늘 커리어의 죽음에 직면하고 있는 CISO들...함부로 죽여서는 안 되는 이유
[보안뉴스 문가용 기자] 죽음 이후엔 뭐가 있을까. 만화영화 ‘코코’에 대한 입소문이 한 때 대단했다. 덕분에 쟁쟁한 작품들을 제치고 예매율 1위를 기록하기도 했다. 한 소년이 사후 세계를 여행한다는 줄거리를 가지고 있는 이 작품은 해외에서도 호평을 받은 것으로 알려져 있다. 재미있는 건 코코 직전에 한국에서 흥행가도를 달리고 있던 작품 역시 사후 세계를 다룬 ‘신의 세계’였다는 것이다. 살아있는 한 죽음에 대한 호기심은 끝이 없다.
[이미지=네이버 영화]
죽음 이후엔 뭐가 있을까. 보안을 담당하는 자들에게 있어서 죽음이란 진짜 죽음일 수도 있고 일어나지 말아야 할 ‘보안 사고’ 그 자체일 수도 있다. 보안 사고가 매일처럼 발생하는 요즘과 같은 때 CISO들은 그 누구보다도 ‘죽음’에 대한 압박감에 시달린다. 그래서 그런지 한 조사에 의하면 해외 CISO들의 평균 근속 기간은 18개월에 불과하다고 한다. 압박감에 스스로 사임하기도 하고, 보안 사고에 책임을 지고 물러나기도 한다. 모든 죽음이 그렇듯 잘한 사람도 있고 못한 사람도 있다.
죽은 사람을 인터뷰할 수 없는 것처럼, 자리를 떠난 사람을 인터뷰한다는 것도 쉽지 않다. 외신을 뒤져봐도 ‘잘린’ 사람의 소식은 좀처럼 나오지 않는다. 오로지 사인과 같은 ‘해고 이유’만 있을 뿐이다. 리스크 관리를 ‘경제적으로’ 하지 못했다는 이유로 18개월을 못 넘기기도 하고, 보고 능력이 형편없다고 내쫓기기도 한다. 사업 운영 방향에 맞출 능력이 없는 것으로 판단되어 결국 책상이 빠지기도 하며, 심지어 공포감과 불안을 사내에 조성한다는 이유로 떠나달라는 요청을 듣기도 한단다.
하지만 사고가 터졌을 때가 가장 결정적이다. JP모건의 CSO인 짐 커밍스(Jim Cummings)는 8천 3백만 건의 정보 유출 사건 이후 직위 변경됐고, CISO였던 그렉 라트레이(Greg Rattray)는 해고됐다. 4천만 건의 신용카드 정보를 도난당한 타깃(Target)의 경우 CISO는 물론 CEO까지 해임됐다. 사고가 일어나면 반드시라고 할 만큼 CISO들이 직장을 잃는다. 사고를 당한 CISO는 두 번 죽는 게 관례처럼 굳어져 간다. 그러나 조금만 생각해봐도 이것이 큰 실수라는 걸 알 수 있다.
죽음 이후엔 뭐가 있을까. 살아있는 인간들에게 답이 허락되지 않는 문제 중 하나다. 답을 본격적으로 찾아 나선 탐험가들은 아직까지도 돌아오지 않고 있다. 신의 특별한 계시를 받은 사람이 아니라면 평범한 사람들에게 있어 죽음이란, 가장 가까워봐야 유족으로서 경험하는 것뿐이고, 그러므로 남는 건 그 슬프고 억울하고 그립고 죄스런 감정들이다. 이걸 수억 번 반복해도 죽음 이후에 대해 알 수 없는 걸 보면 앞으로도 그럴 가능성이 다분하다. 그런 가운데 죽음에서 돌아온 자가 있다면, 우린 어떻게 반응할까? 사후 세계에 대한 그의 지식을 갈구하는 게 당연하다.
사고를 당한 CISO들은 그 사고를 수습하는 과정에서 ‘실전’을 경험한다. 그 전까지 예방과 방지 혹은 탐지와 교육 차원에서 ‘이론처럼만’ 알고 있던 사고를 실제로 겪는다는 건 보안 책임자로서 귀중한 자산이다. 미리 갖춰놓은 ‘대응 매뉴얼’이 실제 상황에서 얼마나 효과를 발휘하는지 확인해볼 수 있고, 어떤 파트너가 실제로 어떤 도움을 주는지도 파악할 수 있다. 우리는 죽음을 한 번 겪은 이들의 지식을 ‘책임지라’며 폐기처분하고 있는 것이다.
죽음 이후엔 뭐가 있을까. 이렇게도 오랫동안 답이 나오지 않는 걸 보면 ‘죽음 이후에 뭐가 있을까’라는 질문 자체가 잘못된 건 아닐까. 우리가 찾아야 할 답은, 남겨진 삶 자체에 숨어있는 건 아닐까. 알 수 없는 죽음이 고층 창문마다, 옥상마다, 어두운 골목마다, 내가 일하는 직장마다, 지나치는 자동차에마다 도사리고 있다면, ‘수많은 죽음을 어떻게 버텨내고 살 수 있을까’가 더 올바른 질문 아닐까. 그런 질문 즉 ‘어떻게 살아남을까’를 묻는 경영진이라면 죽음에서 생환한 CISO를 가볍게 잘라내지 않을 것이다.
