미식 축구 코치 빈스 롬바르디의 업적을 통해 본 CISO의 역할
철학보다는 성과, 완벽함에 가까운 탁월함으로 이뤄내는 게 CISO
[보안뉴스 문가용] 빈스 롬바르디(Vince Lombardi)는 60년대 NFL의 그린 베이 패커스(Green Bay Packers)의 전설적인 코치로, 선수들을 독려하고 동기를 탁월하게 부여하는 것으로 잘 알려져 있다. 얼마나 잘 했는지 NFL 챔피언십 트로피의 이름이 빈스 롬바르디 트로피로 지어졌을 정도다. 또한 그를 주인공으로 한 영화도 준비 중에 있다는 소식이 있었다(완성이 되었는지는 잘 모르겠다).
.jpg)
▲ 롬바르디 코치 생전 모습(출처 : Great Lakes Prep 블로그)
그는 이름보다는 명언으로 더 많이 알려져 있기도 한데, ‘승리하는 사람은 포기하지 않고, 포기하는 사람은 승리하지 못한다’, ‘넘어지는 게 실패가 아니라 일어나지 않는 게 실패다’, ‘연습한다고 완벽해지지 않는다. 완벽한 연습만이 완벽해지는 길이다’, ‘포기하는 법을 한 번 배우면 습관이 된다’ 등이 있다.
보안 전문 매체에서 미식 축구 코치인 롬바르디 얘기를 왜 갑자기 꺼내는가? 그가 선수들의 아버지와 같다거나 심장을 따듯이 데워주는 명언을 쏟아낸 인물이어서가 아니다. 수석코치로 9년 간 머물며 이전까지 승률 10%에 불과한 팀을 다섯 번의 챔피언십에 올리고, 그 중 두 번은 슈퍼볼 우승까지 거머쥐었기 때문이다. 커리어 상으로도 NFL 역사상 거의 가장 큰 성과를 거둔 코치로 남아있다.
이쯤 되면 감을 잡았겠지만, 오늘날의 CISO들은 정보나 정보보안에 대한 고상한 철학이나 높다란 학식을 가지고 있다고 좋은 평가를 받지 않는다. 자기가 맡고 있는 시스템이나 데이터에서 발생하는 사고만이 CISO를 평가할 수 있는 척도가 된다. 당연히 0에 가까울수록 평가는 높아지고 말이다. 사람이 얼마나 좋은지, 정보보안을 대하는 태도가 얼마나 올바른지는 어디까지나 부수적인 사항에 불과하다.
그렇다면 CISO들은 실제 현장에서 어떠한 책임을 가지고 있는가? 현대 환경의 수많은 툴과 솔루션들 중 필요한 걸 선택할 책임, 그걸 가지고 지속적인 모니터링과 점검을 할 책임, 또한 그 툴과 결과물 모두를 관리할 책임, 새롭게 나오는 툴과 솔루션, 인프라 업데이트, 패치 등을 전부 ‘알고 있어야 할’ 책임이다. 알고 있기가 힘들다면 최소한 소식을 부지런히 찾기라도 해야 한다. 이런 모든 책임들을 수행함으로써 CISO는 데이터와 시스템을 안전하게 지킬 수 있다.
시즌을 앞둔 풋볼 코치도 비슷한 책임을 가지고 있다. 가지고 있는 자원이 무엇인지, 그 자원을 어떻게 활용해야 하는지 충분히 고민하고 다양한 시나리오를 그려보는 것이다. 만약 구멍이 있으면 그걸 메울 새내기를 찾던가, 다른 팀의 누군가를 데리고 와야 한다. 이는 어느 팀이나 마찬가지다.
문제는 내가 싸워야 할 상대편 코치도 똑같은 일을 한다는 것이다. 그들은 내가 놓칠 수 있는 우리 팀의 약점을 찾아내려고 혈안이 되어 있고 그걸 공략하기 위한 다양한 시나리오를 그려본다. 그리고 그에 맞는 인재를 찾아 트레이드를 하거나 연봉계약을 맺는다. CISO가 상대해야 하는 사이버 범죄자들도 여기에 대입할 수 있다. 그들 역시 새로운 툴을 고르고 선택해 나를 감시한다.
