2016년 최고 온라인 검색포털 사이트 중 하나인 야후(Yahoo)에서 5억 건의 사용자 정보가 유출되는 사고가 발생했습니다. 야후 같은 글로벌 기업뿐만 아니라 각국 정부에 대한 해킹 공격도 다반사로 일어나면서 많은 미디어의 헤드라인을 장식했죠.
이같이 점점 사이버 범죄가 증가함에 따라 최고정보보호책임자(Chief Information Security Officer, 이하 CISO)의 역할이 바뀌고 있습니다. 사이버 공격이 기승을 부리는 현재, CISO는 사이버 위협 모니터링, 제거, 대응 등 실무적 기능을 넘어 보다 더 강력한 리더십을 가진 책임자로 변화한 것이죠.
점점 늘어만 가는 사이버 공격과 피해
시스코 ‘2017 연간 사이버 보안 설문(2017 Annual Cybersecurity Survey)’에 따르면 설문 응답자 중 29%는 자신이 속한 기업이 사이버 공격으로 인해 매출 손실을 입었다고 답했으며, 이 중 38%는 매출 손실이 20% 이상이었다고 응답했습니다.
사이버 공격은 매출뿐만 아니라 고객 이탈에도 영향을 미치는데요. 응답자 중 22%는 사이버 공격으로 인해 고객 손실을 경험, 이 중 39%는 20% 이상의 고객 손실을 경험했다고 합니다.
이와 같은 설문 결과는 사이버 범죄가 진화하고 있음을 보여주고 있습니다. 숙련되지 않은 해커들이 개인으로 활동하던 과거와는 다르게 현재는 목표 투자수익률(ROI)과 정교한 공급체인을 기반으로 하는 수십억 달러 사업에 연계되어 사이버 범죄가 행해지고 있죠.
점점 사이버 범죄가 조직화, 정교화되는 이 때, 기업 보안 부실은 비즈니스 리스크를 높일 뿐 아니라 조직 성장에 필수요소인 혁신을 저해하는 장애물이 될 수 있습니다. 사이버 공격으로 인해 고객을 잃는 것은 장기적으로 기업 매출에 큰 영향을 주는 원인으로 기업에 치명적이죠.
CISO에게 주어진 기회와 과제
이 같이 기업 비즈니스 운영에 있어서 보안의 중요성이 높아지면서 CISO의 역할도 바뀌고 있습니다.
CISO는 과거 보안 담당 기술자가 아닌, 기업에 내재된 리스크를 알리고 지표를 검토해 이사회에 보고하는 비즈니스 전략가이자 신뢰받는 고문으로 자리잡았습니다. CISO 중 35%가 CEO 혹은 사장단에 직접 보고를 한 바 있으며, 이사회에서 사이버보안 리스크에 대해 정식 보고를 받는 비중 또한 2015년 대비 2017년 20% 가량 증가했다는 내용의 데이터가 CISO 위상이 높아졌다는 것을 입증하고 있죠.
하지만 모든 역할에는 그 책임이 따르는 법입니다. 더 큰 역할을 수행하게 된 만큼 이제는 실무만 하던 IT실에서 나와 기업에 대한 막대한 책임감에 대해 직면해야 할 때이죠.
호주 최대 국영 통신회사 텔스트라의 CISO 글렌 키스홈(Glenn Chisholm)의 “보안에 대한 ‘무지함의 오만’, 즉 ‘대충 넘어가도 괜찮을 거란 안일한 인식’이 앞으로 조직 내부의 IT 문화 변혁을 방해할 것”라는 말과 같이, CISO의 역할과 책임이 그 어느 때보다도 막중한 때입니다. 시스코가가진보안솔루션으로 조직 네트워크를 안전하게 보호하고 혁신을 지속해 보세요!
이번 포스팅은 시스코 CISO이자 정보 보안 총괄 담당 스티브 마티노(Steve Martino)가 작성한 The CISO Evolution – From IT Operations to Earning a Seat at the Table를 바탕으로 준비되었습니다.
