월마트의 제리 가이슬러 수석 부사장 겸 CISO는 자신의 직급이 회사의 사이버 보안 프로그램에 대한 지속적인 투자와 “사이버 보안 기업이 되겠다는” 의지를 반영한다고 설명했다. 그는 CISO 역할의 지속적인 진화를 강조하며 다음과 같이 언급했다.
“과거에는 보안이 디지털 환경에서 종종 후순위로 밀렸지만, 2024년에는 조직들이 안전한 애플리케이션, 시스템, 서비스를 구축하는 것을 우선순위로 두고 있다. 월마트는 정보 보안에 오래전부터 중점을 두어 이 분야의 선구자 역할을 해왔으며, CISO를 부사장급으로 승격시킨 것은 전 세계적으로도 드문 사례이다”라고 가이스러는 밝혔다.
그는 이어 “이러한 긍정적인 변화는 CISO가 다양한 분야에서 비즈니스 수준의 의사결정을 형성하는 데 중요한 역할을 한다는 점을 보여준다”고 말했다.
올해 CSO 명예의 전당에 오른 10명 중 한 명인 가이스러의 이러한 견해에 동의하는 이들이 많다. 2024년 명예의 전당에 포함된 다른 사람들도 CISO 역할이 전통적인 기술적 역할에서 고위 전략적 경영진으로 변화하고 있다고 보고 있다. 이와 함께 보안 책임자들에게 맡겨지는 책임도 확대되고 있다.
“내가 처음 경력을 시작했을 때는 사이버 보안이 IT에 속해 있었고, IT는 여전히 백오피스 기능으로 간주되었다. 사이버 보안은 일종의 보험처럼 여겨졌지만, 이제는 비즈니스를 성장시키는 중요한 요소로 진화했다”라고 GE 버노바의 부사장이자 글로벌 CISO인 테레사 지엘린스키는 설명했다. “오늘날 CISO 역할은 더욱 진화하고 있다. 이제 사이버뿐만 아니라 리스크와 복원력을 이끄는 전략적 역할로 발전하고 있다.”
더 많은 책임, 더 많은 책임감
최고 보안 책임자의 역할은 1990년대 중반부터 계속 변화해왔으며, 지엘린스키의 경력도 이러한 변화와 함께했다. 많은 CISO들처럼 그녀도 IT 분야에서 경력을 시작했고, 12년 동안 그곳에서 근무했다. 2009년, 보안 사고에 대응하는 팀을 이끌라는 요청을 받으며 사이버 보안 분야로 진출하게 되었다.
지엘린스키는 즉시 사이버 보안이 단순히 나쁜 일을 막는 것이 아니라 비즈니스 목표를 달성하는 데 도움을 줄 수 있다는 사실을 깨달았다. 사이버 보안은 모든 부서를 아우르며, 비즈니스를 운영하는 프로세스와 기술을 이해하는 보안 리더가 전체적인 상황을 파악할 수 있다는 점을 알게 되었다. 그녀는 또한 고객 경험과 신뢰에 영향을 미치는 제품 보안을 담당하는 IT와 협력하면서 보안 리더의 역할이 얼마나 중요한지를 실감했다.
“사이버 보안은 모든 부서에서 문제를 해결하고 프로세스를 제대로 작동시키기 위해 세밀하게 조정되어야 한다”고 그녀는 전했다. “보안에서는 고객이 필요로 하는 것이 무엇인지, 준수해야 할 규정이 무엇인지를 이해하고 이를 바탕으로 다른 임원들을 설득해야 한다. 이를 깨달았을 때 나는 이 역할이 단순히 보험 차원이 아니라 비즈니스를 활성화하는 것임을 알았다.”
그녀는 점점 더 많은 조직에서 “보안 우선 사고방식”을 채택하고 있음을 증거로 들었다. 보안이 디지털 제품에 처음부터 기본적으로 내장되는 것처럼, 자동차 생산에서 안전이 뒷전이 아닌 기본 요소가 된 것과 같은 맥락이다.
