보안은 서비스여야 한다고 예전부터 강조해오던 IBM시큐리티의 맥커디 부사장이 한국을 찾았다. 오랜 보안 컨설턴트로서 그가 왜 그런 결론을 내리게 됐는지 물었다.
[보안뉴스 문가용 기자] 보안 업체 IBM시큐리티(IBM Security)의 부사장 크리스 맥커디(Chris McCurdy)가 ISEC 2023을 방문했다. 평소 ‘보안은 서비스다’라는 점을 강조해왔던 그가 현장에서 판매하려는 것은 무엇일까 궁금하지 않을 수 없었다.
▲크리스 맥커디 IBM시큐리티(IBM Security) 부사장[사진= 보안뉴스]
보안뉴스 : 보안 제품을 파는 것과 보안을 서비스하는 것은 다른 건가?
맥커디 부사장: 서비스가 더 큰 개념이다. 보다 통합적으로 보안을 강화시켜주는 것이 ‘보안 서비스’라고 생각한다. 그러려면 먼저 고객의 현재 상태와 환경을 면밀히 조사할 필요가 있다. 각 고객사가 어떤 위협에 직면해 있고, 어떤 필요를 가지고 있는지, 또한 보안 성숙도가 어느 정도 수준에 있는지를 파악해야 구체적인 할 일을 결정할 수 있다. 그 구체적인 할 일 중 하나가 솔루션 구매일 수 있지만, 반드시 그런 건 아니다.
마치 의사가 환자를 먼저 진찰한 후에 치료 방법을 정하는 것과 같은데, 의외로 아직 솔루션도 개발하고 진단 및 상담 기능까지 갖춘 보안 업체가 많지 않다. 보통은 둘 중 하나만 한다. 고객 환경에 대한 조사가 끝나면 어디서부터 보안을 강화할 수 있을지가 정해진다. 맞춤형 솔루션이 들어가는 것이다. 물론 IBM시큐리티 측에서 일방적으로 처방을 하는 건 아니고 고객의 재무 및 사업 상황에 맞춰 최적의 방법을 찾아내려 한다.
보안뉴스 : 한국에서도 보안 컨설턴트가 되고자 하는 학생들이 많이 있다. 약간의 쏠림 현상이 나타날 정도로 컨설팅을 선호하기 때문에, 좀 더 균형잡힌 육성이 필요하다는 소리도 나오고 있다. 실제 컨설턴트로서 활동한다는 건 어떤 느낌인가?
맥커디 부사장: 사실 지금 보안 분야 전체적으로 인재가 부족하기 때문에 한 사람이라도 보안 분야로 들어오는 게 중요하다고 생각한다. 보안은 대단히 넓은 분야다. 얼마든지 수용할 수 있다. 또한 다양한 기술과 실력을 갖춘 다양한 사람들이 필요한 상황이다.
개인적으로 보안 컨설턴트는 보안 전문가와 사업가 기질을 고루 발휘할 수 있어야 한다고 생각한다. 처음부터 그런 사람이 컨설턴트가 된다기보다, 컨설턴트가 되면 양쪽 모두를 육성시킬 수밖에 없게 된다. 고객의 목적은 안전 그 자체가 아니라 ‘안전한 사업 행위’이기 때문이다. 이 필요를 맞추려면 보안 전문가가 사업적 감각도 갖추어야 한다.
그러므로 컨설턴트가 그냥 앉아서 이야기만 하는 그런 사람이 아니다. 고객의 사정을 깊이 있게 들여다보고 이해하기 위해 여러 가지 탐구 행위를 실시해야 한다. 고객들이 미처 다 표현하지 못하거나 알지 못하는 위협들과 리스크를 미리 파악할 수 있어야 하고, 그것을 바탕으로 고객의 필요를 뛰어넘는 제안을 할 수 있어야 한다. 말을 잘하는 것보다 잘 듣는 게 더 중요하고, 더 어렵다.
보안뉴스 : 컨설턴트로서 다양한 기업과 담당자들을 만날 텐데, 일반 사용자들의 보안 인식 수준이 어느 정도인가? 각종 자료들에서 말하는 것처럼 정말로 많이 성숙해 있는가?
맥커디 부사장: 대부분의 기업들이 크고 작은 보안 사고를 한 번씩은 겪어보았다. 그렇기 때문에 보안의 중요성은 인지하고 있다. 다만 보안이 중요하다고 느끼는 것과, 실제로 사고에 대응할 준비를 갖추고 있는 것은 다른 이야기다. 사실 많은 기업들이 대응력이라는 측면에서는 부실하다. 사건 대응 계획을 마련해야 한다는 생각조차 하지 못하고 있거나, 계획이 있더라도 너무 낡았거나, 모의 훈련을 통해 확인해보지 않았기 때문이다.