죽음은 그걸 곁에서 지켜보는 것만으로도 남아있는 사람들의 양분이 된다. 한 알의 밀알이 썩어야 곡식이 맺힌다는 말이 틀리지 않다. 물론 그 양분이란 게 모든 사람들에게 똑같지는 않다. 뒤늦은 효도의 결심이 될 수도 있고, 하지 못했던 사랑의 고백일 수도 있고, 문득 눈을 뜨게 된 삶의 진실일 수도 있다. 하지만 결국 어느 장례식장에서나 우리는 고인의 죽음을 새기며, 나의 삶의 되돌아보게 된다는 점에서 우리 모두는 동일한 뭔가를 얻어간다. 그 고인이 가까우면 가까울수록 남은 자들의 삶은 깊은 영향을 받는다.
보안 사고가 터지면 가장 죽을 맛을 경험하는 건 CISO들이다. 자신의 책임 아래 벌어진 일이니 그 심정이 오죽 괴로울까. 그런 마음을 부여잡고 사건을 수습하는 과정에서, CISO들은 깊은 교훈을 얻을 수밖에 없다. 경력이라는 측면에서 사후 세계에 갔다 온 자가 되는 것이다. 그들의 그런 경험은 조직 전체의 보안 강화를 위한 양분이 될 수 있다. 죽은 자를 묻듯, 그들을 쉽게 잘라내서는 안 되는 이유다. 한 번 죽어봤다고? 오히려 더 앞다투어 모셔야 한다.
어느 날은 말을 막 배운 아이가 “아빠가 죽으면 내가 어른이 되잖아요. 그러면...”이라고 말한 적이 있다. 아마 자기가 어른이 되면 아빠가 늙어 죽게 된다는 뜻으로 말을 했을 것이지만, 아이의 그 말 그대로가 듣기 좋았다. 간접적인 경험이라도, 가까운 누군가의 죽음을 통해 사람은 자라나는 게 맞기 때문이다. 아빠는 매일 죽고, 너는 매일 살아야지, 라는 말을 혼자 삼켰다.
코코가 아무리 사후 세계를 아름답게 그려냈다 한들 허구다. 누군가의 상상일 뿐이다. 하지만 보안 사고라는 ‘죽음’을 겪은 CISO들이 제공할 수 있는 지식은 진짜다. 그 지식을 손 벌려 환영해야 보안은 더 어른이 될 수 있다.
[문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 죽음 이후엔 뭐가 있을까. 만화영화 ‘코코’에 대한 입소문이 한 때 대단했다. 덕분에 쟁쟁한 작품들을 제치고 예매율 1위를 기록하기도 했다. 한 소년이 사후 세계를 여행한다는 줄거리를 가지고 있는 이 작품은 해외에서도 호평을 받은 것으로 알려져 있다. 재미있는 건 코코 직전에 한국에서 흥행가도를 달리고 있던 작품 역시 사후 세계를 다룬 ‘신의 세계’였다는 것이다. 살아있는 한 죽음에 대한 호기심은 끝이 없다.
[이미지=네이버 영화]
죽음 이후엔 뭐가 있을까. 보안을 담당하는 자들에게 있어서 죽음이란 진짜 죽음일 수도 있고 일어나지 말아야 할 ‘보안 사고’ 그 자체일 수도 있다. 보안 사고가 매일처럼 발생하는 요즘과 같은 때 CISO들은 그 누구보다도 ‘죽음’에 대한 압박감에 시달린다. 그래서 그런지 한 조사에 의하면 해외 CISO들의 평균 근속 기간은 18개월에 불과하다고 한다. 압박감에 스스로 사임하기도 하고, 보안 사고에 책임을 지고 물러나기도 한다. 모든 죽음이 그렇듯 잘한 사람도 있고 못한 사람도 있다.
죽은 사람을 인터뷰할 수 없는 것처럼, 자리를 떠난 사람을 인터뷰한다는 것도 쉽지 않다. 외신을 뒤져봐도 ‘잘린’ 사람의 소식은 좀처럼 나오지 않는다. 오로지 사인과 같은 ‘해고 이유’만 있을 뿐이다. 리스크 관리를 ‘경제적으로’ 하지 못했다는 이유로 18개월을 못 넘기기도 하고, 보고 능력이 형편없다고 내쫓기기도 한다. 사업 운영 방향에 맞출 능력이 없는 것으로 판단되어 결국 책상이 빠지기도 하며, 심지어 공포감과 불안을 사내에 조성한다는 이유로 떠나달라는 요청을 듣기도 한단다.