“아무도 안전 기능이 없는 자동차를 사지 않을 것이다. 이는 디지털 제품에서도 동일해야 하며, 특히 AI와 생성형 AI 서비스에서 더욱 그렇다”고 그녀는 말했다.
더 나아가 지엘린스키는 앞으로 더 많은 CISO가 더 넓은 책임을 맡게 될 것이며, 그들이 기업의 최고 경영진으로 진출할 것이라고 내다봤다.
구체적으로 그녀는 사이버 보안 업무가 리스크와 복원력 책임과 통합될 것으로 예상했다. 이는 합리적인 변화라고 덧붙였다. 사이버 보안, 리스크, 복원력은 모두 조직이 사고를 겪더라도 생존할 수 있을 뿐만 아니라 오히려 리스크를 극복하며 성장할 수 있도록 하는 데 초점을 맞추고 있기 때문이다.
“CISO와 최고 리스크 책임자는 더욱 밀접하게 협력하거나, 두 역할이 하나로 합쳐져 사이버 보안, 리스크, 복원력을 모두 이끄는 역할이 될 가능성이 크다”고 지엘린스키는 설명했다.
캐나다 내셔널 철도(Canadian National Railroad)의 CISO인 본 헤이젠도 CISO가 과거보다 리스크 관리에서 더 큰 책임을 맡고 있다고 본다.
“기본적으로 CISO는 리스크 관리 역할이다. 리스크를 관리하는 것이 핵심”이라고 그는 설명했다. 또한 증가하는 보안 규제는 CISO가 준법 요소까지도 관리하도록 요구하고 있다고 덧붙였다. 그는 오늘날 많은 CISO가 데이터 프라이버시 관리 책임을 맡고 있으며, 더 많은 CISO가 서드파티 리스크와 공급망 리스크를 관리하는 추세라고 전망했다.
이러한 경향은 CISO에게 더 많은 압력을 가하고, 그들이 감당해야 할 책임 수준도 높이고 있다고 그는 전했다.
“CISO는 자신의 리스크 노출 정도를 정확히 파악해야 하며, 비즈니스와 해당 리스크가 조직에 미칠 영향을 이해해야 한다. 또한, 자신이 도입한 정책, 프로세스, 기술이 리스크와 조직 전체에 어떤 영향을 미치는지를 파악해야 한다”고 그는 덧붙였다. “그리고 자신의 결정을 방어할 수 있어야 한다. ‘이 결정을 법정에서 변호해야 한다면, 나는 이 결정을 옳다고 느낄 수 있을까?’라는 질문에 ‘그렇다’고 대답할 수 있어야 한다.”
최고 사이버 및 리스크 책임자의 부상
소프트뱅크 인베스트먼트 어드바이저스(Softbank Investment Advisers)의 CISO인 게리 헤이슬립도 비슷한 미래를 예상하고 있다.
“나는 현재 CISO 역할이 기술, 사람, 프로세스를 활용해 리스크를 관리하는 것으로 변모하고 있다고 본다”고 그는 말했다. 이는 최고 보안 책임자 직책이 성숙해가는 과정의 일부라고 덧붙였다.
이는 CISO의 업무를 재편하고, 많은 조직에서 역할의 본질을 바꾸고 있다고 설명했다. 그는 거버넌스, 리스크, 컴플라이언스(GRC)를 관리하는 CISO 직책이나 리스크와 네트워크 인프라를 총괄하는 CISO 직책을 알고 있으며, 리스크와 IT를 통합한 CISO도 존재한다고 말했다. 그는 미래에 CISO라는 직책이 최고 사이버 및 리스크 책임자 또는 최고 사이버 및 프라이버시 책임자로 변화할 것으로 예상했다. 이미 일부 조직에서 이러한 변화가 일어나고 있다는 것이다.
