[보안뉴스 문가용 기자] 요즘 슬금슬금 눈에 많이 보이기 시작하는 최고 제품 보안 책임자(chief product security officer, CPSO)는 도대체 무엇을 하는 사람일까? 어떤 기업에 이 CPSO라는 자리가 필요할까?
[이미지 = utoimage]
보안 업체 디지털 셰도우즈(Digital Shadows)의 수석 사이버 위협 첩보 분석가인 션 니켈(Sean Nikkel)은 “최근 미국 백악관에서 정부 기관과 민간 기업 사이의 협력을 강조하는 분위기”라며 “이 때문에 전통적인 의미의 사이버 보인 직무가 계속 바뀌고 새로운 직책이 늘어날 것”이라고 운을 뗀다. 앞으로 새로운 역할을 하는 보안 담당자 및 책임자가 요구될 가능성을 예측하는 말이다.
“CPSO는 가장 간단히 말해 개발자와 보안 담당자의 사이를 이어주는 사람입니다. 단순 중개를 넘어 기업의 철학과 기본 밑바탕이 되는 워크플로우의 변화까지도 이끌어 내야 하는 역할을 맡고 있죠. 물론 조직을 통째로 뒤집으면서 필요 없는 변화까지 야기할 필요는 없지만, 단순히 시큐어 코딩만 개발자들에게 닦달하는 역할은 넘어서야 한다는 겁니다.”
컴퓨터 프로그래밍을 주특기로 가지고 있는 개발자들이지만 의외로 ‘정보 보안’과는 거리가 먼 경우가 많다. 코딩을 할 줄 안다고 보안 전문가가 되는 건 아니라는 뜻이다. 반대로 보안을 잘 안다고 해서 피아노 치듯 코딩을 하는 것도 아니다. 니켈은 “CPSO는 현재 보안과 개발의 간극을 메워야 하는 꼭 필요한 역할이긴 하나 개발과 보안 양쪽의 역량을 고루 갖추고 있는 사람을 찾는 게 쉽지 않을 것”이라고 말한다. “양쪽 역량에 더해 기업의 사업 방향에 맞춰 전략적으로 사고할 수도 있어야 합니다.”
니켈은 “애플리케이션과 온라인 서비스를 제공하는 모든 기업들이라면 앞으로 CPSO의 역할을 수행하는 사람을 점점 더 필요로 할 것”이라고 말한다. “지금 이 시점에서 ‘정보 보안’의 화두는 개발자들입니다. 공격자들이 공급망을 공략하기 시작했기 때문입니다. 개발자들이야말로 소프트웨어 공급망의 가장 중요한 구성 요소죠. 개발자가 안전하고 개발자가 보안 인식을 갖춰야 프로그램들이 안전해지고 공급망이 안전해집니다. 지난 수십년 동안 간과되어 왔기 때문에 우리의 공급망은 매우 부서지기 쉬운 상태입니다.”
그러면 CPSO와 CISO 혹은 CSO는 어떤 차이를 가지고 있을까? 니켈은 “간략히 설명하자면 둘 다 보안 전문가인데 CPSO는 개발 쪽에 전문화 되어 있고 CISO나 CSO는 전체 보안 아키텍처 구성에 더 특화된 사람”이라고 요약한다. “개발 팀에 있어 CISO는 약간은 뜬구름 잡는 이야기를 하는 사람이었어요. 정책, 법안, 사업적 리스크 등을 이야기 하니까요. 개발자들의 입장에서, 개발자들이 알아듣는 언어로 보안을 이야기 하는 사람이 필요한데, 그게 CPSO입니다.”
CPSO는 비교적 새롭게 생겨나고 있는 보안 분야의 역할이다. 따라서 어느 정도의 위치에 있어야 할지, 누구 밑에서 일하고 어느 정도의 권한을 가져야 할지는 정해지지 않았다. 아직은 조직마다 자유롭게 CPSO를 임명해, 필요에 따라 유연하게 운영할 수 있다. 니켈은 “솔직히 CPSO라는 타이틀이 좀 무거워 보이긴 하는데, 아직은 얽매일 필요가 없다”고 강조하며 “자리를 확보해 역할을 맡기는 게 장기적으론 도움이 될 것”이라고 권고했다.
3줄 요약
1. 미국에서 최근 들어 생겨나고 있는 새로운 보안 담당자, CPSO.
2. 개발자와 보안 사이의 간극을 메우고 연결하는 역할을 담당
3. 현재 정보 보안의 가장 큰 화두는 소프트웨어 공급망과 개발자.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>