.gif)
현대 IT 기술과 관련된 상황이 너무나 급박하게 변하고 있어 CIO와 CISO가 손을 맞잡을 수밖에 없게 됐다. 어느 새 기업들은 IT와 보안에 대한 높은 이해도가 요구되는 시대로 빠르게 접어들었다.
[보안뉴스 문정후 기자] 해가 거듭될수록 보안과 규정 중수의 중요성은 더 강력해지고 있다. 보안과 관련된 문제들과 각종 공격 기법들은 계속해서 진화하고 있으며, 따라서 기업들은 각종 위협에 대처할 수 있게 해주는 솔루션들을 계속해서 요구하고 있다. 그럼에도 문제들은 쉬이 해결되지 않고 있으며, 그 중에서도 랜섬웨어가 많은 기업들을 두렵게 한다. 이러한 상황이기에 그 어느 때보다 CIO와 CISO들의 역할이 큰 비중을 차지하게 되며, 특히나 둘의 효과적인 협력이 요구되고 있다.
[이미지 = gettyimagesbank]
그렇기에 어떤 조직이든 불문하고 사이버 위협에 대응하기 위해서라면 CIO와 CISO의 관계와 역할 배분 상황을 점검하는 것이 급선무다. 술 한 상 차려놓고 둘의 사이를 좋게 만들라는 것이 아니라, 긴급 상황이 발생했을 때 둘의 최대한 효율적으로, 그리고 협조적으로 대처할 수 있도록 미리 할 일을 배정하고, 필요하다면 상하 관계를 재정립하라는 것이다. 둘이 시너지를 내면 낼수록 보안과 규정 준수는 사소한 문제가 되고, 반대의 경우라면 사소한 문제도 커지게 된다.
그렇다면 둘은 어떻게 해야 시너지를 낼 수 있을까? 먼저는 CIO와 CISO가 각기 독립된 팀으로서 활동해야 한다. 각자의 권한과 영역을 분명하게 구분 짓는 것부터가 화합의 시작이라는 것이다. 다만 둘이 공동의 목표와 로드맵을 가지고는 있어야 한다. 회사 전체가 나아가는 방향에 있어서 같은 이해도를 가지고 있어야 각자의 영역을 더 존중해 줄 수 있기 때문이다. 사이버 사건 대응이라는 측면에 있어서는 주로 CISO가 기업 차원의 침해 대응 전략을 설계하고, CIO는 이 전략이 기술적으로 잘 수행될 수 있도록 지원하는 역할을 담당한다.
CIO와 CISO의 역할과 책임
강력한 보안 전략 및 랜섬웨어 방어 대책을 수립하는 데에는 여러 가지 방법론이 존재한다. 그 중 하나는 CIO와 CISO가 다른 무엇보다 두 가지를 최우선 목표로 두고 역량을 모으는 것이다. 바로 ‘규정 준수’와 ‘보안 위생 향상’이다. 이 두 가지를 평소에 강화시켜두면 나중에 큰 자산이 된다는 걸 느낄 수 있을 것이다. 기본적으로 해야 할 숙제는 마쳤다는 자신감이 조직 전체에 흐르게 된다.
일반적인 상황에서 CISO는 회사 전체의 보안을 책임지는 사람이고 CIO는 기술 혁신과 도입, 구축을 책임지는 사람이다. 보안 전략을 완성시켜 회사에 적용하고, 사건 발생 시 대처하는 과정에서 CISO는 큰 그림을 그리는 사람, CIO는 기술적으로 이를 구현하는 사람이다. 물론 이게 무슨 교과서 정답처럼 딱 정해진 건 아니다. 조직의 상황에 따라 얼마든지 달라질 수 있다. 어떤 곳에서는 CISO가 보안 솔루션의 기술적 구축을 책임져야 할 수도 있고, CIO들이 IT와 관련된 큰 전략을 담당해야 할 수도 있다. 작은 조직에서는 CISO나 CIO가 둘 다 하기도 한다.
