좌절감, 스트레스, 책임 증가 등 CISO를 위축시키는 상황이 이어지고 있다. 하지만 전문가들은 꼭 위축될 필요는 없다고 말했다.
연구에 따르면 최근 보안 책임자 중 상당수(75%)는 이직에 관심이 있는 것으로 나타났다. 다시 말해 그 어느 때보다 많은 CISO가 현재 자신의 역할에 불만족하고 있다.
그 이유는 무엇일까? 연구원, 자문 위원, CISO들은 경영진의 지원 부족부터 미국 증권거래위원회(SEC)의 보안 규정처럼 높아진 책임 수준까지 다양한 이유로 불만을 토로하고 있다.
최근 발생한 여러 보안 사건에서는 침해 사고의 처리 및 보고에 대한 법적 책임이 CISO에게 있다고 판결되기도 했다. 여기에는 2016년 발생한 데이터 유출 사고를 보고하지 않았다는 이유에서 중범죄 은닉 및 위계에 의한 업무 방해죄로 집행 유예 3년을 선고받은 전 우버(Uber) CISO 조 설리반의 사례도 있다.
25년 간 사이버 보안, IT, 데이터 프라이버시 및 위험 관리 분야에서 일하며 사이버 보안 컨설팅 및 자문 서비스를 제공하고 있는 닉 셰벨료프는 “오늘날의 역할 범위가 실패할 수밖에 없는 구조로 돼 있다”라고 지적했다.
하지만 셰벨료프를 포함해 전문가들은 꼭 위축될 필요는 없다고 말했다. 임원, 이사, CISO가 직접 역할의 범위를 개선해 성공을 위한 기반을 마련한다면 이는 결국 직무 만족도 향상뿐만 아니라 더 안전한 조직을 만드는 데 도움이 될 수 있다.
리쿠르팅 기업 아티코 서치의 임원인 스티븐 마르타노는 “지금은 CISO에게 도전 시기인 동시에 기회의 시기다”라고 말했다.
불만족, 번아웃, 그리고 이것이 CISO에게 미치는 영향
IANS 리서치와 아티코 서치의 ‘2023-24 CISO 현황 보고서‘에 따르면 CISO의 직무 만족도는 64%로 2022년 74%, 2021년 69%에서 더 하락했다. 이직할 의향이 있다는 CISO의 비율도 75%에 달했다. 보안 소프트웨어 기업 프루프포인트의 ‘2023년 CISO 보이스‘ 보고서는 미국 CISO의 73%가 그 이전 해에 번아웃을 경험한 것으로 나타났다고 지적했다.
한편 보안 소프트웨어 업체 디보 테크놀로지의 의뢰로 웨이크필드 리서치가 실시한 ‘사이버 보안 번아웃 설문조사‘에 따르면 보안 전문가 응답자 중 83%가 보인 또는 소속 부서의 누군가가 번아웃으로 인해 보안 사고 실수를 일으킨 적이 있다고 답했다. 77%는 직장에서의 스트레스가 개인 고객 데이터를 안전하게 보호하는 업무에 직접적인 영향을 미쳤다고 응답했다. 또한 85%는 번아웃으로 인해 향후 1년 내에 역할을 바꾸거나 회사를 그만두거나 이직할 의향이 있다고 밝혔다.
전문가들은 이런 상황이 CISO의 이탈로 이어지고 있다고 말했다. 사이버 보안 벤처의 2023년 CISO 인력 보고서에 따르면 CISO의 평균 재직 기간은 18~26개월에 불과한 것으로 나타났다. 이는 일반적인 최고 경영진의 재직 기간인 4.9년에 훨씬 못 미치는 수치다.
또한 가트너는 2025년까지 사이버 보안 리더의 거의 절반이 역할을 변경하고 25%는 업무 관련 스트레스 요인으로 인해 다른 직책으로 전환할 것으로 예상했다.
CISO의 불만족 원인
조직에서 보호가 필요한 인프라와 데이터의 양이 점차 확장되면서 위협의 양과 속도가 증가하는데, 이런 수치를 보안 업무의 스트레스 특성 탓으로만 돌리기 쉽다.
가트너 부사장이자 애널리스트인 크리스 믹스터는 이것이 지나치게 단순화한 결과라고 지적했다. 일반적인 CISO는 수년간 보안 업계에서 일한 끝에 그 자리에 올랐으며, 압박감, 긴 근무 시간, 밤낮없이 일하는 환경에 익숙하다. 이들은 사명감을 갖고 임무를 수행하며, 책임감이 막중하다는 것을 잘 알고 있다.
