CISO의 새로운 무기 ‘리스크 스토리텔링’ 역량 개발법

위험 스사이버 보안 위험 소통에는 기술적 전문성 이상의 것이 필요하다. 최근 CISO가 공감을 불러일으키는 스토리를 만들어야 한다는 점을 공감하고 있다.. 효과적인 스토리텔링은 사이버 보안 위험을 부각시켜 주의를 끌고 행동으로 이어지게 하는 것을 목표로 한다.

칼라일그룹(Carlyle Group)의 CISO 베서니 드 루드는 “사이버 보안이 화제가 되어야 우선순위가 되기 때문에 이에 대해 이야기하고 싶다”고 설명했다.

이는 단순한 기술적 통제에 관한 낡은 이야기가 아니다. 비즈니스 운영 방식을 이해하고, 보안 프로그램을 전략적 목표에 연계하며, 청중의 언어로 위험을 표현하는 정교한 스토리를 개발하는 것이다. 취약점 점수나 패치 속도에 대해 이야기하는 것과는 거리가 멀다.

드 루드는 CSO와의 대화에서 “FUD(두려움, 불확실성, 의심)를 이야기하는 시대는 끝났으며, 이는 성숙도가 낮은 대화다. 이제는 더 정교한 개념이 필요하며 CISO는 기업 리스크를 파악해야 한다”고 언급했다. 그는 “다른 이들을 위해 대화의 틀을 짜고, 그들의 언어로 관심사를 다루며, 적절한 수준의 세부 정보를 제공할 수 있어야 좋은 이야기의 재료가 된다”고 덧붙였다.

올바른 리스크 스토리를 전달하기 위한 CISO의 고려사항

드 루드가 활용하는 방법 중 하나는 리스크 대화에서 청중과 관련된 시사성 있는 뉴스 기사를 활용하는 것이다. 이는 보안 프로그램의 중요성과 헤드라인을 장식하지 않아야 할 필요성을 설명하면서 핵심을 파악하는 데 도움이 된다. 그는 “청중이 우려하는 브랜드 위험이나 규제 위험이라는 관점에서 프레임을 짜고, 그 영향과 보안 프로그램을 통해 위험을 줄이기 위한 우리의 노력에 대해 이야기한다”고 설명했다.

그러나 적절한 언어를 채택하는 데는 어려움이 있다. 비자(Visa)의 사이버 보안 및 규정 준수 책임자인 알렉산더 휴즈는 위험 용어의 제한성으로 인해 논의가 제한될 수 있다고 지적했다. 이 문제를 해결하기 위해 그는 사이버 보안 스토리 내에서 이해하기 쉬운 손실 또는 자산 저하(공격으로 인한 기능 또는 가치 감소)라는 측면에서 위험을 정량화할 것을 제안했다. 휴즈는 “리스크를 비용으로 이야기할 수 있다면 매출 손실과 같은 미묘한 언어가 더 많이 사용된다. 서비스가 공격을 받아 작동하지 않으면 자산이 저하되거나 파괴되고 수익이 손실된다”고 설명했다.

또한 휴즈는 조직이 위험 가능성을 파악하는 데 있어 추측에 의존하고 있다고 본다. 그는 인간이 위험 발생 가능성을 계산하는 데 능숙하지 않으며, 조직들이 이러한 계산에 도움이 되는 공격 데이터를 공유하는 데 소극적이라고 지적했다. 그는 “공격의 유형, 빈도, 심각도, 익스플로잇 방식에 대한 정부 차원의 데이터 저장소가 제대로 갖춰져 있지 않아 추측에 의존하고 있다”고 전했다.

따라서 일관된 위험 관리 프로세스를 따르면 과거의 위험 결정과 결과에 대한 명확한 기록을 구축하는 데 도움이 된다. 이 기록은 미래의 위험을 정확하게 예측하는 데 매우 중요하므로 정보에 기반한 위험 이야기를 하는 데 도움이 된다.