하지만 사고가 터졌을 때가 가장 결정적이다. JP모건의 CSO인 짐 커밍스(Jim Cummings)는 8천 3백만 건의 정보 유출 사건 이후 직위 변경됐고, CISO였던 그렉 라트레이(Greg Rattray)는 해고됐다. 4천만 건의 신용카드 정보를 도난당한 타깃(Target)의 경우 CISO는 물론 CEO까지 해임됐다. 사고가 일어나면 반드시라고 할 만큼 CISO들이 직장을 잃는다. 사고를 당한 CISO는 두 번 죽는 게 관례처럼 굳어져 간다. 그러나 조금만 생각해봐도 이것이 큰 실수라는 걸 알 수 있다.
죽음 이후엔 뭐가 있을까. 살아있는 인간들에게 답이 허락되지 않는 문제 중 하나다. 답을 본격적으로 찾아 나선 탐험가들은 아직까지도 돌아오지 않고 있다. 신의 특별한 계시를 받은 사람이 아니라면 평범한 사람들에게 있어 죽음이란, 가장 가까워봐야 유족으로서 경험하는 것뿐이고, 그러므로 남는 건 그 슬프고 억울하고 그립고 죄스런 감정들이다. 이걸 수억 번 반복해도 죽음 이후에 대해 알 수 없는 걸 보면 앞으로도 그럴 가능성이 다분하다. 그런 가운데 죽음에서 돌아온 자가 있다면, 우린 어떻게 반응할까? 사후 세계에 대한 그의 지식을 갈구하는 게 당연하다.
사고를 당한 CISO들은 그 사고를 수습하는 과정에서 ‘실전’을 경험한다. 그 전까지 예방과 방지 혹은 탐지와 교육 차원에서 ‘이론처럼만’ 알고 있던 사고를 실제로 겪는다는 건 보안 책임자로서 귀중한 자산이다. 미리 갖춰놓은 ‘대응 매뉴얼’이 실제 상황에서 얼마나 효과를 발휘하는지 확인해볼 수 있고, 어떤 파트너가 실제로 어떤 도움을 주는지도 파악할 수 있다. 우리는 죽음을 한 번 겪은 이들의 지식을 ‘책임지라’며 폐기처분하고 있는 것이다.
죽음 이후엔 뭐가 있을까. 이렇게도 오랫동안 답이 나오지 않는 걸 보면 ‘죽음 이후에 뭐가 있을까’라는 질문 자체가 잘못된 건 아닐까. 우리가 찾아야 할 답은, 남겨진 삶 자체에 숨어있는 건 아닐까. 알 수 없는 죽음이 고층 창문마다, 옥상마다, 어두운 골목마다, 내가 일하는 직장마다, 지나치는 자동차에마다 도사리고 있다면, ‘수많은 죽음을 어떻게 버텨내고 살 수 있을까’가 더 올바른 질문 아닐까. 그런 질문 즉 ‘어떻게 살아남을까’를 묻는 경영진이라면 죽음에서 생환한 CISO를 가볍게 잘라내지 않을 것이다.
죽음은 그걸 곁에서 지켜보는 것만으로도 남아있는 사람들의 양분이 된다. 한 알의 밀알이 썩어야 곡식이 맺힌다는 말이 틀리지 않다. 물론 그 양분이란 게 모든 사람들에게 똑같지는 않다. 뒤늦은 효도의 결심이 될 수도 있고, 하지 못했던 사랑의 고백일 수도 있고, 문득 눈을 뜨게 된 삶의 진실일 수도 있다. 하지만 결국 어느 장례식장에서나 우리는 고인의 죽음을 새기며, 나의 삶의 되돌아보게 된다는 점에서 우리 모두는 동일한 뭔가를 얻어간다. 그 고인이 가까우면 가까울수록 남은 자들의 삶은 깊은 영향을 받는다.
보안 사고가 터지면 가장 죽을 맛을 경험하는 건 CISO들이다. 자신의 책임 아래 벌어진 일이니 그 심정이 오죽 괴로울까. 그런 마음을 부여잡고 사건을 수습하는 과정에서, CISO들은 깊은 교훈을 얻을 수밖에 없다. 경력이라는 측면에서 사후 세계에 갔다 온 자가 되는 것이다. 그들의 그런 경험은 조직 전체의 보안 강화를 위한 양분이 될 수 있다. 죽은 자를 묻듯, 그들을 쉽게 잘라내서는 안 되는 이유다. 한 번 죽어봤다고? 오히려 더 앞다투어 모셔야 한다.
어느 날은 말을 막 배운 아이가 “아빠가 죽으면 내가 어른이 되잖아요. 그러면...”이라고 말한 적이 있다. 아마 자기가 어른이 되면 아빠가 늙어 죽게 된다는 뜻으로 말을 했을 것이지만, 아이의 그 말 그대로가 듣기 좋았다. 간접적인 경험이라도, 가까운 누군가의 죽음을 통해 사람은 자라나는 게 맞기 때문이다. 아빠는 매일 죽고, 너는 매일 살아야지, 라는 말을 혼자 삼켰다.
코코가 아무리 사후 세계를 아름답게 그려냈다 한들 허구다. 누군가의 상상일 뿐이다. 하지만 보안 사고라는 ‘죽음’을 겪은 CISO들이 제공할 수 있는 지식은 진짜다. 그 지식을 손 벌려 환영해야 보안은 더 어른이 될 수 있다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