중요한 건 CISO가 기술과 리더십, 관리라는 분야에 있어서 분명한 이해도를 갖추는 것이다. 보안에 관해서만이 아니라 회사가 매일 어떤 일을 반복적으로 끊임없이 해내며 어떤 서비스를 계속해서 제공하는지를 알고 있어야 한다. 동시에 각 부서와 기능의 주요 인물들과도 좋은 관계를 유지해야 한다. 그렇지 않으면 조직의 보안 강화를 책임지기가 어렵게 된다. CIO들 역시 마찬가지인데 이들은 각종 업무와 생산에 적용되는 신기술(자동화, 인공지능, 데이터 분석 등)의 측면에서 학습을 이어가는 게 중요하다. 그래야 CIO의 시각에서 사업적 혁신을 이뤄갈 수 있는 통찰을 얻을 수 있게 된다.
오늘날의 침투 경로 이해하기
최근 진행된 한 조사에 의하면 85%의 조직들이 지난 1년 동안 최소 한 건의 사이버 공격에 당했다고 한다. 2022년 한 해 동안 사이버 공격에 당해본 경험을 가진 조직은 76%였다. 흥미로운 건 사이버 공격에 공동으로 대응해야 하는 CIO의 팀과 CISO의 팀이 대부분 상호 팀간 협력 관계에 대해 불만이 많은 것으로 조사됐다는 것이다. 특히 랜섬웨어 사건이 벌어졌을 때, 복구나 협상, 사업 유지와 브랜드 이미지 회복 등과 같은 부분의 전략을 짤 때 의견 차이가 많이 생기는 것으로 나타났다.
사이버 공격에 당하는 조직들의 수가 늘어나고 있는 것은 어쩌면 CISO와 CIO의 합이 잘 맞지 않아서일지도 모른다. 변화가 요구되는 것은, 최근 생성형 인공지능 등 각종 IT 신기술이 등장하면서 보안 위협이 더 커졌기 때문이다. 이런 기술들의 등장으로 보안은 더 복잡하고 힘든 일이 되어가고 있으며, 따라서 IT 기술에 대해 잘 아는 CIO와 보안에 대해 잘 아는 CISO가 머리를 맞댈 수밖에 없는 상황이 되어가는 중이다. 이 둘의 협력 관계가 기업 전체의 리질리언스를 결정한다고 해도 과언이 아니다.
그렇기 때문에 위협을 빠르게 탐지하고, 그에 맞는 대응을 해가는 데 있어 CIO와 CISO가 공동으로 책임을 가져가야 할 일이 많아지고 있다. 싫든 좋든 공격이 자꾸만 신기술과 관련된 통로로 들어오기 때문에 CIO와 CISO가 같이 준비를 하고 대응을 해야 한다는 것이다. 반대로 CISO도 신기술이 가진 혁신의 잠재성을 이해하고, 그에 맞는 보안 전략을 마련하여 조직이 혁신을 원활하고 안전하게 이어갈 수 있도록 지원해야 한다.
둘이 공동으로 해결해가야 할 일은 많다. 랜섬웨어 공격자들이 자꾸만 백업 시스템마저 마비시키는 상황이니, CISO와 CIO가 함께 안전한 백업 시스템을 마련해야 한다. 뿐만 아니라 인공지능 훈련 데이터를 오염시키는 시도들이 빈번해지고 있으니 둘이 함께 데이터 무결성 유지 방법을 고안해야 한다. 물론 앞서 말한 숙제들, 즉 규정 준수와 보안 위생 상태를 향상시킨 후에 말이다.
여태껏 CIO와 CISO들은 서로 완전히 다른 삶을 살아왔다. 심지어 서로를 껄끄러워하던 것도 사실이다. 그러나 이제 그 먼 관계를 가까이 이어붙여야 할 때가 됐다. 혁신을 통한 사업 확장과 보안 강화를 통한 안전 보장이 동시에 이뤄져야 하기 때문이다. 한 번에 되지는 않을 것이다. 여러 번 시도하고, 시행착오를 겪어야 할 지 모른다. 다소 울퉁불퉁한 길이 앞에 펼쳐져 있지만 거기가 맞는 방향이다.
