리스크 스토리텔링 능력을 갖추는 것은 조직 내에서 의미 있는 행동을 유도하는 데 필수적이다. 적절한 이야기는 사이버 보안 리스크를 강조하며, 이를 통해 주의를 끌고 궁극적으로 행동으로 이어지게 해야 한다.
칼라일그룹(Carlyle Group)의 CISO 베서니 드 루드는 “무엇이든 대화의 주제가 되면 우선순위로 올라가게 마련이다. 그래서 우리는 사이버 보안에 대해 대화해야 한다”라고 설명했다.
드 루드가 말하는 것은 단순한 기술적 통제에 관한 낡은 이야기가 아니다. 비즈니스 운영 방식을 이해하고, 보안 프로그램을 전략적 목표에 연계하며, 듣는 사람의 언어로 위험을 표현하는 정교한 스토리를 개발하자는 것이다. 취약점 점수나 패치 속도에 대해 이야기하는 것과는 거리가 멀다.
드 루드는 파운드리 산하 언론사 CSO와의 인터뷰에서 “일명 ‘FUD(FUD: Fear, Uncertainty, Doubt)’를 이야기하는 시대는 끝났으며, 그런 주제로 설득하는 것은 낮은 수준의 대화다. 이제는 더 성숙한 접근이 필요하며, CISO는 기업 리스크를 파악해야 한다”라고 언급했다. 그는 “대화의 틀을 짜는 방법을 알아야 하고, 상대방의 관심사에 맞는 언어로 이야기하며, 세부 정보를 적절하게 제공해야 좋은 스토리를 만들 수 있다”라고 조언했다.
적절한 리스크 스토리를 만들기 위해 고려해야 할 점
드 루드가 활용하는 방법 중 하나는 듣는 당사자와 관련된 최신 뉴스 기사를 활용하는 것이다. 이를 통해 보안 프로그램의 중요성과 뉴스에 오르지 않기 위한 노력의 필요성을 자연스럽게 연결할 수 있다고 한다. 그는 “청중이 무엇에 관심을 가지는지에 맞춰 이야기를 구성한다. 만약 그들이 이사회에 속해 있다면, 브랜드 가치 훼손 위험성이나 규제 위반으로 인한 문제를 이야기한다. 그리고 준비된 보안 프로그램이 그와 관련된 피해를 줄이는 과정에서 어떤 역할을 하는지 설명한다”고 표현했다.
그럼에도 불구하고, 적절한 언어를 사용하는 것은 쉽지 않다. 비자(Visa)의 사이버 보안 및 규정 준수 책임자인 알렉산더 휴즈는 리스크와 관련된 전문 용어가 대화를 방해할 수 있다고 지적했다. 이 문제를 해결하기 위해 휴즈는 대화 내에서 이해하기 쉬운 손실 또는 자산 감소(공격으로 인한 기능 또는 가치 감소)라는 측면에서 위험을 구체적인 수치로 표현할 것을 제안했다. 휴즈는 “리스크를 비용으로 이야기하면 매출 손실과 같은 더 구체적인 언어를 사용할 수 있다. 예를 들어, 서비스가 공격받아 작동하지 않으면 자산이 손상되거나 파괴되고, 매출이 줄어든다라고 표현할 수 있다”라고 설명했다.
또한 휴즈는 조직들이 리스크의 발생 가능성을 추정하는 데 어려움을 겪고 있다고 지적한다. 그는 기본적으로 인간은 리스크를 계산하는 데 능숙하지 않으며, 조직들이 이러한 계산에 도움이 되는 공격 관련 데이터를 공유하는 데 소극적이라고 설명했다. 그는 “공격의 유형, 빈도, 심각도, 악용 방식에 대한 정부 차원의 데이터 저장소가 제대로 갖춰져 있지 않아 추측에 의존하고 있다”고 전했다.
따라서 일관된 리스크 관리 프로세스를 따르는 것이 중요하다. 이를 통해 과거 리스크 결정과 결과에 대한 명확한 기록을 남기고, 이를 바탕으로 미래 리스크를 더 정확하게 예측할 수 있다. 이는 더 나은 리스크 스토리를 만드는 데 도움이 된다.