그러므로 결국 누가 어떤 약점을 먼저 찾느냐가 문제다. CISO는 공격자보다 더 빨리 취약점을 찾고 패치해야 한다. 백도어를 발견하면 닫고, 혹시나 이 백도어를 통해 누군가 들어와 있지 않은지, 들어와 있다면 어떤 경로로 공격을 할 수 있는지, 내부 점검도 다시 해보아야 한다. 결국 필드 위 코치들의 수싸움이 사이버 상에서 벌어지는 것이다.
하지만 아직까지 승률은 해커 쪽으로 기우는 듯 하다. 2015년 버라이즌의 한 보고서에 따르면 성공한 공격 중 60%가 이미 존재하는 기술 및 취약점을 통해 발생했다고 하는데, 이 말은 CISO들이 기술력에서 뒤쳐진 게 아니라 수싸움에서 졌다고 볼 수 있다. 해커들보다 ‘플레이북’ 관리가 부족했다는 것이다.
더 염려가 되는 건 해킹 공격 대부분이 발생 후 발견까지 수주에서 수개월 걸렸기 때문이다. 수주에서 수개월이라면 해커 입장에서 지적 재산이나 민감한 개인정보, 돈, 신뢰, 브랜드 이미지 등 모든 걸 앗아갈 수 있는 기간이다.
다시 한 번 강조하지만 CISO의 최고 덕목은 결과를 내는 것이다. CISO의 결과는 뚫리지 않는 것이고 말이다. 고상한 철학과 아름다운 부하직원 관리, 여러 강연과 매스컴에서 탐낼 정도의 학식은 탁월한 CISO를 만들지 않는다.
이 칼럼을 롬바르디 코치의 명언으로 맺는다.
“완벽함은 이룰 수 없는 것이다. 그런데 그 이룰 수 없는 완벽함을 쫓다보면 최소한 탁월함은 이뤄낼 수 있다.”
글 : 다넬르 오(Danelle Au)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
철학보다는 성과, 완벽함에 가까운 탁월함으로 이뤄내는 게 CISO
[보안뉴스 문가용] 빈스 롬바르디(Vince Lombardi)는 60년대 NFL의 그린 베이 패커스(Green Bay Packers)의 전설적인 코치로, 선수들을 독려하고 동기를 탁월하게 부여하는 것으로 잘 알려져 있다. 얼마나 잘 했는지 NFL 챔피언십 트로피의 이름이 빈스 롬바르디 트로피로 지어졌을 정도다. 또한 그를 주인공으로 한 영화도 준비 중에 있다는 소식이 있었다(완성이 되었는지는 잘 모르겠다).
▲ 롬바르디 코치 생전 모습(출처 : Great Lakes Prep 블로그)
그는 이름보다는 명언으로 더 많이 알려져 있기도 한데, ‘승리하는 사람은 포기하지 않고, 포기하는 사람은 승리하지 못한다’, ‘넘어지는 게 실패가 아니라 일어나지 않는 게 실패다’, ‘연습한다고 완벽해지지 않는다. 완벽한 연습만이 완벽해지는 길이다’, ‘포기하는 법을 한 번 배우면 습관이 된다’ 등이 있다.
보안 전문 매체에서 미식 축구 코치인 롬바르디 얘기를 왜 갑자기 꺼내는가? 그가 선수들의 아버지와 같다거나 심장을 따듯이 데워주는 명언을 쏟아낸 인물이어서가 아니다. 수석코치로 9년 간 머물며 이전까지 승률 10%에 불과한 팀을 다섯 번의 챔피언십에 올리고, 그 중 두 번은 슈퍼볼 우승까지 거머쥐었기 때문이다. 커리어 상으로도 NFL 역사상 거의 가장 큰 성과를 거둔 코치로 남아있다.