글 : 네이트 커츠(Nate Kurtz), CIO, Veeam
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 해가 거듭될수록 보안과 규정 중수의 중요성은 더 강력해지고 있다. 보안과 관련된 문제들과 각종 공격 기법들은 계속해서 진화하고 있으며, 따라서 기업들은 각종 위협에 대처할 수 있게 해주는 솔루션들을 계속해서 요구하고 있다. 그럼에도 문제들은 쉬이 해결되지 않고 있으며, 그 중에서도 랜섬웨어가 많은 기업들을 두렵게 한다. 이러한 상황이기에 그 어느 때보다 CIO와 CISO들의 역할이 큰 비중을 차지하게 되며, 특히나 둘의 효과적인 협력이 요구되고 있다.
[이미지 = gettyimagesbank]
그렇기에 어떤 조직이든 불문하고 사이버 위협에 대응하기 위해서라면 CIO와 CISO의 관계와 역할 배분 상황을 점검하는 것이 급선무다. 술 한 상 차려놓고 둘의 사이를 좋게 만들라는 것이 아니라, 긴급 상황이 발생했을 때 둘의 최대한 효율적으로, 그리고 협조적으로 대처할 수 있도록 미리 할 일을 배정하고, 필요하다면 상하 관계를 재정립하라는 것이다. 둘이 시너지를 내면 낼수록 보안과 규정 준수는 사소한 문제가 되고, 반대의 경우라면 사소한 문제도 커지게 된다.
그렇다면 둘은 어떻게 해야 시너지를 낼 수 있을까? 먼저는 CIO와 CISO가 각기 독립된 팀으로서 활동해야 한다. 각자의 권한과 영역을 분명하게 구분 짓는 것부터가 화합의 시작이라는 것이다. 다만 둘이 공동의 목표와 로드맵을 가지고는 있어야 한다. 회사 전체가 나아가는 방향에 있어서 같은 이해도를 가지고 있어야 각자의 영역을 더 존중해 줄 수 있기 때문이다. 사이버 사건 대응이라는 측면에 있어서는 주로 CISO가 기업 차원의 침해 대응 전략을 설계하고, CIO는 이 전략이 기술적으로 잘 수행될 수 있도록 지원하는 역할을 담당한다.
CIO와 CISO의 역할과 책임
강력한 보안 전략 및 랜섬웨어 방어 대책을 수립하는 데에는 여러 가지 방법론이 존재한다. 그 중 하나는 CIO와 CISO가 다른 무엇보다 두 가지를 최우선 목표로 두고 역량을 모으는 것이다. 바로 ‘규정 준수’와 ‘보안 위생 향상’이다. 이 두 가지를 평소에 강화시켜두면 나중에 큰 자산이 된다는 걸 느낄 수 있을 것이다. 기본적으로 해야 할 숙제는 마쳤다는 자신감이 조직 전체에 흐르게 된다.
일반적인 상황에서 CISO는 회사 전체의 보안을 책임지는 사람이고 CIO는 기술 혁신과 도입, 구축을 책임지는 사람이다. 보안 전략을 완성시켜 회사에 적용하고, 사건 발생 시 대처하는 과정에서 CISO는 큰 그림을 그리는 사람, CIO는 기술적으로 이를 구현하는 사람이다. 물론 이게 무슨 교과서 정답처럼 딱 정해진 건 아니다. 조직의 상황에 따라 얼마든지 달라질 수 있다. 어떤 곳에서는 CISO가 보안 솔루션의 기술적 구축을 책임져야 할 수도 있고, CIO들이 IT와 관련된 큰 전략을 담당해야 할 수도 있다. 작은 조직에서는 CISO나 CIO가 둘 다 하기도 한다.