UST의 CISO인 조이 라치드는 조직이 이해할 수 있는 방식으로 위험을 더 잘 이해하고 제시할 필요가 있다는 데 동의했다. 또한 비즈니스 목표와 연계하고 적절한 언어로 소통하는 것이 중요하다고 강조했다. 라치드는 “CISO는 경영진으로서 비즈니스를 지원하기 위해 존재한다는 사실을 인식해야 한다. 비즈니스 리더들에게 공감을 줄 수 있는 방식으로 소통해야 한다”고 설명했다.
라치드는 보안 리더직을 처음 맡았을 시절에 NIST 성숙도 모델과 같은 방식으로 리스크를 설명하는 것이 이사회나 다른 경영진에게는 큰 의미가 없다는 사실을 배웠다고 한다. 또한 지나치게 기술적인 설명을 길게 하는 것은 듣는 이의 관심을 잃게 만들고, CISO로서의 신뢰도도 잃게 되는 지름길이었다고 설명했다.
라치드는 CSO와의 인터뷰에서 “보안 분야에 있지 않은 경영진은 우리의 전문 기술을 배우려고 하지 않을 것이다. 따라서 리스크를 비즈니스에 맞는 방식으로 계량화해야 한다. 청중을 잃으면 그들이 여러분의 능력을 인정하지 않게 된다”고 강조했다.
라치드는 스토리가 경영진의 우려, 즉 주요 리스크와 비즈니스에 미치는 영향에 대해 집중하고 있다. 특히 비즈니스에 중요한 리스크를 파악하고, 그 리스크를 누구나 이해할 수 있는 방식으로 전달하는 쪽으로 접근 방식을 바꾸어 설명하고 있다. 예를 들어, 보안 침해는 기업의 평판에 손상을 입힐 수 있다는 점을 강조하는 식이다.
그는 메시지가 진정으로 효과를 발휘하려면, 리스크를 비즈니스 관점에서 계량화하여 듣는 이가 설명하려는 내용을 정확히 이해할 수 있도록 해야 한다고 밝혔다. 라치드는 “내 이전 회사는 자동차 회사였는데, 자동차를 예로 들어 설명하는 것이 쉬웠다. 왜냐하면 우리 모두가 도로 위의 위험, 안전벨트를 매지 않았을 때의 위험 등을 이해하고 있기 때문이다”고 설명했다.
리스크 스토리텔링로 CISO의 신뢰를 높이는 방법
리스크는 비즈니스에서 필수적인 요소이며, 여러 측면에서 불가피한 부분이다. 사실, 리스크는 잘 관리되면 긍정적인 역할을 할 수도 있다. 라치드는 “리스크 관리자이자 리스크를 식별하고 처리하는 사람으로서 위험을 항상 부정적인 것으로만 볼 필요는 없다. 위험은 삶의 일부이고 비즈니스의 일부다”라고 설명했다.
CISO가 비즈니스의 기본을 이해하고 리스크를 단순히 기술적 측면이나 사이버 보안 문제로만 국한하지 않고 더 넓은 맥락에서 접근한다면, 경영진과 보다 깊은 신뢰를 구축할 수 있다. 라치드는 ” 이러한 접근 방식은 경영진과 이사회에 CISO의 신뢰도를 높이고 역량을 입증하는 데 효과적이다. 결과적으로 리스크에 대해 논의할 때 리더들의 주의를 더 효과적으로 끌 수 있다.”고 전했다.
보안 리스크 스토리에서 메트릭과 데이터의 역할
리스크 스토리텔링은 지나치게 상세하지 않으면서도 관련 메트릭(데이터를 분석해서 만들어진 측정치)에 근거해야 한다. 리스크 스토리텔링의 핵심 목표는 특정 유형의 위험에 대한 그림을 그려주는 것이다. 이를 위해서는 자신이 속한 상황에서 가장 적절한 방식으로 이야기를 전달하는 능력이 필요하다.
드 루드는 “나는 스토리텔링 과정에서 특정 주제를 강조하기 위해 유용한 데이터를 가져오는데 집중한다”라며 “버라이즌의 ‘데이터 유출 조사 보고서(Data Breach Investigation Report)’나 IBM의 ‘데이터 유출 비용 보고서(Cost of a Data Breach Report)’ 같은 업계 보고서의 통계와 시사점을 가진 데이터를 활용한다”라고 설명했다.
서드 파티 리스크 관리와 관련된 경우, 얼마나 많은 벤더가 관리되고 있는지, 그 트렌드는 어떠한지, 규제 환경은 어떤지, 그리고 그것이 얼마나 중요한지를 설명할 수 있으면 좋다.