‘보안이 중요하다’는 걸 설득할 시점은 넘어선 상황이다. 그 정도는 다 알고 있다. 이제는 사건이 발생할 때를 대비해 미리 대응 시나리오를 마련하고 그것을 주기적으로 시험하고 훈련해서 가다듬어야 할 때라는 걸 주지시켜야 하는 시기이다. 모두가 보안에 참여한다는 것에 아직은 거부감들이 남아 있다. 보안 담당자나 보안 베너사가 할 일이라는 인식이 많다. 조직 내 모든 사람이 사건 대응에 참여해야 손해가 줄어든다는 걸 설득하는 게 지금은 관건이다.
보안뉴스 : ‘설득’이라는 말이 나온 김에 ‘스토리텔링’에 대해 얘기해 보자. 보안 업계는 늘 무시무시한 사건의 사례들을 나열하여 사용자들에게 겁을 주는 방식으로 보안의 중요성을 강조해 왔다. 이게 너무 오래 되니까 사용자들은 피곤함을 느낀다. 설득의 방식이 바뀌어야 하지 않을까?
맥커디 부사장: 그런 방향에서 오랜 시간 이야기를 해온 것이 사실이다. 그 이야기를 계속 해온 덕분에 대부분의 사람들이 보안이 중요하다는 것까지는 인정하고 있다. 이제 다음 이야기를 할 차례다. 공포심을 조장하는 전략이 통할 시기는 지났다. 그 다음은 ‘보안이 기업의 성장 동력’이라는 메시지를 전파해야 한다. 그렇기에 모두가 보안에 참여해야 한다고 강조해야 한다. 모든 임직원이 회사의 사업을 위해 각자의 역할을 하며 매일 근무하지 않는가? 그런 것처럼 보안도 사업의 확장과 증대를 위해 꼭 있어야 하는 요소라는 걸 알릴 필요가 있다.
이런 인식이 어느 정도 정착할 때 즈음이면 조직 내 CISO의 역할이 보다 커질 것이다. 조금 더 많은 책임과 권한을 갖고 있는 리더가 될 거라고 예상하고 있다. 자연스레 보안 조직의 목소리도 커질 것이고, 예산을 배정하는 데 있어 점점 더 높은 순위에 오를 것이라고 본다.
컨설턴트로서 이런 문화적 변화의 씨앗을 고객들 안에 심으려고 하는 편이다. 그것이 장기적으로 조직을 더 탄탄하게 만드는 길이라고 보고 있기 때문이다. 참여하는 사람들의 마음가짐이 바뀌지 않는다면 보안이라는 거대한 여정을 함께 가기 힘들고, 결실을 맺기도 힘들다. 그런 맥락에서 ‘보안이 서비스’라는 건 고객과의 장기적 파트너십을 통한 내실 다짐을 추구하는 접근법이라고도 말할 수 있겠다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 보안 업체 IBM시큐리티(IBM Security)의 부사장 크리스 맥커디(Chris McCurdy)가 ISEC 2023을 방문했다. 평소 ‘보안은 서비스다’라는 점을 강조해왔던 그가 현장에서 판매하려는 것은 무엇일까 궁금하지 않을 수 없었다.
▲크리스 맥커디 IBM시큐리티(IBM Security) 부사장[사진= 보안뉴스]
보안뉴스 : 보안 제품을 파는 것과 보안을 서비스하는 것은 다른 건가?
맥커디 부사장: 서비스가 더 큰 개념이다. 보다 통합적으로 보안을 강화시켜주는 것이 ‘보안 서비스’라고 생각한다. 그러려면 먼저 고객의 현재 상태와 환경을 면밀히 조사할 필요가 있다. 각 고객사가 어떤 위협에 직면해 있고, 어떤 필요를 가지고 있는지, 또한 보안 성숙도가 어느 정도 수준에 있는지를 파악해야 구체적인 할 일을 결정할 수 있다. 그 구체적인 할 일 중 하나가 솔루션 구매일 수 있지만, 반드시 그런 건 아니다.
마치 의사가 환자를 먼저 진찰한 후에 치료 방법을 정하는 것과 같은데, 의외로 아직 솔루션도 개발하고 진단 및 상담 기능까지 갖춘 보안 업체가 많지 않다. 보통은 둘 중 하나만 한다. 고객 환경에 대한 조사가 끝나면 어디서부터 보안을 강화할 수 있을지가 정해진다. 맞춤형 솔루션이 들어가는 것이다. 물론 IBM시큐리티 측에서 일방적으로 처방을 하는 건 아니고 고객의 재무 및 사업 상황에 맞춰 최적의 방법을 찾아내려 한다.
보안뉴스 : 한국에서도 보안 컨설턴트가 되고자 하는 학생들이 많이 있다. 약간의 쏠림 현상이 나타날 정도로 컨설팅을 선호하기 때문에, 좀 더 균형잡힌 육성이 필요하다는 소리도 나오고 있다. 실제 컨설턴트로서 활동한다는 건 어떤 느낌인가?
