연말이 다가오면서 CISO들은 내년 사이버보안 예산 수립에 몰두하고 있다. 이 작업 자체도 만만치 않지만, 더 어려운 단계는 결국 이사회 승인이다. CISO들은 사이버보안 예산을 설득하는 과정이 서로 전혀 다른 언어로 대화하는 것처럼 난해하다고 말하곤 한다.
오늘날 CISO들은 빠르게 진화하는 위협으로부터 조직을 보호해야 하는 책임을 지지만, 사이버보안 예산은 오히려 축소되거나 다른 영역으로 분배되는 상황을 겪고 있다. 이사회는 여전히 사이버보안을 비즈니스 효율을 높이는 투자라기보다 비용 부담으로 인식하는 경향이 강하다. CISO들은 보안의 실제 가치를 알고 있다. 이를 이사회가 이해할 수 있는 언어로 전달할 방법을 찾아야 한다.
올해 예산 심의 과정에서 이사회를 효과적으로 설득하기 위한 3가지 전략을 소개한다. 이를 제대로 실행하면 필요한 예산을 확보할 가능성이 높아지고, 빠르게 변하는 위협 환경에서 조직의 회복력도 강화할 수 있다.
전략 1: 위험을 수치화하라
예산을 마련하기 위한 첫 단계는 관리하려는 리스크를 숫자로 구체화하는 일이다. CISO라면 조직에 강화된 엔드포인트 탐지, 제로트러스트 아키텍처, 적정 수준의 보안 운영센터가 필요하다는 점을 누구보다 잘 안다. 그러나 이런 기술 요소를 예산 회의에서 언급하면 이사회는 곧바로 집중력을 잃곤 한다. 보안을 무시해서가 아니라, 이러한 기술적 투자가 이사회가 중시하는 비즈니스 성과와 어떻게 연결되는지 명확히 보이지 않기 때문이다.
따라서 얼마나 큰 가치가 위험에 노출돼 있는지 재무적 기준으로 제시할 방법이 필요하다. 침해 사고가 발생했을 때 어떤 금전적 결과가 뒤따르는지 이사회가 이해할 수 있을 때, 예산이 승인될 가능성도 높아진다. 물론 실제 침해 사고를 겪어본 적이 없다면 이러한 계산은 쉽지 않다. 우선 업계에서 빈번하게 발생하는 위협과 침해 사례를 조사하고, 위협 인텔리전스 자료를 참고하며, 주요 벤더의 보안 수준을 점검해 서드파티 리스크를 파악하는 방식으로 조직의 리스크 범위를 파악할 수 있다. 또한 산업 보고서, 정부 통계, 내부 사고 이력 등 다양한 자료를 통해 침해 발생 가능성에 대한 데이터를 수집하는 것도 방법이다.
다만 가장 정확하고 설득력 있는 방법은 내부 전문가와 주요 이해관계자를 참여시켜 직접 의견을 수집하며 리스크를 정량화하는 것이다. 이를 수동 또는 자동화 도구로 진행할 수 있으며, 어느 방식을 선택하든 직간접 재무 손실, 업무 중단, 장기적인 비즈니스 영향과 평판 훼손까지 포함해 전반적인 위험의 비즈니스 영향을 계산할 수 있다.
실제 사례로 최근 발생한 콜린스 에어로스페이스 침해 사고를 들 수 있다. 이 사고는 여러 유럽 공항의 운영에 영향을 끼쳐 다수의 항공편이 취소되는 상황을 초래했다. 피해 기업은 직접적인 재무 손실뿐 아니라 다양한 기회비용과 운영 효율 저하도 감수해야 했다. 시스템 복구를 위한 엔지니어링 투입 시간 증가, 자동화 업무를 대신하기 위한 수기 업무 전환, 공항 인력의 업무 부담 과중 등이 대표적이었다. 이처럼 단위별로 비용이 발생하는 구체적인 사건을 활용하면, CFO와 함께 ‘조직에 동일한 사고가 발생했다면 어떤 재무적 충격이 나타났을지’를 가정해 보며 영향을 논의할 수 있다.
대부분의 조직에는 매우 암울한 상황일 수 있지만, 이사회는 사고의 파급 효과를 정확히 이해해야 한다. 따라서 리스크를 정량화해 제시할 때는 최악의 시나리오, 최선의 시나리오, 그리고 가장 가능성이 높은 시나리오 각각이 초래할 재무적 손실을 설명할 수 있어야 한다. 침해 사고가 불러오는 연쇄적 영향을 구체적으로 수치화하면, 기술적 배경이 부족한 경영진도 조직의 회복력을 확보하는 데 필요한 투자의 규모를 명확히 이해할 수 있다.
