Skip to content
Tiatra, LLCTiatra, LLC
Tiatra, LLC
Information Technology Solutions for Washington, DC Government Agencies
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact
 
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact

‘권한과 책임의 괴리’··· CISO 70%가 직업적 회의감 느낀다

기업 사이버 보안을 유지하는 리더에 대한 법적 책임이 강화되고 있다. 이에 보안 리더들은 현실에 불만을 느끼며 퇴로를 모색하고 있다. CISO 자리를 기피하는 모습도 나타난다.

랜섬웨어 방지 공급업체 블랙포그(BlackFog)에 따르면 최근 설문조사에 참여한 CISO의 3분의 2 이상(70%)이 “사이버 보안 사고에 대해 개인적으로 책임을 져야 한다는 이야기가 CISO의 역할에 대한 관점에 부정적인 영향을 미쳤다”라고 답했다.

지금까지 보안 사고로 인해 처벌 받은 CISO는 그리 많지 않다. 우버(Uber) 및 솔라윈즈(SolarWinds) 사고 등, 손꼽히는 수준이다. 그러나 사이버 보안 전반에 대해 진정한 관리 권한이 없다는 CISO들의 불만은 이미 매우 흔하며, 앞으로 더 늘어날 것으로 예상된다.

보안 리더들의 불만은 단지 CISO를 진퇴양난의 상황에 몰아넣는 새로운 규제(SEC 침해 공개 규정 등)에만 국한되지 않는다. CISO가 회사 보호 조치를 기안했을지라도 회사 차원에서 이를 반복적으로 기각한 상황에서 CISO가 어떤 책임까지 져야 하는가에 대해서도 불만이 제기된다. CISO가 요구하는 조치를 기업이 취하지 않는다면 왜 CISO가 책임을 져야 하느냐는 의문이다.

보안 전문가들은 이러한 임원들에게 기업 임원의 지위, 회사의 보험 지급 보장, 해고 시 실질적인 퇴사 조항 등 추가적인 보호를 위해 협상해야 한다고 조언하곤 한다. 그러나 CISO들 사이에서 책임과 권한의 문제에 대한 우려가 커지고 있는 것 또한 분명한 현실이다.

블랙포그 연구진에 따르면 설문 응답자의 41%는 “사이버 보안 리더들이 개인적 책임까지도 질 수 있는 가능성, 보안 부담 증가와 같은 추세로 인해 이사회가 사이버 보안을 더 심각하게 받아들이게 되었다”라고 답했다. 그러나 “이로 인해 사이버 보안에 추가 예산을 투입했다”라고 응답한 비율은 10%에 그쳤다.

글로브 앤 메일의 CISO였으며 현재 인포테크 리서치 그룹의 수석 사이버 보안 고문인 프리츠 장 루이는 “보안에 대해 CISO가 책임을 진다. 그러나 결정은 위원회에서 내려진다. 대표성이 제한된 과세다. 실제 권한은 없지만 책임만 지는 형국이다. 직접적 책임 없이 영향력만 행사하고 이들이 있다”라고 말했다.

보안 경영진의 이탈?

포레스터의 부사장이자 수석 애널리스트인 제프 폴라드는 이미 최고급 CISO 인재들이 이 직책을 그만두는 징후가 나타나고 있다고 전했다. 그는 “예전에도 CISO라는 직책의 가치는 그리 크지 않았다. 또 전직 CISO를 에반젤리스트, 사고 리더, 심지어 LOB 리더로 기꺼이 영입하려는 벤더들이 많다. 그리고 이러한 벤더들은 더 나은 보상을 제시하는 경우가 많다”라고 말했다. “즉 장점은 더 많고 단점은 훨씬 적기 때문에 CISO들은 벤더로 쉽게 옮기곤 한다”라고 그는 덧붙였다.

사이버 보안 공급업체 브리치Rx(BreachRx)의 앤디 런스포드 CEO는 이사회가 CISO에게 유의미한 보호 방안을 제공하거나 보안 결정 측면의 전권을 부여하지 않으면 숙련된 보안 리더의 공급이 감소할 것으로 예상했다. 그는 “SEC와 여러 규제 기관들이 CEO를 압박하겠지만, CISO들이 영원히 책임을 떠안고 있지는 않을 것”이라며 “이미 경험이 풍부한 유능한 CISO는 영입하기 어려운 인재다”라고 말했다.

그러면서도 런스포드는 책임과 권한 사이의 단절과 관련된 더 즉각적인 문제 하나가 있다며, 이 문제는 CISO의 책임이기도 하다고 전했다. 그는 “개인적 책임에 대한 부담으로 인해 CISO는 의사 결정에 있어 더 신중한 태도를 취하게 된다. 많은 CISO로부터 위험 기반 의사결정을 내릴 때 자신과 고위 경영진의 의사결정을 의도적으로 문서화하고 있다는 이야기를 들었다. 일견 긍정적으로 들릴 수 있지만, 이러한 접근법은 의사 결정 속도가 느려지고 관리 부담을 늘릴 수 있다”라고 말했다.