UST의 CISO인 조이 라치드는 조직이 이해할 수 있는 방식으로 위험을 더 잘 이해하고 제시할 필요가 있다는 데 동의한다. 이를 비즈니스 목표와 연계하고 적절한 언어로 소통하는 것이 중요하다. 라치드는 “우리는 경영진으로서 비즈니스를 지원하기 위해 존재한다는 사실을 인식해야 하며, 따라서 비즈니스 리더가 공감할 수 있는 용어로 소통해야 한다”고 설명했다.

그러나 그는 경력 초기에 NIST 성숙도 관점 같은 것을 사용하여 위험을 공식화하는 것은 이사회와 다른 임원들에게 큰 의미가 없다는 것을 깨달았다. 마찬가지로 기술적인 세부 사항을 너무 자세히 설명하는 것은 CISO로서 청중과의 신뢰를 빠르게 잃을 수 있는 방법이다.

라치드는 CSO와의 대화에서 “그들은 우리의 전문 기술을 배우지 않을 것이므로 비즈니스에 적합한 용어로 위험을 정량화해야 한다. 청중을 잃으면 그들이 여러분의 능력을 인정하지 않게 된다”고 강조했다.

라치드는 고위 경영진의 관심사, 일반적으로 중대한 위험과 비즈니스 및 수익에 미치는 영향에 대해 이야기해야 한다는 사실을 깨달았다. 그는 중대한 위험과 고유한 위험을 포함하여 비즈니스에 미치는 위험을 파악하고, 이러한 위험을 누구나 이해할 수 있는 용어로 전달하는 방식으로 접근 방식을 전환했다(예: 보안 침해로 인해 비즈니스에 평판이 손상될 수 있음).

메시지가 제대로 전달되려면 비즈니스에 따라 위험을 정량화하여 청중이 설명하려는 내용을 정확히 이해할 수 있도록 해야 한다고 그는 조언한다. 라치드는 “이전 조직이 자동차 회사였기 때문에 안전벨트를 매지 않고 도로를 달릴 때의 위험을 모두 이해하고 있어서 자동차에 비유하여 이야기를 전달하기가 쉬웠다”고 설명했다.

위험에 대한 스토리로 CISO의 신뢰를 구축하는 방법

위험은 비즈니스에 필수적인 요소이며 여러 면에서 피할 수 없는 존재다. 실제로 위험은 때때로 긍정적인 측면이 있으며, 특히 잘 관리한다면 더욱 그렇다. 라치드는 “위험 관리자, 식별자, 위험을 다루는 사람으로서 우리는 위험을 항상 부정적인 것으로만 볼 필요는 없다. 위험은 삶의 일부이고 비즈니스의 일부”라고 설명했다.

CISO가 비즈니스의 기본을 이해하고 위험을 단순히 기술 및 사이버 보안으로만 간주하는 것에서 벗어나 더 넓은 맥락을 고려하면 관계와 신뢰를 구축하는 데 도움이 된다. 라치드는 “이렇게 하면 경영진과 이사회에 대한 신뢰와 역량이 쌓이고, 경영진과 이사회는 위험에 대해 이야기할 때 여러분의 말에 귀를 기울일 가능성이 높아진다”고 전했다.

보안 위험 스토리에서 메트릭과 데이터의 역할

위험 이야기는 지나치게 상세하지 않으면서도 관련 메트릭에 근거해야 한다. 목표는 특정 유형의 위험에 대한 그림을 그리는 것이며, 이를 위해서는 상황에 맞게 가장 효과적으로 스토리를 전달하는 방법을 알아야 한다.

드 루드는 “스토리텔링에 중요한 주제를 강화하는 데이터를 제공하는 메트릭을 선택적으로 가져와서 통계와 베라이즌(Verizon)의 데이터 유출 조사 보고서, IBM의 데이터 유출 비용 보고서와 같은 업계 보고서에서 얻은 교훈을 더한다”고 설명했다.

서드파티 위험 관리와 관련된 경우, 드 루드는 얼마나 많은 공급업체가 관리되고 있는지, 그 추세는 어떠한지, 규제 환경은 어떠한지, 그리고 그것이 얼마나 중요한지에 대해 이야기할 수 있다고 전했다.