믹스터는 오히려 CISO들이 불만족의 원인으로 조직 문제를 가장 자주 지적한다고 언급했다. 여기에는 조직 내 CISO의 위치와 관련된 문제도 있다. 많은 사람들이 아직 전략적 의사 결정 과정에 동등하게 참여하지 못하고 있고, 최고 경영진 및 이사회와의 가시성과 소통이 부족하다며 임원 회의 또는 이사회에 자리를 보장받기 위해 싸우고 있다.
이처럼 많은 CISO가 보안 조치, 위험 완화 노력, 필요한 예산을 제공하는 데 경영진의 지원과 동의를 얻지 못하고 있다. 이로 인해 CISO는 너무 많은 방향으로 끌려다니며 시간과 리소스의 투자 우선순위를 정하기 어려워하고 있다.
최고 경영진의 지원 부족이 실망감 유발
소프트웨어 제품 및 관리형 IT 서비스 제공 업체 아이스퀘어드(ISSQUARED)의 CISO인 니콜라이 체르나프스키는 “불만족의 이유는 경영진의 지원 부족”이라고 지적했다. 그는 필요한 보안 조치와 허용 가능한 위험에 대한 의견이 무시되거나, 이사회와 CEO가 이런 문제에 입장을 명확히 하지 않거나, 위험을 줄이려는 CISO의 노력을 경영진이 인정하지 않을 때, 특히 더 많은 책임과 의무에 직면하게 될 때 CISO가 불만을 토로한다고 말했다.
당연히 CISO는 조직 내에서의 이런 불만을 공개적으로 공유하기를 꺼릴 터다. 그러나 IANS 리서치 보고서는 이 문제를 명시했는데, 이에 따르면 36%의 CISO만이 이사회로부터 위험 허용 범위에 대해 명확한 지침을 받았다고 답했다.
여기에 더해 오늘날 CISO는 미국 증권거래위원회의 사이버 공시 규정과 기타 규제 및 법적 요구 사항에 대한 책임까지 떠안고 있다. 책임 증가는 많은 CISO가 조직의 임원 배상책임 보험(D&O)에 가입돼 있지 않다는 사실과도 맞물려 있다. 많은 기업에서는 직책에 ‘임원’이라는 단어가 있음에도 불구하고 CISO를 임원으로 간주하지 않고 있다.
책 ‘사이버 전쟁… 그리고 평화: 역사를 통해 오늘날의 디지털 신뢰 구축하기’의 저자 세벨료프는 이런 역학 관계가 보안 결정에 대한 책임과 그 결정을 실제로 실행할 수 있는 권한 사이의 격차를 벌리고 있다고 지적했다.
오랜 경력의 보안 리더들은 이 역학 관계, 책임과 권한 사이의 격차가 불만과 소진, 시장 이탈을 야기하고 있다고 지적했다. IANS 리서치의 수석 연구 책임자 닉 카콜로프스키는 “핵심 문제는 CISO가 조직으로부터 지원, 특히 의미 있는 지원이 부족하다고 느끼는 것이다. CISO는 마치 외딴 섬에서 일하는 것처럼 느끼지만, 문제가 발생하면 가장 먼저 희생양이 된다”라고 말했다.
CISO가 만족하려면 조직이 변화해야
보안 리더들은 기업에서 CISO의 역할을 유지하고 보안 태세를 제대로 갖추려면, CEO, 이사 및 최고 경영진이 그들의 목소리를 듣고 조정해야 한다고 말했다.
셰벨료프는 조정을 통해 많은 조직에서 CISO가 갖고 있는 높은 수준의 책임과 낮은 수준의 권한 사이의 격차를 좁혀야 한다고 언급했다. 전문가들은 그래야 CISO의 정보가 CEO 및 이사회에 정확하게 전달되도록 할 수 있기 때문에, CISO가 자신의 지위와 역할에 대한 효율성을 개선하는 데 꼭 필요하다고 말했다.
믹스터는 “CISO가 효과적으로 일하려면 이사회와의 핫라인이 필요하다”라며, 이것이 CISO와 이사회가 위험, 보안 요구 사항 및 공유 목표를 달성하는 데 필요한 리소스를 이해하고 조정할 수 있게 한다고 조언했다.
카콜로프스키 역시 이에 동의하며 “CISO가 이사회에 정기적으로 참여하면 이사회가 보안에 대해 더 많이 인식하기 시작하고 더 많이 지원할 수 있다”라고 설명했다.
CISO가 조직에 요청할 사항
미국 NCC의 사이버 위원회 위원장이자 NCC의 2023년 보고서 ‘CISO 대퇴직‘의 공동 저자인 릭 크랜달은 CISO가 D&O 보험에 가입되는 것을 포함해 특정 관행을 지지할 수 있고, 또 지지해야 한다고 말했다.