전략 2: 규제 기준을 넘어서는 대응이 필요하다
컴플라이언스와 규제가 CISO가 제시하는 예산 근거의 약 80%를 차지한다는 사실은 이미 잘 알려져 있다. HIPAA, SOC2와 같은 산업 표준이 보안 프로그램의 기본 틀을 제공하지만, AI 기반 위협의 확산, 양자컴퓨팅 부상, 복잡해지는 서드파티 리스크 등 새로운 변수는 기존의 기준만으로는 충분히 다루기 어렵다. 따라서 CISO는 컴플라이언스로는 완전히 해소되지 않는 위협까지 고려해 예산 전략을 수립해야 한다.
가능하다면 향후 3~5년을 기준으로 전체 예산의 10% 이상을 컴플라이언스 외 위협 대응에 배정하는 것이 바람직하다. 물론 두 자릿수 비중은 이상적인 목표에 가깝고, 실제로 CISO가 자유롭게 활용할 수 있는 평균 예산은 약 3% 수준에 그친다. 다만 전부 새로운 지출일 필요는 없다. 예를 들어 생성형 AI 관련 리스크는 CISO와 이사회 모두에게 중요한 이슈지만, 이를 전담하는 기성 솔루션은 아직 초기 단계다. 대신 현재 예산 항목으로 편성된 데이터 보안 태세 관리, SASE, GRC 분석 인력 등을 생성형 AI 업무나 도구에 대한 위협을 줄이는 데 활용할 수 있다.
이런 기술과 프로세스에 투자를 늘리고 필요한 신규 기술 도입을 병행하면, 중기적 관점에서 조직이 생성형 AI를 효율적으로 활용할 안정적인 기반을 마련할 수 있다. 또한 불필요한 신규 솔루션 구매를 최소화할 수도 있다. 이런 투자는 조직이 경쟁사보다 한발 앞서 안전하게 AI를 도입할 수 있는 토대를 제공하며, 놓칠까 봐 두려워하며(FOMO) AI 도입을 서두르지 않도록 돕는다.
이사회는 CISO가 새롭게 부상하는 위협을 어떻게 바라보고 있으며, 이를 예산에 어떻게 미리 반영하려는지 알고 싶어한다. 특정 위협에 대한 모든 데이터를 확보하지 못했더라도, 그 리스크의 존재를 명확히 인지하고 조직에 영향을 미칠 가능성을 설명하는 것이 중요하다. 위협 환경이 계속 진화하는 만큼, 조직의 회복력을 유지하기 위한 전략 역시 함께 발전해야 한다.
전략 3: 이사회를 파악하라
이사회를 효과적으로 설득하려면, 무엇이 그들의 의사결정을 움직이는지부터 정확히 파악해야 한다. 최근 NACD 조사에 따르면 이사회 구성원의 약 80%가 사이버보안에 대한 이해도가 이전보다 높아진 것으로 나타났다. 또 다른 조사에서는 기업의 85%가 사이버보안 전문성을 갖춘 이사를 이미 두고 있거나 새로 영입하려고 검토 중이라고 응답했다. 이처럼 이사회가 보안의 중요성을 더 잘 인식하게 된 만큼, 이제는 CISO가 한걸음 더 다가가 이사회가 비즈니스 관점에서 무엇을 가치 있게 여기는지 이해해야 한다.
일부 이사회는 재무 지표에만 집중하며 예산을 철저히 비용 관점에서만 바라본다. 이런 경우에는 재무 용어로 설명하는 것이 필수적이며, 침해 사고로 업무가 중단될 때 조직이 어떤 손실을 감수해야 하는지 구체적인 사례를 제시해야 한다. 이런 수치화 작업은 단순히 예산을 정당화하는 수준을 넘어, 보안 조직과 비즈니스 목표를 자연스럽게 연결하는 역할을 한다. 반면 스토리텔링에 더 설득되는 이사회도 있다. 이 경우에는 공격이 실제로 어떻게 전개될 수 있는지, 그 과정에서 어떤 영향이 이어지는지 단계별로 그려 보여주는 방식이 효과적이다.
어떤 상황이든, 예산안과 이를 설명하는 과정은 이사회가 선호하는 방식에 맞춰야 한다. 무엇보다 이사회가 어떤 가치를 중시하는지 파악하려면 예산 분배 시기에만 소통해서는 충분하지 않다. 꾸준히 신뢰 관계를 쌓아야 예산 심의 시기에만 형식적으로 나타나는 인물로 비치지 않을 수 있다.
CISO는 보안 투자 결정에 체계성과 명확성, 그리고 비즈니스 전략과의 연계 가능성을 더할 필요가 있다. 위험을 수치화하고, 부상하는 위협을 고려하며, 이사회가 무엇을 가장 중요하게 여기는지 이해한다면 올해 예산 시즌에 이사회를 설득할 가능성을 크게 높일 수 있다.
dl-ciokorea@foundryco.com
Read More from This Article: 다시 찾아온 기업 예산 시즌, CISO의 이사회 설득 전략 3가지
Source: News