최고급 회의에서 기술적인 설명은 자제해야
보안 위험 설득하려면 경영진이 이해할 수 있는 말로
기술적 측면보다 브랜드 명성 차원에서 강조할 것
[보안뉴스 오다인 기자] 최고정보관리책임자(Chief Information Officer, CIO)는 경영진 회의에 꼭 빠지지 않는 인물이지만 보안을 주제로 회의를 이끄는 데 늘 어려움을 겪는다. 눈앞에 닥친 경영상의 큰 문제들보다 보안이 중요하다고 설득하는 것이 매우 어렵기 때문이다.
CIO 전문 컨설팅 기업인 CIO 벤치코치(CIO Bench Coach)의 래리 본판테(Larry Bonfante)는 “보안은 생명보험과 비슷하다”며 “사건이 터져 되돌릴 수 없을 지경에 이르기 전에는 아무도 신경 쓰지 않기 때문”이라고 말했다.
CIO는 임원진의 한 사람으로서 다른 임원들과 어떻게 소통하는 것이 좋은지 알아야 할 의무가 있다. CIO로서 다른 임원과 소통할 때, 보안 방법과 관련한 기술적인 세부사항들을 설명하려고 애쓰는 대신 한 걸음 뒤에서 회사 브랜드 명성과 위험 감소 전략에 대해 생각해야 한다.
본판테는 기업들이 수천, 수억 원을 투자하더라도 여전히 공격에 당할 수 있는 것이 보안의 현실이라고 말했다. 그러므로 CIO는 지리적, 산업적 요소들을 고려해 공격 가능성을 예측해야 하는 자리이기도 하다. CIO가 어떤 부분이 가장 위험한지 파악하면 어디에 얼마나 투자할지 결정할 수 있고 이와 관련해 임원진을 설득할 수 있다.
여기서 중요한 건 다른 임원들이 이해할 수 있는 방식으로 위협 요소나 위험을 현실감 있게 표현해야 한다는 것이다. 왜 하필 그 부분이 공격대상이 될 수 있는지에 대해서 말이다. 기업이 해당 위험에 관해 일단 이해하게 되면 대처하기 위한 예산을 증액할 것이다.
본판테는 전미 오픈 선수권 대회(US Open)로 예를 들어 설명하면서 “경영진의 시선으로는 7만명 관중, 대대적인 보도와 생중계, 주요 도시 개최, 이런 성공의 지표들이 더 중요하다”며 “오히려 그러한 요인들 때문에 해커들의 주요 공격대상이 되는 건 잘 이해하지 못한다”고 말한다. “이런 경영진의 시각을 CIO도 이해할 수 있어야 합니다.”
위험에 대해 논의할 때 브랜드 명성을 근거로 들면 높은 효과를 거둘 수 있다. CIO가 스스로 교육자라 생각하고, 기술적인 부분보다 브랜드 명성에 관해 강조해 말할 필요가 있다고 본판테는 조언한다.
최근 발생한 디도스 공격에 대해 경영진을 이해시키거나 새로 도입한 보안 시스템이 어떻게 작동하는지를 설명하는 것이 CIO의 목표가 돼서는 안 된다. 해당 공격이 회사에 어떤 위험을 초래할 수 있는지가 CIO의 ‘언어’가 돼야 한다. 회사는 브랜드 명성을 중요하게 여기기 때문이다. “전미 오픈 선수권 대회의 운영자라면 사이버 공격에 당할 경우 관객들의 발길이 점차 끊길 수 있으며 이에 수익적인 측면에서도 심각한 손실을 겪게 될 수 있다는 걸 이해시켜야 한다는 것이죠.”
하지만 본판테는 “누구도 자신에게 보안 사고가 일어나리라 생각지 못한다”며 “그런 사건이 일어날 수 있고 이에 치명적인 결과가 따를 수 있음을 잘 이해시켜야 한다”고 강조했다.
대규모 보안 침해 사건들이 갈수록 많아짐에 따라 보안에 관해 이야기하는 것이 더욱 쉬워지고 있는 상황이지만 대부분 CIO들의 목소리는 여전히 받아들여지지 않고 있다. CIO들은 그들이 인식하고 있는 위험과 우려사항에 관해 매번 사람들을 상기시켜줘야만 한다.
이에 대해 본판테는 “한 번에 되는 일은 아니”라며 “끝없는 교육과정이 될 것이고 그럼에도 CIO가 목표하는 만큼 사람들이 따라오지는 못할 것”이라고 말했다.
CIO는 경영진이 이해할 수 있는 언어로 말할 필요가 있지만 반대로 경영진이 기술적인 용어를 알아야 할 필요가 있는 것은 아니라고 본판테는 설명을 이어갔다. 위험에 대해 경영진과 소통해야 할 경우, 대화를 이끌어가야 하는 건 전부 CIO의 책임이라는 것이다.
기술적인 측면이 논의의 주가 돼서는 안 되지만 만약의 경우를 대비해 위협에 대한 기술적인 세부사항들을 준비하는 것 역시 필요하다고 본판테는 조언했다.