보호책 협상

매스 뮤추얼, CVS, 애트나, KPMG, 아메리칸 익스프레스, JP 모건 체이스에서 CISO급 직책을 역임한 베테랑 보안 리더 짐 루스는 CISO와 예비 CISO에게 주요 계약상 보호 조치를 추진하라고 조언했다. 현재 보안 벤더 사비인트(Saviynt)에서 최고 신뢰 책임자로 일하고 있는 루스는 “조치가 조직 구조적으로 나타나야 한다. CISO에게는 보호가 필요하다”라고 말했다.

그는 이어 다른 요소로는 보험 가입, 독립 변호사 비용에 대한 보장 등이 있다고 전했다. 또한 CISO 계약서에는 면책 조항이 담겨 있어야 하는데, 이는 CISO의 공식 업무와 직접적으로 관련된 모든 판결, 벌금, 과태료 또는 보상금을 기업이 지불한다는 의미라고 루스는 덧붙였다. 실제로 보험 기업 크럼 & 포스터(Crum & Forster)는 지난 11월 CISO를 위해 설계된 전문 책임 보험을 출시한 바 있다.
[email protected]


Read More from This Article: ‘권한과 책임의 괴리’··· CISO 70%가 직업적 회의감 느낀다
Source: News

Category: NewsJanuary 7, 2025
Tags: art

Post navigation

PreviousPrevious post:Guzman Minerals se apoya en una infraestructura en la nube para una gestión centralizada y seguraNextNext post:BBC “애플 AI 요약 기능이 뉴스 내용 왜곡” 항의에… 애플 “오류 인정, 시스템 개선 지원”

Related posts

휴먼컨설팅그룹, HR 솔루션 ‘휴넬’ 업그레이드 발표
May 9, 2025
Epicor expands AI offerings, launches new green initiative
May 9, 2025
MS도 합류··· 구글의 A2A 프로토콜, AI 에이전트 분야의 공용어 될까?
May 9, 2025
오픈AI, 아시아 4국에 데이터 레지던시 도입··· 한국 기업 데이터는 한국 서버에 저장
May 9, 2025
SAS supercharges Viya platform with AI agents, copilots, and synthetic data tools
May 8, 2025
IBM aims to set industry standard for enterprise AI with ITBench SaaS launch
May 8, 2025
Recent Posts
  • 휴먼컨설팅그룹, HR 솔루션 ‘휴넬’ 업그레이드 발표
  • Epicor expands AI offerings, launches new green initiative
  • MS도 합류··· 구글의 A2A 프로토콜, AI 에이전트 분야의 공용어 될까?
  • 오픈AI, 아시아 4국에 데이터 레지던시 도입··· 한국 기업 데이터는 한국 서버에 저장
  • SAS supercharges Viya platform with AI agents, copilots, and synthetic data tools
Recent Comments
    Archives
    • May 2025
    • April 2025
    • March 2025
    • February 2025
    • January 2025
    • December 2024
    • November 2024
    • October 2024
    • September 2024
    • August 2024
    • July 2024
    • June 2024
    • May 2024
    • April 2024
    • March 2024
    • February 2024
    • January 2024
    • December 2023
    • November 2023
    • October 2023
    • September 2023
    • August 2023
    • July 2023
    • June 2023
    • May 2023
    • April 2023
    • March 2023
    • February 2023
    • January 2023
    • December 2022
    • November 2022
    • October 2022
    • September 2022
    • August 2022
    • July 2022
    • June 2022
    • May 2022
    • April 2022
    • March 2022
    • February 2022
    • January 2022
    • December 2021
    • November 2021
    • October 2021
    • September 2021
    • August 2021
    • July 2021
    • June 2021
    • May 2021
    • April 2021
    • March 2021
    • February 2021
    • January 2021
    • December 2020
    • November 2020
    • October 2020
    • September 2020
    • August 2020
    • July 2020
    • June 2020
    • May 2020
    • April 2020
    • January 2020
    • December 2019
    • November 2019
    • October 2019
    • September 2019
    • August 2019
    • July 2019
    • June 2019
    • May 2019
    • April 2019
    • March 2019
    • February 2019
    • January 2019
    • December 2018
    • November 2018
    • October 2018
    • September 2018
    • August 2018
    • July 2018
    • June 2018
    • May 2018
    • April 2018
    • March 2018
    • February 2018
    • January 2018
    • December 2017
    • November 2017
    • October 2017
    • September 2017
    • August 2017
    • July 2017
    • June 2017
    • May 2017
    • April 2017
    • March 2017
    • February 2017
    • January 2017
    Categories
    • News
    Meta
    • Log in
    • Entries feed
    • Comments feed
    • WordPress.org
    Tiatra LLC.

    Tiatra, LLC, based in the Washington, DC metropolitan area, proudly serves federal government agencies, organizations that work with the government and other commercial businesses and organizations. Tiatra specializes in a broad range of information technology (IT) development and management services incorporating solid engineering, attention to client needs, and meeting or exceeding any security parameters required. Our small yet innovative company is structured with a full complement of the necessary technical experts, working with hands-on management, to provide a high level of service and competitive pricing for your systems and engineering requirements.

    Find us on:

    FacebookTwitterLinkedin

    Submitclear

    Tiatra, LLC
    Copyright 2016. All rights reserved.