보안/뉴스

기업들은 CRO의 임명에 관심을 가지게 될 수도 있다

수달정보보호 2024. 2. 2. 20:17

IT 칼럼니스트인 브랜든 테일러는 최고 복구 책임자(Chief Resilience Officer)인 CRO의 필요성이 대두되고 있다고 주장한다. 이 '복구'라는 업무는 기존에 CISO 또는 CIO가 담당하는 것이었는데, 그대로 두기에는 갈수록 복구에 관한 업무의 비중과 양이 너무 늘어나고 있다는 것이다. 그래서 복구에만 집중할 수 있는 책임자가 필요하다는 것이다.

 

실제로 eSentire라는 회사에는 CRO라는 직책이 등장하여 인사가 임명된 바 있다. 그리고 그 회사의 CRO인 홉킨스는 CRO의 필요성에 대해 다음과 같이 말했다.

 

"소비자는 더이상 말로만 하는 기업을 신뢰하지 않는다. 그들은 보안에 진심인 증거를 보고싶어 한다."

"CRO의 신설은 그것을 가시적으로 보여줄 수 있는 증거의 일환으로 소비자에게 어필할 수 있다."

 

소비자 입장에서 생각하면 어느 정도 동의할 수밖에 없다. 소비자 입장에서는 당연히 회사가 상세하게 어느 정도의 예산을 쓰는지, 보안 사고가 터질 때의 메커니즘은 어떻게 돌아가며 그것이 실제로 제대로 돌아갈 가능성은 몇이 되는지, 새로운 공격 기술에 대해 회사는 어떻게 대처하고 있는지, 이런 것들을 전혀 알 수가 없다.

 

그렇기에 내가 ISMS-P, ISO 27001 같은 것들을 중시하는 것도, 소비자 입장에서는 인증을 받았는지, 받지 않았는지의 여부 같은 것들만 쉽게 알 수 있기 때문이다. 그리고 CRO의 등장도 마찬가지인 개념이다. CRO가 없는 기업과 CRO가 있는 기업에 대해서는 당연히 인식의 차이가 발생할 수밖에 없다. 그게 허울 뿐인 CRO인지는 그 다음의 문제이고 말이다.

 

그런데 CRO는 앞에서 CISO나 CIO가 담당하던 업무를 맡게된 것처럼 소개가 되었는데, 그럼 그냥 기존의 CISO, CIO의 업무로 그 직책을 이해하면 될까? 그것은 아니다.

 

홉킨스는 CISO와 CRO는 문제의 접근 방식에 있어 차이가 발생한다 주장한다.

 

CISO - 무엇이 문제인가?

CRO - 언제 사건이 터질까?

 

이런 차이라는 것이다. CRO는 문제는 언젠가 터질 수밖에 없다는 것을 전제로 깔고 들어가는 것이다. 그러므로 CISO는 위험 요소를 줄이는 것이 목적이라면, CRO는 사건이 발생해도 빠르게 정상화하는 것이 목적인 것이다. CRO에게 사건은 터질 수밖에 없는 일이니 말이다. 이것이 결정적인 차이가 되는 지점이다.

 

그렇게 생각한다면, CISO에서 CRO가 분리되는 것을 이해할 수 있다. 분명 다른 방식의 접근법을 갖고 있는데, 그걸 한 직책이 모두 한다는 것은 분명 모순적인 일이니 말이다. 개인적으로는 CRO의 업무에 더욱 구미가 당긴다. CRO는 언제나 차분함을 유지할 수 있어야 할 것이고, 언제나 준비되어 있어야 하며, 그것에 대한 자신이 있어야 하는 직책일 것이다. 계속해서 모든 분야의 1 to 10을 파악하길 좋아하며 이런 저런 상상을 하는 내 성정과 잘 맞지 않을까 싶기도 하다. 수습하는 것을 개인적으로 좋아하기도 하고 말이다. 아무튼, 국내에서도 이런 CRO의 직책이 등장하기 시작하며 그것에 대해 더욱 자세히 알 수 있는 기회가 생긴다면 참 좋겠다고 생각한다.

 

 

기사 출처: https://www.boannews.com/media/view.asp?idx=126363

728x90