기업 사이버 보안을 유지하는 리더에 대한 법적 책임이 강화되고 있다. 이에 보안 리더들은 현실에 불만을 느끼며 퇴로를 모색하고 있다. CISO 자리를 기피하는 모습도 나타난다.
랜섬웨어 방지 공급업체 블랙포그(BlackFog)에 따르면 최근 설문조사에 참여한 CISO의 3분의 2 이상(70%)이 “사이버 보안 사고에 대해 개인적으로 책임을 져야 한다는 이야기가 CISO의 역할에 대한 관점에 부정적인 영향을 미쳤다”라고 답했다.
지금까지 보안 사고로 인해 처벌 받은 CISO는 그리 많지 않다. 우버(Uber) 및 솔라윈즈(SolarWinds) 사고 등, 손꼽히는 수준이다. 그러나 사이버 보안 전반에 대해 진정한 관리 권한이 없다는 CISO들의 불만은 이미 매우 흔하며, 앞으로 더 늘어날 것으로 예상된다.
보안 리더들의 불만은 단지 CISO를 진퇴양난의 상황에 몰아넣는 새로운 규제(SEC 침해 공개 규정 등)에만 국한되지 않는다. CISO가 회사 보호 조치를 기안했을지라도 회사 차원에서 이를 반복적으로 기각한 상황에서 CISO가 어떤 책임까지 져야 하는가에 대해서도 불만이 제기된다. CISO가 요구하는 조치를 기업이 취하지 않는다면 왜 CISO가 책임을 져야 하느냐는 의문이다.
보안 전문가들은 이러한 임원들에게 기업 임원의 지위, 회사의 보험 지급 보장, 해고 시 실질적인 퇴사 조항 등 추가적인 보호를 위해 협상해야 한다고 조언하곤 한다. 그러나 CISO들 사이에서 책임과 권한의 문제에 대한 우려가 커지고 있는 것 또한 분명한 현실이다.
블랙포그 연구진에 따르면 설문 응답자의 41%는 “사이버 보안 리더들이 개인적 책임까지도 질 수 있는 가능성, 보안 부담 증가와 같은 추세로 인해 이사회가 사이버 보안을 더 심각하게 받아들이게 되었다”라고 답했다. 그러나 “이로 인해 사이버 보안에 추가 예산을 투입했다”라고 응답한 비율은 10%에 그쳤다.
글로브 앤 메일의 CISO였으며 현재 인포테크 리서치 그룹의 수석 사이버 보안 고문인 프리츠 장 루이는 “보안에 대해 CISO가 책임을 진다. 그러나 결정은 위원회에서 내려진다. 대표성이 제한된 과세다. 실제 권한은 없지만 책임만 지는 형국이다. 직접적 책임 없이 영향력만 행사하고 이들이 있다”라고 말했다.
보안 경영진의 이탈?
포레스터의 부사장이자 수석 애널리스트인 제프 폴라드는 이미 최고급 CISO 인재들이 이 직책을 그만두는 징후가 나타나고 있다고 전했다. 그는 “예전에도 CISO라는 직책의 가치는 그리 크지 않았다. 또 전직 CISO를 에반젤리스트, 사고 리더, 심지어 LOB 리더로 기꺼이 영입하려는 벤더들이 많다. 그리고 이러한 벤더들은 더 나은 보상을 제시하는 경우가 많다”라고 말했다. “즉 장점은 더 많고 단점은 훨씬 적기 때문에 CISO들은 벤더로 쉽게 옮기곤 한다”라고 그는 덧붙였다.
사이버 보안 공급업체 브리치Rx(BreachRx)의 앤디 런스포드 CEO는 이사회가 CISO에게 유의미한 보호 방안을 제공하거나 보안 결정 측면의 전권을 부여하지 않으면 숙련된 보안 리더의 공급이 감소할 것으로 예상했다. 그는 “SEC와 여러 규제 기관들이 CEO를 압박하겠지만, CISO들이 영원히 책임을 떠안고 있지는 않을 것”이라며 “이미 경험이 풍부한 유능한 CISO는 영입하기 어려운 인재다”라고 말했다.
그러면서도 런스포드는 책임과 권한 사이의 단절과 관련된 더 즉각적인 문제 하나가 있다며, 이 문제는 CISO의 책임이기도 하다고 전했다. 그는 “개인적 책임에 대한 부담으로 인해 CISO는 의사 결정에 있어 더 신중한 태도를 취하게 된다. 많은 CISO로부터 위험 기반 의사결정을 내릴 때 자신과 고위 경영진의 의사결정을 의도적으로 문서화하고 있다는 이야기를 들었다. 일견 긍정적으로 들릴 수 있지만, 이러한 접근법은 의사 결정 속도가 느려지고 관리 부담을 늘릴 수 있다”라고 말했다.
보호책 협상
매스 뮤추얼, CVS, 애트나, KPMG, 아메리칸 익스프레스, JP 모건 체이스에서 CISO급 직책을 역임한 베테랑 보안 리더 짐 루스는 CISO와 예비 CISO에게 주요 계약상 보호 조치를 추진하라고 조언했다. 현재 보안 벤더 사비인트(Saviynt)에서 최고 신뢰 책임자로 일하고 있는 루스는 “조치가 조직 구조적으로 나타나야 한다. CISO에게는 보호가 필요하다”라고 말했다.
그는 이어 다른 요소로는 보험 가입, 독립 변호사 비용에 대한 보장 등이 있다고 전했다. 또한 CISO 계약서에는 면책 조항이 담겨 있어야 하는데, 이는 CISO의 공식 업무와 직접적으로 관련된 모든 판결, 벌금, 과태료 또는 보상금을 기업이 지불한다는 의미라고 루스는 덧붙였다. 실제로 보험 기업 크럼 & 포스터(Crum & Forster)는 지난 11월 CISO를 위해 설계된 전문 책임 보험을 출시한 바 있다.
dl-ciokorea@foundryco.com
Read More from This Article: ‘권한과 책임의 괴리’··· CISO 70%가 직업적 회의감 느낀다
Source: News