이쯤 되면 감을 잡았겠지만, 오늘날의 CISO들은 정보나 정보보안에 대한 고상한 철학이나 높다란 학식을 가지고 있다고 좋은 평가를 받지 않는다. 자기가 맡고 있는 시스템이나 데이터에서 발생하는 사고만이 CISO를 평가할 수 있는 척도가 된다. 당연히 0에 가까울수록 평가는 높아지고 말이다. 사람이 얼마나 좋은지, 정보보안을 대하는 태도가 얼마나 올바른지는 어디까지나 부수적인 사항에 불과하다.
그렇다면 CISO들은 실제 현장에서 어떠한 책임을 가지고 있는가? 현대 환경의 수많은 툴과 솔루션들 중 필요한 걸 선택할 책임, 그걸 가지고 지속적인 모니터링과 점검을 할 책임, 또한 그 툴과 결과물 모두를 관리할 책임, 새롭게 나오는 툴과 솔루션, 인프라 업데이트, 패치 등을 전부 ‘알고 있어야 할’ 책임이다. 알고 있기가 힘들다면 최소한 소식을 부지런히 찾기라도 해야 한다. 이런 모든 책임들을 수행함으로써 CISO는 데이터와 시스템을 안전하게 지킬 수 있다.
시즌을 앞둔 풋볼 코치도 비슷한 책임을 가지고 있다. 가지고 있는 자원이 무엇인지, 그 자원을 어떻게 활용해야 하는지 충분히 고민하고 다양한 시나리오를 그려보는 것이다. 만약 구멍이 있으면 그걸 메울 새내기를 찾던가, 다른 팀의 누군가를 데리고 와야 한다. 이는 어느 팀이나 마찬가지다.
문제는 내가 싸워야 할 상대편 코치도 똑같은 일을 한다는 것이다. 그들은 내가 놓칠 수 있는 우리 팀의 약점을 찾아내려고 혈안이 되어 있고 그걸 공략하기 위한 다양한 시나리오를 그려본다. 그리고 그에 맞는 인재를 찾아 트레이드를 하거나 연봉계약을 맺는다. CISO가 상대해야 하는 사이버 범죄자들도 여기에 대입할 수 있다. 그들 역시 새로운 툴을 고르고 선택해 나를 감시한다.
그러므로 결국 누가 어떤 약점을 먼저 찾느냐가 문제다. CISO는 공격자보다 더 빨리 취약점을 찾고 패치해야 한다. 백도어를 발견하면 닫고, 혹시나 이 백도어를 통해 누군가 들어와 있지 않은지, 들어와 있다면 어떤 경로로 공격을 할 수 있는지, 내부 점검도 다시 해보아야 한다. 결국 필드 위 코치들의 수싸움이 사이버 상에서 벌어지는 것이다.
하지만 아직까지 승률은 해커 쪽으로 기우는 듯 하다. 2015년 버라이즌의 한 보고서에 따르면 성공한 공격 중 60%가 이미 존재하는 기술 및 취약점을 통해 발생했다고 하는데, 이 말은 CISO들이 기술력에서 뒤쳐진 게 아니라 수싸움에서 졌다고 볼 수 있다. 해커들보다 ‘플레이북’ 관리가 부족했다는 것이다.
더 염려가 되는 건 해킹 공격 대부분이 발생 후 발견까지 수주에서 수개월 걸렸기 때문이다. 수주에서 수개월이라면 해커 입장에서 지적 재산이나 민감한 개인정보, 돈, 신뢰, 브랜드 이미지 등 모든 걸 앗아갈 수 있는 기간이다.
다시 한 번 강조하지만 CISO의 최고 덕목은 결과를 내는 것이다. CISO의 결과는 뚫리지 않는 것이고 말이다. 고상한 철학과 아름다운 부하직원 관리, 여러 강연과 매스컴에서 탐낼 정도의 학식은 탁월한 CISO를 만들지 않는다.
이 칼럼을 롬바르디 코치의 명언으로 맺는다.
“완벽함은 이룰 수 없는 것이다. 그런데 그 이룰 수 없는 완벽함을 쫓다보면 최소한 탁월함은 이뤄낼 수 있다.”
글 : 다넬르 오(Danelle Au)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