[국제부 오다인 기자(boan2@boannews.com)]
보안 위험 설득하려면 경영진이 이해할 수 있는 말로
기술적 측면보다 브랜드 명성 차원에서 강조할 것
[보안뉴스 오다인 기자] 최고정보관리책임자(Chief Information Officer, CIO)는 경영진 회의에 꼭 빠지지 않는 인물이지만 보안을 주제로 회의를 이끄는 데 늘 어려움을 겪는다. 눈앞에 닥친 경영상의 큰 문제들보다 보안이 중요하다고 설득하는 것이 매우 어렵기 때문이다.
CIO 전문 컨설팅 기업인 CIO 벤치코치(CIO Bench Coach)의 래리 본판테(Larry Bonfante)는 “보안은 생명보험과 비슷하다”며 “사건이 터져 되돌릴 수 없을 지경에 이르기 전에는 아무도 신경 쓰지 않기 때문”이라고 말했다.
CIO는 임원진의 한 사람으로서 다른 임원들과 어떻게 소통하는 것이 좋은지 알아야 할 의무가 있다. CIO로서 다른 임원과 소통할 때, 보안 방법과 관련한 기술적인 세부사항들을 설명하려고 애쓰는 대신 한 걸음 뒤에서 회사 브랜드 명성과 위험 감소 전략에 대해 생각해야 한다.
본판테는 기업들이 수천, 수억 원을 투자하더라도 여전히 공격에 당할 수 있는 것이 보안의 현실이라고 말했다. 그러므로 CIO는 지리적, 산업적 요소들을 고려해 공격 가능성을 예측해야 하는 자리이기도 하다. CIO가 어떤 부분이 가장 위험한지 파악하면 어디에 얼마나 투자할지 결정할 수 있고 이와 관련해 임원진을 설득할 수 있다.
여기서 중요한 건 다른 임원들이 이해할 수 있는 방식으로 위협 요소나 위험을 현실감 있게 표현해야 한다는 것이다. 왜 하필 그 부분이 공격대상이 될 수 있는지에 대해서 말이다. 기업이 해당 위험에 관해 일단 이해하게 되면 대처하기 위한 예산을 증액할 것이다.
본판테는 전미 오픈 선수권 대회(US Open)로 예를 들어 설명하면서 “경영진의 시선으로는 7만명 관중, 대대적인 보도와 생중계, 주요 도시 개최, 이런 성공의 지표들이 더 중요하다”며 “오히려 그러한 요인들 때문에 해커들의 주요 공격대상이 되는 건 잘 이해하지 못한다”고 말한다. “이런 경영진의 시각을 CIO도 이해할 수 있어야 합니다.”
위험에 대해 논의할 때 브랜드 명성을 근거로 들면 높은 효과를 거둘 수 있다. CIO가 스스로 교육자라 생각하고, 기술적인 부분보다 브랜드 명성에 관해 강조해 말할 필요가 있다고 본판테는 조언한다.
최근 발생한 디도스 공격에 대해 경영진을 이해시키거나 새로 도입한 보안 시스템이 어떻게 작동하는지를 설명하는 것이 CIO의 목표가 돼서는 안 된다. 해당 공격이 회사에 어떤 위험을 초래할 수 있는지가 CIO의 ‘언어’가 돼야 한다. 회사는 브랜드 명성을 중요하게 여기기 때문이다. “전미 오픈 선수권 대회의 운영자라면 사이버 공격에 당할 경우 관객들의 발길이 점차 끊길 수 있으며 이에 수익적인 측면에서도 심각한 손실을 겪게 될 수 있다는 걸 이해시켜야 한다는 것이죠.”
하지만 본판테는 “누구도 자신에게 보안 사고가 일어나리라 생각지 못한다”며 “그런 사건이 일어날 수 있고 이에 치명적인 결과가 따를 수 있음을 잘 이해시켜야 한다”고 강조했다.
대규모 보안 침해 사건들이 갈수록 많아짐에 따라 보안에 관해 이야기하는 것이 더욱 쉬워지고 있는 상황이지만 대부분 CIO들의 목소리는 여전히 받아들여지지 않고 있다. CIO들은 그들이 인식하고 있는 위험과 우려사항에 관해 매번 사람들을 상기시켜줘야만 한다.
이에 대해 본판테는 “한 번에 되는 일은 아니”라며 “끝없는 교육과정이 될 것이고 그럼에도 CIO가 목표하는 만큼 사람들이 따라오지는 못할 것”이라고 말했다.
CIO는 경영진이 이해할 수 있는 언어로 말할 필요가 있지만 반대로 경영진이 기술적인 용어를 알아야 할 필요가 있는 것은 아니라고 본판테는 설명을 이어갔다. 위험에 대해 경영진과 소통해야 할 경우, 대화를 이끌어가야 하는 건 전부 CIO의 책임이라는 것이다.
기술적인 측면이 논의의 주가 돼서는 안 되지만 만약의 경우를 대비해 위협에 대한 기술적인 세부사항들을 준비하는 것 역시 필요하다고 본판테는 조언했다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