“이러한 통합은 표준이 될 것이다”고 헤이슬립은 덧붙였다.
PNC 은행(PNC Bank)의 부사장이자 CISO인 수잔 코스키도 CISO가 더 많은 책임을 맡고 있다고 본다.
“CISO는 광범위한 임무를 맡고 있으며, 기술에서 법률, 마케팅, 커뮤니케이션, 관계 관리, 재무까지 다양한 분야로 확장해야 한다”고 그녀는 설명했다. “이는 CISO가 더 큰 역할을 맡도록 요구받는 상황을 만들고 있으며, 일부는 최고 정보 책임자(CIO)로 진출하기도 한다. 또한, 물리적 보안과 사기 방지 기능을 결합해 최적의 결과를 도출하는 자연스러운 흐름이 있다. 이 역할은 계속해서 진화할 것이며, 특히 고객과 직원의 신원을 적절하게 검증하고 피싱 공격에 취약한 자격 증명에 대한 의존도를 줄이는 데 중점을 둘 것이다.”
그러나 2024년 명예의 전당에 오른 이들은 CISO가 기술적 역량과 사이버 보안 운영의 기본 사항을 여전히 잘 이해하고 있어야 한다고 강조했다.
“사이버 보안은 여전히 사이버 보안이다. 기본적인 사이버 위생은 여전히 필요하다”고 헤이슬립은 말했다.
진화의 원동력
CISO 역할의 진화에는 여러 요인이 작용해 왔으며, 앞으로도 계속 작용할 것이다. 그중 가장 큰 요인은 지난 20년간 이루어진 디지털 전환이다.
“오늘날의 비즈니스 환경에서 보안은 운영과 더욱 밀접하게 연결되어 있으며, 보안이 제대로 이루어지지 않으면 비즈니스에 미치는 영향이 과거보다 훨씬 크다”고 헤이슬립은 말했다.
미래를 내다보며, 가이스러는 변화하는 기술 환경이 CISO 역할의 지속적인 진화를 촉진할 것이라고 보았다.
“기술 환경이 빠르게 변화하는 가운데, CISO 역할은 앞으로도 중요한 역할을 할 것이다. CISO는 자동화에서 생성형 AI에 이르기까지 기술 발전을 선도하고 있다”라고 그는 말했다. “현재는 AI가 주목받고 있지만, 5~7년 내에 양자 컴퓨팅이 생성형 AI 못지않게 중요한 이슈로 떠오를 것이다. 방대한 데이터 양, 처리 요구 사항, 속도는 많은 CISO에게 중요한 과제가 될 것이다.”
다른 명예의 전당에 오른 이들도 AI와 양자 컴퓨팅이 앞으로 CISO의 업무에 영향을 미칠 것이라고 보고 있다. 이로 인해 보안이 비즈니스 프로세스와 제품에 더욱 통합될 것이다.
그들은 또한 보안과 관련된 규제, 데이터 프라이버시법 및 기준과 같은 보안 관련 요구 사항이 CISO의 업무를 더욱 확장시키고 역할의 중요성을 높일 것이라고 예상했다.
또한, CISO가 보안 실패에 대해 직면하는 개인적, 직업적 책임이 증가함에 따라 CISO 역할에도 변화가 일어나고 있다고 보고 있다.
이러한 책임 증가는 CISO에게 임원 회의와 이사회 회의에서 목소리를 낼 기회를 제공하고 있으며, 앞으로도 더 많은 CISO가 이러한 기회를 얻게 될 것이다. 이는 또한 CISO에게 보안 조치를 강제할 수 있는 더 큰 권한을 부여하고 있다.
“이제 CISO는 당연히 임원으로 대우받아야 할 역할로 인식되고 있다”고 헤이슬립은 말했다.
[email protected]
Read More from This Article: 글로벌 CISO 5인이 강조하는 미래 보안 리더의 역할은?
Source: News