중요한 건 CISO가 기술과 리더십, 관리라는 분야에 있어서 분명한 이해도를 갖추는 것이다. 보안에 관해서만이 아니라 회사가 매일 어떤 일을 반복적으로 끊임없이 해내며 어떤 서비스를 계속해서 제공하는지를 알고 있어야 한다. 동시에 각 부서와 기능의 주요 인물들과도 좋은 관계를 유지해야 한다. 그렇지 않으면 조직의 보안 강화를 책임지기가 어렵게 된다. CIO들 역시 마찬가지인데 이들은 각종 업무와 생산에 적용되는 신기술(자동화, 인공지능, 데이터 분석 등)의 측면에서 학습을 이어가는 게 중요하다. 그래야 CIO의 시각에서 사업적 혁신을 이뤄갈 수 있는 통찰을 얻을 수 있게 된다.
오늘날의 침투 경로 이해하기
최근 진행된 한 조사에 의하면 85%의 조직들이 지난 1년 동안 최소 한 건의 사이버 공격에 당했다고 한다. 2022년 한 해 동안 사이버 공격에 당해본 경험을 가진 조직은 76%였다. 흥미로운 건 사이버 공격에 공동으로 대응해야 하는 CIO의 팀과 CISO의 팀이 대부분 상호 팀간 협력 관계에 대해 불만이 많은 것으로 조사됐다는 것이다. 특히 랜섬웨어 사건이 벌어졌을 때, 복구나 협상, 사업 유지와 브랜드 이미지 회복 등과 같은 부분의 전략을 짤 때 의견 차이가 많이 생기는 것으로 나타났다.
사이버 공격에 당하는 조직들의 수가 늘어나고 있는 것은 어쩌면 CISO와 CIO의 합이 잘 맞지 않아서일지도 모른다. 변화가 요구되는 것은, 최근 생성형 인공지능 등 각종 IT 신기술이 등장하면서 보안 위협이 더 커졌기 때문이다. 이런 기술들의 등장으로 보안은 더 복잡하고 힘든 일이 되어가고 있으며, 따라서 IT 기술에 대해 잘 아는 CIO와 보안에 대해 잘 아는 CISO가 머리를 맞댈 수밖에 없는 상황이 되어가는 중이다. 이 둘의 협력 관계가 기업 전체의 리질리언스를 결정한다고 해도 과언이 아니다.
그렇기 때문에 위협을 빠르게 탐지하고, 그에 맞는 대응을 해가는 데 있어 CIO와 CISO가 공동으로 책임을 가져가야 할 일이 많아지고 있다. 싫든 좋든 공격이 자꾸만 신기술과 관련된 통로로 들어오기 때문에 CIO와 CISO가 같이 준비를 하고 대응을 해야 한다는 것이다. 반대로 CISO도 신기술이 가진 혁신의 잠재성을 이해하고, 그에 맞는 보안 전략을 마련하여 조직이 혁신을 원활하고 안전하게 이어갈 수 있도록 지원해야 한다.
둘이 공동으로 해결해가야 할 일은 많다. 랜섬웨어 공격자들이 자꾸만 백업 시스템마저 마비시키는 상황이니, CISO와 CIO가 함께 안전한 백업 시스템을 마련해야 한다. 뿐만 아니라 인공지능 훈련 데이터를 오염시키는 시도들이 빈번해지고 있으니 둘이 함께 데이터 무결성 유지 방법을 고안해야 한다. 물론 앞서 말한 숙제들, 즉 규정 준수와 보안 위생 상태를 향상시킨 후에 말이다.
여태껏 CIO와 CISO들은 서로 완전히 다른 삶을 살아왔다. 심지어 서로를 껄끄러워하던 것도 사실이다. 그러나 이제 그 먼 관계를 가까이 이어붙여야 할 때가 됐다. 혁신을 통한 사업 확장과 보안 강화를 통한 안전 보장이 동시에 이뤄져야 하기 때문이다. 한 번에 되지는 않을 것이다. 여러 번 시도하고, 시행착오를 겪어야 할 지 모른다. 다소 울퉁불퉁한 길이 앞에 펼쳐져 있지만 거기가 맞는 방향이다.
글 : 네이트 커츠(Nate Kurtz), CIO, Veeam
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