맥커디 부사장: 사실 지금 보안 분야 전체적으로 인재가 부족하기 때문에 한 사람이라도 보안 분야로 들어오는 게 중요하다고 생각한다. 보안은 대단히 넓은 분야다. 얼마든지 수용할 수 있다. 또한 다양한 기술과 실력을 갖춘 다양한 사람들이 필요한 상황이다.
개인적으로 보안 컨설턴트는 보안 전문가와 사업가 기질을 고루 발휘할 수 있어야 한다고 생각한다. 처음부터 그런 사람이 컨설턴트가 된다기보다, 컨설턴트가 되면 양쪽 모두를 육성시킬 수밖에 없게 된다. 고객의 목적은 안전 그 자체가 아니라 ‘안전한 사업 행위’이기 때문이다. 이 필요를 맞추려면 보안 전문가가 사업적 감각도 갖추어야 한다.
그러므로 컨설턴트가 그냥 앉아서 이야기만 하는 그런 사람이 아니다. 고객의 사정을 깊이 있게 들여다보고 이해하기 위해 여러 가지 탐구 행위를 실시해야 한다. 고객들이 미처 다 표현하지 못하거나 알지 못하는 위협들과 리스크를 미리 파악할 수 있어야 하고, 그것을 바탕으로 고객의 필요를 뛰어넘는 제안을 할 수 있어야 한다. 말을 잘하는 것보다 잘 듣는 게 더 중요하고, 더 어렵다.
보안뉴스 : 컨설턴트로서 다양한 기업과 담당자들을 만날 텐데, 일반 사용자들의 보안 인식 수준이 어느 정도인가? 각종 자료들에서 말하는 것처럼 정말로 많이 성숙해 있는가?
맥커디 부사장: 대부분의 기업들이 크고 작은 보안 사고를 한 번씩은 겪어보았다. 그렇기 때문에 보안의 중요성은 인지하고 있다. 다만 보안이 중요하다고 느끼는 것과, 실제로 사고에 대응할 준비를 갖추고 있는 것은 다른 이야기다. 사실 많은 기업들이 대응력이라는 측면에서는 부실하다. 사건 대응 계획을 마련해야 한다는 생각조차 하지 못하고 있거나, 계획이 있더라도 너무 낡았거나, 모의 훈련을 통해 확인해보지 않았기 때문이다.
‘보안이 중요하다’는 걸 설득할 시점은 넘어선 상황이다. 그 정도는 다 알고 있다. 이제는 사건이 발생할 때를 대비해 미리 대응 시나리오를 마련하고 그것을 주기적으로 시험하고 훈련해서 가다듬어야 할 때라는 걸 주지시켜야 하는 시기이다. 모두가 보안에 참여한다는 것에 아직은 거부감들이 남아 있다. 보안 담당자나 보안 베너사가 할 일이라는 인식이 많다. 조직 내 모든 사람이 사건 대응에 참여해야 손해가 줄어든다는 걸 설득하는 게 지금은 관건이다.
보안뉴스 : ‘설득’이라는 말이 나온 김에 ‘스토리텔링’에 대해 얘기해 보자. 보안 업계는 늘 무시무시한 사건의 사례들을 나열하여 사용자들에게 겁을 주는 방식으로 보안의 중요성을 강조해 왔다. 이게 너무 오래 되니까 사용자들은 피곤함을 느낀다. 설득의 방식이 바뀌어야 하지 않을까?
맥커디 부사장: 그런 방향에서 오랜 시간 이야기를 해온 것이 사실이다. 그 이야기를 계속 해온 덕분에 대부분의 사람들이 보안이 중요하다는 것까지는 인정하고 있다. 이제 다음 이야기를 할 차례다. 공포심을 조장하는 전략이 통할 시기는 지났다. 그 다음은 ‘보안이 기업의 성장 동력’이라는 메시지를 전파해야 한다. 그렇기에 모두가 보안에 참여해야 한다고 강조해야 한다. 모든 임직원이 회사의 사업을 위해 각자의 역할을 하며 매일 근무하지 않는가? 그런 것처럼 보안도 사업의 확장과 증대를 위해 꼭 있어야 하는 요소라는 걸 알릴 필요가 있다.
이런 인식이 어느 정도 정착할 때 즈음이면 조직 내 CISO의 역할이 보다 커질 것이다. 조금 더 많은 책임과 권한을 갖고 있는 리더가 될 거라고 예상하고 있다. 자연스레 보안 조직의 목소리도 커질 것이고, 예산을 배정하는 데 있어 점점 더 높은 순위에 오를 것이라고 본다.
컨설턴트로서 이런 문화적 변화의 씨앗을 고객들 안에 심으려고 하는 편이다. 그것이 장기적으로 조직을 더 탄탄하게 만드는 길이라고 보고 있기 때문이다. 참여하는 사람들의 마음가짐이 바뀌지 않는다면 보안이라는 거대한 여정을 함께 가기 힘들고, 결실을 맺기도 힘들다. 그런 맥락에서 ‘보안이 서비스’라는 건 고객과의 장기적 파트너십을 통한 내실 다짐을 추구하는 접근법이라고도 말할 수 있겠다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
