전화, 이메일, 링크드인 메시지까지. CISO는 보안 제품을 홍보하는 벤더의 제안으로 끊임없이 압도당한다. 한 주에만 최대 30건의 접촉이 이뤄지기도 한다. 화상회의든 사무실 방문 프레젠테이션이든, CISO가 새로운 벤더와 접촉할 때는 잠재적 신제품의 적합성을 평가하는 데 도움이 되는 핵심 질문 목록이 필요하다.
여러 CISO는 현장에서 수년간 수많은 제안 발표를 경험하며 도출한 최우선 질문을 공유했다.
1. 우리 비즈니스를 이해하고 있는가?
CISO가 잠재적 벤더에게 자사 조직의 구체적인 과제를 이해하고 있는지를 묻는 이유는, 벤더가 충분히 사전 조사를 했다는 증거를 확인하기 위해서다. 인터내셔널 시웨이즈(International Seaways)의 CISO 겸 CIO 아밋 바수(Amit Basu)는 “내 조직의 비즈니스 문제에 대한 해결책으로 이야기를 시작해야 한다. 기능 나열이나 다른 곳에서 흔히 겪는 일반적인 문제로 접근해서는 안 된다”라고 말했다.
바수는 늘어나는 보안 솔루션 포트폴리오 속에서 새로운 도구가 자신의 필요와 어떻게 맞아떨어지는지, 불필요한 기술 과잉을 만들지는 않는지를 바로 알고 싶어 한다. 그는 “새로운 제품은 보안을 명확히 개선하고, 가능하다면 기존 도구 하나 이상을 대체하며, 실제 운영상의 필요를 해결해야만 의미가 있다”라고 설명했다.
그러나 많은 벤더의 제안은 보안 문제 해결 방법을 제시하기보다 ‘마법 같은’ 기능을 강조하는 경우가 많다고 지적했다. 바수는 “나는 명확성과 정직함을 중요하게 생각한다. 두 가지 사용 사례를 제대로 해결하는 도구가 스무 가지를 모호하게 해결한다는 주장보다 훨씬 강력하다”라고 강조했다.
CISO와 CIO 역할을 동시에 맡고 있는 바수는 새로운 기술에 보안이 반드시 핵심적으로 포함돼야 하며 결코 사후 고려 사항이 되어서는 안 된다고 강조했다. 그는 “레거시 기술에 기반해 내 기술 스택이 지원할 수 없는 보안 제품은 팔 수 없다. 완벽한 통합이 필수”라고 말했다.
2. 업무 부담을 줄이고 가치를 더하거나 운영을 개선할 수 있는가?
새로운 도구를 평가할 때 흔히 시작하는 질문은 이 도구가 업무 부담을 줄이고, 위험을 최소화하며, 복원력을 높이고, 운영을 단순화할 수 있는지 여부다.
바수는 해당 제품이 단순히 또 하나의 포인트 솔루션을 추가하는 것이 아니라 기능을 통합할 수 있는지 알고 싶어 한다. 그는 “그렇지 않으면 각 도구가 제한적인 부분만 지키면서 비용을 높이고 유지 관리 부담만 늘린다”라고 CSO에 전했다.
반면 하이드롤릭스(Hydrolix)의 CISO 조슈아 스콧(Joshua Scott)은 알림만 늘려 업무 부담을 가중시키는 도구에는 신중하다. 스콧은 “겉으로는 가치를 제공할 것처럼 보이지만 실제로는 취약점 탐지나 스캐닝 툴처럼 소음을 만들어내는 경우가 너무 많다. 결국 팀의 일이 더 늘어날 뿐이다”라고 말했다.
또한 그는 일부 제안이 기술적 세부사항에만 치중해 정작 문제 해결에는 소홀하다고 지적했다. CISO에게는 ‘모든 조직에 통하는 방식’이 아니라 맞춤형 제안이 필요하다는 것이다. 스콧은 “최고의 제안은 조직이 해결하려는 문제에 초점을 맞추고 불필요한 디테일을 배제한다. 그리고 슬라이드가 적을수록 좋다. 어떻게 가치를 보여주고 내 업무를 줄일지 바로 설명해야 한다”라고 강조했다.
스콧이 던지는 질문의 핵심은 위험 감소, 복원력 강화, 비즈니스 영향 평가, 보안과 비즈니스 고려의 균형이다. 그는 “초기에는 그런 질문을 하지 않아서 기술적으로 반짝이는 새 도구를 도입하곤 했지만, 정작 문제는 해결하지 못했다. 우리가 집중해야 할 것은 문제 해결이다”라고 말했다.
3. 통합과 지속적 유지 관리 부담은 어느 정도인가?
쿠치베이스(Couchbase)의 CISO 바산트 마두레(Vasanth Madhure)는 새로운 도구를 평가할 때 단순히 라이선스 비용뿐 아니라 구축 과정, 교육 요구사항, 보안팀의 학습 곡선까지 함께 고려한다.
도입을 검토하기 전, 그는 제품을 설정하고 운영하는 데 필요한 시간과 노력을 먼저 파악하고 싶어 한다. 마두레는 “어떤 제품은 비교적 간단하지만, 어떤 제품은 많은 설정이 필요하다”라고 CSO에 말했다.
업데이트가 자동인지 수동인지 여부도 중요한데, 이는 곧 유지 관리 부담과 직결되기 때문이다. 그는 보안 프로그램의 성숙도와 진행 상황을 추적할 수 있도록 명확하고 실행 가능한 리포팅과 대시보드를 제공하는 도구를 높이 평가한다.