크랜달과 NCC는 또한 CISO가 적어도 1년에 한 번은 이사회와의 정기적인 임원 세션을 열거나 이사회와 직접 소통할 수 있는 창구가 있어야 한다고 봤다. 이들은 조직에서 CFO만이 이사회와 공개적이고 솔직한 토론을 장려하는 세션을 갖는다고 지적했다.
크랜달은 “CISO가 질문을 받고 별도의 중재 없이 직접 답변할 수 있는 기회가 있어야 하며, 이는 다른 모든 경영진에게도 괜찮아야 한다”라고 말했다.
보안 및 IT 예산의 분리, 승계 계획(Succession Planning)이 유용
또한 크랜달은 CISO가 IT와 같은 다른 부서의 예산에서 보안 예산을 떼어낼 것이 아니라 독립적인 보안 예산을 요구해야 책임과 권한을 조정하는 데 도움이 된다고 설명했다.
믹스터 역시 CISO에게 “시간을 가차 없이 관리하라”라고 조언했다. 다시 말해 자신의 관심에 대한 요구 사항과 조직 내 다른 사람들과의 관계에 우선순위를 지정해야 한다는 의미다. 믹스터는 “지금은 모두가 CISO를 자신의 곁에 두기를 원하지만, CISO가 모든 사람의 것이 될 수는 없으며 모든 관계가 다 중요하지는 않다”라고 말했다.
또한 그는 CISO에게 승계 계획을 수립하라고 조언했다. 승계 계획은 핵심 인력이 물러났을 때 그 역할을 메울 수 있도록 준비된 인재 풀을 양성하는 인재 관리 프로세스다. 믹스터에 따르면 CISO는 승계 계획을 통해 필요한 인력을 확보할 수 있고, 더 중요한 업무에 대해 확신을 갖고 위임할 수 있다. 이렇게 해야 CISO는 더 효율적이고 효과적으로 일할 수 있으며, 일반적으로 자신의 역할에 더 만족하게 된다.
믹스터는 “CISO가 효과적으로 일하려면 최고 수준의 보고 팀이 필요하다. 연구에 따르면 승계 계획이 있을 때 성과가 더 좋아진다는 것이 확인됐다”라고 말했다. 하지만 그에 따르면 승계 계획을 수립한 CISO는 절반 정도에 불과하다.
일부 조직에서 CISO의 우려를 해결하고 있다는 점은 희망적
몇몇 CISO, 고위 임원 및 이사회는 이런 문제를 해결하기 위해 다양한 방법을 마련하고 있다. 전문 서비스 기업 PwC의 사이버 위험 및 규제 실무 책임자인 조 노세라는 많은 CISO가 경영진 회의에서 동등한 지위를 확보할 수 있도록 관계와 비즈니스 통찰력을 키우고 있다고 말했다. 그에 따르면 D&O 보험에 가입하고 이사회와 세션을 갖고 있는 CISO도 늘고 있다.
일부 이사들도 행동에 나서고 있다. 미국 기업 이사 협회(NACD)의 디지털 및 사이버 콘텐츠 개발 담당 수석 매니저인 케이티 스와퍼드는 NACD 2023 이사회 관행 및 감독 조사 보고서를 언급하며 CISO가 공공 및 민간 기업 이사회에 사이버 보안에 대해 가장 자주 보고하는 최고 경영진 중 하나가 됐다고 말했다.
스와퍼드는 “기술 감독이 가장 필요한 회사에서 CISO는 이사회가 비즈니스, 전략 및 재무 능력을 성장시키는 데 기꺼이 도움을 줄 것”이라고 말했다.
하지만 여전히 많은 CISO가 필요한 지원과 리소스를 확보하는 데 어려움을 겪고 있다. 노세라는 “대화를 나눠본 CISO들은 직책에 대한 스트레스와 책임감, 그리고 개인적인 책임이 크게 달라졌다고 했다. 5년 전이나 10년 전과 비교하면 지금은 훨씬 더 책임감이 막중해졌다. 그리고 점점 더 많은 CISO가 임원 회의에 참석하고 있지만, 자리만 채우거나 뒷자리에 앉는 경우도 허다하다”라고 언급했다.
믹스터는 보안에 대한 이사회 및 경영진의 관심과 지원 수준이 만족스럽지 못할 경우 조직을 떠날 수 있다고 조언하며 CISO가 이를 수용할 필요는 없다고 말했다. 그는 “오늘날 수요와 공급은 CISO에게 유리하게 작용하고 있다”라고 덧붙였다.
* Mary K. Pratt는 미국 매사추세츠주에 거주하는 프리랜서다. dl-ciokorea@foundryco.com