드 루드는 경영진을 포함한 청중이 자사의 사이버 프로그램이 동종 업계와 어떻게 비교해 얼마나 비슷하고 어떤 부분이 다른지 항상 큰 관심을 보인다고 전했다. 이때 이 내용만 너무 부각되지 말아야 한다고 조언했다. 역시 청중을 압도하지 않는 것이 중요하다고 강조했다. “사람들은 항상 사이버 프로그램이 업계 표준과 비교했을 때 얼마나 다른지 듣고 싶어 한다. 하지만 나는 비교 분석에 집중한 자료는 주지 않는다. 우리가 추구해야 할 가장 중요한 것들을 보여주고 차이점 분석을 통해 동종 업계 대비 우리의 위치, 그리고 다음 단계에 무엇을 해야 할지 설명하는데 집중한다”라고 설명했다.
그러나 청중의 관심을 유지하고 리스크를 일상적인 지표로 풀어내기 위해서는 때때로 약간의 연출이 필요하다. 드 루드는 “재무 부서와 함께 하는 전체 미팅이 있다면, ‘안녕하세요, 재무 전문가 여러분. 여러분은 가장 많이 공격당하는 3대 부서 중 하나라는 사실을 알고 계셨나요? 그 이유는 이렇습니다’라고 설명할 준비가 되어 있어야 한다”라고 조언했다.
공식적인 이사회, 위원회 회의, 전 직원 참여 미팅, 복도에서 나누는 대화 등 어떤 자리에서든 CISO는 과도한 전문 용어 사용을 지양하여 청중이 당황하거나 소외감을 느끼지 않도록 해야 한다.
드 루드는 실제로 리스크를 이해하기 쉬운 부분으로 나누고 간단한 용어를 사용해 설명한다. 그는 “복잡한 전문 용어를 사용하지 않고 쉽게 설명했을 때, 사람들이 이해하지 못하고 있던 부분이나 잘못 알고 있던 점들이 드러나는 경우가 많았다. 그래서 나는 대화를 할 때마다 ‘공감을 얻을 수 있는가?’, ‘이해하기 쉬운가?’, ‘청중의 우려사항을 다루었는가?’라는 세 가지 핵심 질문을 특히 고려한다”라고 설명했다.
스토리 방어 및 스토리텔링 능력 키우기
강력한 스토리를 만드는 것은 사이버 보안 프로그램에 대한 투자 논리를 강화하는 데도 중요하다. 특히 프로그램을 재구성하거나 새로운 프로그램을 시작할 때 이 부분은 매우 중요하다.
휴즈는 인터넷 보안 제어 프레임워크의 기본 요건을 갖추기 위해 200만~300만 달러의 비용이 소요될 것으로 추정했다. 그는 “보안 능력을 갖추는 과정에선 엄청난 비용이 필요하다. 스토리텔링과 회사 전반의 대화는 이 새로운 지출을 정당화하는 데 중요한 역할을 한다”라고 설명했다.
그러나 모든 이야기에는 회의론자가 존재하듯, CISO도 자신의 리스크 스토리를 방어할 수 있어야 한다. 특히 큰 비용이 걸린 문제일 때 더욱 그렇다. 드 루드는 스토리나 프레젠테이션을 테스트해 보는 세션이 도움이 될 수 있다고 말한다. 그는 “다른 사람들을 초대해 개념을 설명하고 잠재적 반대 의견을 묻는 방식으로 스토리의 설득력을 높이고 개선할 수 있다”라고 전했다.
커뮤니케이션 능력이 뛰어난 내부 전문가의 도움을 받아 이야기를 더욱 강력하게 전달해볼 수도 있다. 드 루드는 “보안 전문가는 아니지만 강력한 메시지 전달 능력을 가진 내부 직원의 도움을 받았을 때, 상황이 획기적으로 개선된 적이 있었다”라고 언급했다.
마지막으로 드 루드는 보안 프로그램의 스토리를 효과적으로 전달하기 위해 마케팅, 커뮤니케이션 또는 영업 전문가와의 협력을 고려해 볼 것을 업계 CISO에게 제안했다. 드 루드는 “그들은 기술 커뮤니케이터가 아니라 비즈니스 커뮤니케이터이며, 사이버 전문가인 비즈니스 파트너가 바로 CISO에게 필요한 존재다”라고 강조했다.
[email protected]