또한 특정 기능이 추가 비용을 요구하는지도 반드시 확인한다. 마두레는 “제품을 도입한 뒤에야 추가 엔터프라이즈 버전이나 다른 제품을 구매해야 기능을 쓸 수 있다고 하면, 그 시점에서 가치와 ROI가 달라진다”라고 설명했다.
그와 팀은 새로운 벤더를 선택할 때 완전한 질문 목록을 만들어 각 벤더가 얼마나 잘 대응하는지 비교한다. 그러나 이 과정만으로는 모든 것을 잡아낼 수는 없다. 마두레는 “대부분의 질문은 미리 준비하지만, 항상 사전에 식별하지 못하는 부분이 몇 가지는 있다”라고 말했다.
4. 업데이트 주기는 어떻게 되며, 제품 설계에 참여할 수 있는가?
스콧은 벤더에게 업데이트 주기를 묻는다. 얼마나 자주 업데이트를 배포하고 새로운 위협이나 업계 변화를 얼마나 신속하게 반영하는지 확인하는 것이다. 그는 “특히 취약점 스캐닝이나 거버넌스·리스크·컴플라이언스(GRC)처럼 변화 속도가 빠른 영역에서, 벤더가 새로운 프레임워크·규제·보안 과제에 어떻게 대응하는지 이해하고 싶다”라고 말했다.
또한 그는 해당 도구가 완전한 클라우드 기반인지, 온프레미스 또는 하이브리드 구성 요소를 포함하는지도 확인한다. 이는 클라우드 네이티브 기업으로서 특히 중요한 부분이다. 최근에는 벤더가 AI를 어떻게 활용하는지, 데이터를 어떻게 처리하는지도 반드시 묻고 있다.
스콧은 “우리의 지적 재산이나 투입하는 데이터가 서드파티나 포스파티 벤더 학습에 사용되지 않도록 보장받아야 한다”라고 강조했다.
5. 실제 활용 사례를 제시하고 주장을 검증할 수 있는가?
경험 많은 CISO는 벤더에게 자사와 유사한 문제를 어떻게 해결했는지 구체적인 사례를 요구한다.
아밋 바수(Amit Basu)는 “NIST CSF나 MITRE ATT&CK 같은 표준 프레임워크에 맞추는 것도 유용하지만, 더 중요한 것은 실제 성과다. 보안 강화, 탐지 시간 단축, 대응 속도 개선, 비용 절감 같은 결과를 입증해야 한다”라고 말했다.
바산트 마두레(Vasanth Madhure)는 기억에 남는 제안 사례를 언급하며 “그 벤더는 내가 찾던 모든 기능을 보여줬고, 질문에 답할 때 제품에 대해 매우 해박했다. 우리의 문제를 어떻게 해결할 수 있는지 방향을 제시했고, 시장조사를 통해 우리가 직면한 과제를 잘 알고 있었다”라고 설명했다.
조슈아 스콧(Joshua Scott)은 제품이 ‘증발성 기술(vaporware)’이 아닌지 확인하기 위해 라이브 데모를 선호한다. 그는 인터페이스가 부실하거나 기능이 어색하지 않은지도 반드시 검증한다. 또한 잠재적 벤더에게 다른 조직이 해당 도구를 어떻게 활용하는지 묻고, 실제로 제품을 다룰 팀원들의 질문도 함께 전달한다.
스콧은 “CISO는 큰 그림에서 왜 가치가 있는지 이해할 수 있지만, 우리가 간과한 세부 기술 요소나 실제 현장에서 일하는 팀원이 더 잘 파악할 부분이 있을 수 있다”라고 말했다.
피해야 할 경고 신호
CISO들은 공통적으로 피치 세션에서 즉시 신뢰를 잃게 만드는 ‘레드 플래그’가 있다고 인정한다. 그중 하나는 모호하거나 과장된 주장이다. 아밋 바수(Amit Basu)는 “혼란스러운 전문 용어를 남발하거나 내 모든 문제를 해결해 줄 것이라는 과장된 주장을 하지 말라. 그런 말로는 내가 안심하고 잘 잘 수 없다”라고 말했다.
바산트 마두레(Vasanth Madhure)는 불안을 조장하는 태도를 경계해야 한다고 지적했다. 그는 “FUD(Fear, Uncertainty, Doubt: 공포·불확실성·의심) 전략을 쓰는 것은 명백한 경고 신호다”라고 전했다.
조슈아 스콧(Joshua Scott)은 특정 기업의 사고를 영업 전략에 활용하는 방식은 “앰뷸런스를 뒤쫓는 행위” 같아 환영받지 못한다고 설명했다. 그는 “그런 접근은 효과적이지 않고 적절하지도 않다. 보안 커뮤니티는 서로를 지원하는 것을 중시하지, 어려운 상황을 악용하지 않는다”라고 말했다.
마두레는 버즈워드 남용 역시 문제라고 강조했다. 그는 “실제로 지원하지 않는 기능을 피치나 데모에서 버즈워드로 포장하는 것은 오해를 불러일으킬 수 있다. 우리는 기술적 배경이 있기 때문에 금세 간파할 수 있다”라고 설명했다.
또한 피드백을 수용하지 않는 태도 역시 협력 관계에서 문제를 예고할 수 있다. 스콧은 “발표를 조금 더 간결하고 실제 문제에 집중하라고 조언한 적이 있는데, 어떤 벤더는 긍정적으로 받아들이지만 그렇지 않은 경우도 있었다”라고 말했다.
dl-ciokorea@foundryco.com
Read More from This Article: 보안 벤더 계약 전, CISO가 꼭 확인해야 할 5가지 질문
Source: News