드 루드는 사이버 프로그램이 동료들과 어떻게 조화를 이루는지에 대해 듣는 데 항상 많은 관심이 있다는 것을 알게 되었지만, 이 역시 청중을 압도하지 않는 것이 중요하다고 강조했다. “사람들은 항상 사이버 프로그램이 업계 벤치마크에 어떻게 부합하는지에 대해 듣고 싶어 하지만 저는 다이얼이나 게이지를 사용하지 않습니다. 우리가 추구해야 할 가장 중요한 것들을 보여주고 격차 분석을 통해 동종 업계와 비교하여 우리의 위치, 그리고 다음 단계에 대한 제안을 보여줍니다”라고 그는 설명했다.

그럼에도 불구하고 청중의 관심을 유지하고 위험을 일상적인 지표로 세분화하기 위해 약간의 쇼맨십을 발휘할 여지는 여전히 남아 있다. 드 루드는 “재무 부서가 있는 타운홀이라면 ‘재무 전문가 여러분, 재무 부서가 표적이 되는 3대 부서 중 하나라는 사실을 알고 계셨고, 그 이유는 이렇습니다’라고 말할 수 있도록 준비하세요”라고 조언했다.

공식적인 이사회, 위원회 회의, 타운홀 또는 복도에서 나누는 대화 등 어떤 자리에서든 전문 용어를 몰라서 사람들이 어리석게 느껴지지 않도록 하는 것이 목표다. 드 루드의 접근 방식은 간단한 어휘를 사용하여 위험을 소모적인 부분으로 세분화하는 것이다. “전문 용어를 제거하면 틈새가 드러난다는 사실을 여러 번 배웠습니다. 그래서 저는 세 가지 핵심 질문에 답할 수 있는지 확인합니다: 스토리가 공감을 불러일으키는가? 소모적인 것인가? 듣는 사람의 우려를 해소했는가?”라고 드 루드는 강조했다.

스토리 방어 및 스토리텔링 기술 연마하기

사이버 보안 프로그램에 대한 투자 사례를 강화하기 위해서는 설득력 있는 내러티브를 만드는 것도 중요한데, 이는 프로그램을 재구성하거나 새로운 프로그램을 시작할 때 매우 중요하다.

휴즈는 인터넷 보안 제어 프레임워크의 기본 요건 세트에 200만~300만 달러의 비용이 소요될 것으로 추정했다. “이는 엄청난 비용이기 때문에 이 새로운 미래 비용을 창출하기 위한 스토리텔링과 회사 구성원 간의 대화가 중요합니다”라고 그는 설명했다.

그러나 어떤 이야기에는 회의론자가 있는 것처럼, CISO도 특히 큰 비용이 수반되는 경우 위험 이야기를 방어할 수 있어야 한다. 드 루드는 챌린지 세션을 통해 스토리나 프레젠테이션을 스트레스 테스트하는 것이 도움이 될 수 있다는 사실을 발견했다. “여러 사람을 초대해 개념을 설명하고 잠재적인 반대의견을 물어보며 강력한 내러티브를 테스트하고 개발할 수 있습니다”라고 그녀는 전했다.

드 루드는 강력한 커뮤니케이션 기술을 가진 사내 전문 인력을 활용하면 설득력 있는 방식으로 스토리를 투영하는 방법을 배우는 데 도움이 된다는 사실을 발견했다. “사이버 전문가는 아니지만 다양한 방식으로 강력한 메시지를 전달할 줄 아는 사람의 도움을 받은 것은 획기적인 변화였습니다”라고 그녀는 언급했다.

드 루드는 다른 CISO들에게 보안 프로그램의 스토리를 판매하는 데 도움을 줄 수 있는 마케팅, 커뮤니케이션 또는 영업 담당자와 협력하는 것을 고려하라고 조언한다. “그들은 기술 커뮤니케이터가 아니라 비즈니스 커뮤니케이터이며, 사이버 전문가인 비즈니스 파트너가 바로 CISO에게 필요한 존재입니다”라고 그녀는 강조했다.

dl-ciokorea@foundryco.com