인 공격자가 기업 보안 태세를 파악하는 데 유용할 수 있다. 예를 들어 기업의 스코어카드가 있고 이를 공개한 경우, 공격자는 이를 검토해 정보를 파악할 수 있다. 또한 해당 업계가 일반적으로 운영하는 프로토콜을 알고 있을 수도 있다”라고 말했다.
슈넬러는 알지 못하는 것을 방어할 수는 없다면서 어찌됐든 그 이유를 알아야 한다고 말했다. 애초에 악의적인 공격자가 기업을 표적으로 삼는 이유를 파악해야 한다. 방금 유명 고객을 유치했나? 방금 중요한 유동성의 이정표를 지났나? 보안 상자에 체크만 하지 말라. 악당의 입장에서 생각하라.
4. 생태계 보호
이 모든 것의 근간에는 중요한 사실이 있다. 기업의 사이버 보안은 기업 자체의 방어뿐만 아니라 생태계에 속한 모든 사람의 방어에 의존한다는 점이다. 특히 생태계 내의 상당수가 기업 및 고객 정보에 어느 정도 액세스할 수 있다는 점을 고려해야 한다. 슈넬러는 “생태계가 안전하지 않다면 가상 또는 물리적 법률을 벗어난 침해가 회사나 고객에게 직접적인 영향을 미칠 수 있다”라고 말했다. 대표적인 사례로는 2016년 페이스북-케임브리지 애널리티카 정보 유출 사태가 있다. 사태가 진정됐을 때 메타는 거의 60억 달러를 지불했다. 이는 비금전적 피해를 거의 고려하지 않은 금액이다. 오늘날까지도 이 유출 사고가 메타의 브랜드를 괴롭히고 있다.
본인이 운영하지 않는 회사에 어떻게 영향을 줄 수 있을까? 슈넬러는 여기에서 “집단 방어의 개념이 매우 중요하다. 무역 유틸리티 부문 조직 내에서 어떻게 협력해 부문 전체에 걸쳐 공동으로 방어력을 높일 수 있을까?”라고 말했다. 이를 위해서는 첫 번째 원칙으로 거슬러 올라가야 한다. 다시 말해 CISO가 직무의 기술적 측면을 넘어서는 능력을 갖춰야 하는 이유다.
5. 보안 인재 육성
슈넬러는 사이버 인재에 대한 수요와 공급 사이의 격차를 생각할 것을 권했다. 그는 “모든 종류의 매체를 읽어보라. 수치는 조금씩 다를 수 있지만, 수십만 개는 아니더라도 수만 개의 사이버 일자리가 공석이라는 점에서는 일관된 의견을 내놓는다”라고 말했다. 스태티스타에 따르면 지난해 2월 미국에서만 약 75만 개의 사이버 일자리가 공석이었다. 세계경제포럼에 따르면 전 세계적으로는 약 350만 개에 달하며, 사이버크라임 매거진에 따르면 이 격차가 적어도 2025년까지 지속될 전망이다. 슈넬러가 지적했듯 이는 기업들이 사이버 인재를 유치하는 데 어려움을 겪을 것이며, 전통적인 방식을 벗어나 인재를 찾아야 한다는 의미다.
보안 인재를 유치하는 여러 전략이 있지만, 업무 중요도에 맞게 급여를 조정하고 경력 발전을 위해 명확한 경로를 제공하는 등의 전략은 모두 슈넬러가 강조하는 브랜딩으로 요약된다. 조직은 사이버 보안을 진지하게 받아들이고 있다는 사실을 전달해야 하며, 사이버 보안 인재에게 어려운 문제를 해결하고 경력을 발전시키고 존경받을 수 있는 문화를 제공해 비즈니스 성공에 기여하도록 지원할 것임을 알려야 한다. 사이버 인재가 이를 알고 있을 것이라고 가정해선 안 된다. 슈넬러는 “빅 뱅크의 경우, 사람들은 은행을 사이버 경력을 쌓을 만한 곳으로 여기지 않을 수 있지만 실제로는 대규모 사이버 보안팀이 있을 것”이라고 말했다.
그렇다면 애초에 인재를 어디서 찾을 수 있을까? 전통적인 방식을 벗어나면 어떤 방법이 있을까? 슈넬러는 2가지 리소스를 선호한다고 말했다. 첫 번째는 군대다. 그는 “제대 군인 채용을 지지한다. 제대 군인은 사이버 보안에 대한 많은 훈련과 경험을 갖고 있으며 조직을 위해 큰 일을 할 수 있다”라고 말했다. 많은 비즈니스 리더가 제대 군인의 채용을 긍정적으로 보고 있으며, 소포스(Sophos) 같은 기업에서는 자체적으로 제대 군인 사이버 보안 프로그램을 운영하기도 한다. 미군의 경우 2023년에만 사이버 보안 프로그램에 112억 달러를 투자했다.
두 번째 리소스는 고등학교와 커뮤니티 및 전문 대학이다. 이런 교육 기관은 사이버 보안 분야에서 역량을 발휘하는 데 필요한 기술과 패기를 가진 졸업생을 양성한다. 슈넬러는 이보다 더 중요한 것이 올바른 자격증, 더 일반적으로는 올바른 교육을 통해 재능이 발현되기 전에 이를 형성하고 개발하도록 도움을 주는 것이라고 언급했다. 그는 “CISO들이 지역 대학을 찾아 자문 위원회에 참여하기를 권한다. 커리큘럼을 만들고 학생들을 멘토링하라”라고 말했다.
해를 거듭할수록 사이버 보안은 더 빠르게 발전하고 정교해지고 있다. 악의적 공격자들은 새 취약점을 찾아내고 이를 악용하기 위해 새로운 도구를 사용한다. CISO도 그에 비례해 더 정교하고 복잡해지기 때문에 위의 원칙을 따라야만 조직을 제대로 이끌 수 있을 것이다. 슈넬러는 “CISO는 기업의 리더가 돼야 한다. 회사 전체를 아우를 수 있는 최고 경영진이 돼야 한다”라고 말했다. ciokr@idg.co.kr
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다.
동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다.
무료 VPN, 정말 괜찮을까?
무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다.
보안 우려
대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다.
속도와 대역폭 제한
무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다.
서비스 제한
무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다.
광고 및 추적
일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다.
제한된 기능
무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다.
유료 VPN의 필요성
최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다.
그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다.
보안 강화
해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다.
개인 정보 보호
인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다.
지역 제한 해제
해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다.
빠르고 안전한 유료 VPN, 서프샤크 VPN
뛰어난 보안
서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다.
다양한 서버 위치
서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다.
속도와 대역폭
서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다.
다양한 플랫폼 지원
서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다.
디바이스 무제한 연결
서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.