독일의 물류장비 및 기술 솔루션 제조업체 융하인리히AG(Jungheinrich AG)의 CISO인 팀 사틀러는 회사의 AI CoE(center of excellence)에서 실제 비즈니스 성과로 이어질 기술을 파악하는 업무를 담당하고 있다. 그는 “다양한 기회를 모색하고 있다”라고 말했다.
AI 전문가 그룹이라면 이런 논의를 진행하는 것이 자연스럽다. 하지만 주목할 점은 보안 책임자인 사틀러가 팀의 일원으로 함께하고 있다는 사실이다. 실제로 보안 책임자가 이런 역할을 맡는 경우는 많지 않다.
사틀러는 자신이 AI CoE의 일원으로 참여하고 있다는 사실이, 곧 보안팀이 회사의 비즈니스 전략과 비전 방향에 발맞추고 있음을 반증한다고 설명했다.
그는 “CISO의 역할은 리스크만 보는 것이 아니라 AI가 제공하는 모든 기회를 함께 바라보는 것”이라며 “리스크에만 집중하지 않고 전체 그림을 보는 관점으로 나아가야 한다”라고 말했다.
사틀러는 챗GPT가 등장했을 때도 같은 접근법을 취해, 팀과 함께 대규모 언어 모델(LLM)에 대해 심층 분석을 진행했다. 그는 “이 기술이 어떻게 작동하는지, 어떤 위험이 존재하는지, 또 어떤 새로운 비즈니스 기회를 만들어낼 수 있는지를 파악했다. ‘규칙 안에서 기술을 시도해 보고 실험할 수 있다’고 내부에 명확히 제시하기 위해서였다”라고 설명했다.
사틀러는 현재 양자컴퓨팅에 대해서도 비슷한 방식을 적용하고 있다. 이사회 구성원들은 이제 기술의 보안 영향뿐 아니라 향후 잠재력에 대해서도 보안팀의 의견을 구하고 있다.
그는 “이사회가 양자 기술에 관해 가장 먼저 우리에게 자문을 구한 이유는, 보안팀이 스스로를 ‘조언자’ 역할로 입증해왔기 때문”이라고 말했다. 그는 “사업 부문 리더는 대체로 기회에 집중하고, 외부 자문가는 영업 관점에 치우치는 경우가 많다. 그러나 보안팀은 리스크와 보상을 함께 바라보는 중립적 위치에 있다. 이것이 오늘날 CISO와 보안 조직의 새로운 역할”이라고 설명했다.
사틀러는 이런 조언자 역할 자체가 보안과 비즈니스 전력이 연계돼 있음을 보여주는 명확한 증거라고 강조했다.
거버넌스 협회 ISACA 이사로도 활동 중인 사틀러는 “보안이 조직의 전략과 같은 방향을 바라보는 것이 진정한 연계다. 조직의 목표가 무엇인지, 회사가 어떤 성과를 이루고자 하는지, 경쟁 환경과 산업의 흐름은 어떤지 이해해야 한다. 이를 정확히 파악해야 혁신과 성장을 뒷받침하고 조직이 목표를 달성하도록 지원할 수 있다. 보안은 위험에만 초점을 맞춰서는 안 된다. 비즈니스 기회를 함께 바라봐야 한다”라고 조언했다.
보안팀의 필수 과제인 ‘연계’
오늘날 보안 분야에서 비즈니스와의 연계는 핵심 화두로 떠오르고 있다. 인터넷 검색만 해봐도 ‘보안-비즈니스 연계’라는 표현과 관련해 수많은 결과가 쏟아진다.
하지만 실제로는 여전히 많은 CISO가 조직 내 다른 부서와 보조를 맞추지 못하고 있는 것으로 나타났다.
EY가 발표한 ‘2025 글로벌 사이버보안 리더십 인사이트 보고서’에 따르면, CISO의 13%만이 “긴급한 전략적 의사결정이 이뤄질 때 조기에 참여했다”라고 응답했다. 58%의 CISO와 사이버보안 임원은 “리스크 완화 이상의 가치를 명확히 설명하기 어렵다”라고 밝혔다.
한편 스플렁크(Splunk)가 발표한 ‘2025 CISO 보고서’에서는 CISO와 이사회 간 인식 차이도 뚜렷하게 드러났다. 조사에 참여한 이사회 구성원의 52%는 CISO가 대부분의 시간을 업무 지원에 쓰고 있다고 답했지만, 실제로 그렇게 인식하고 있는 CISO는 34%에 불과했다. 또한 이사회의 55%는 비즈니스 감각이 CISO에게 매우 중요한 역량이라고 평가했으나, CISO 중 해당 역량을 우선적으로 개발해야 한다고 답한 비율은 40%에 그쳤다.
이처럼 인식의 간극이 여전히 큰 상황에서, 다음과 같은 질문을 던져볼 필요가 있다. ‘보안을 비즈니스와 연계한다’는 말이 구체적으로 무엇을 의미하는가? 왜 중요한가? CISO가 이를 실현하기 위해 취할 수 있는 전략은 무엇인가?
가트너(Gartner) 수석 부사장 애널리스트 카텔 티엘레만은 CISO가 보안을 비즈니스와 진정으로 연계하려면 실천이 필요하다고 언급했다.
그는 “말로만 하는 것은 충분하지 않다. 실제 행동으로 보여줘야 한다. 여전히 많은 사이버보안 부서가 조직에 방어 체계를 구축하고 각종 프레임워크와 표준을 도입하는 고립된 ‘섬’처럼 존재한다. 이런 방식은 이제 한계에 다다르고 있다. CISO는 ‘벤치마크가 요구하기 때문에 조치를 취한다’는 식의 접근을 버리고, 실제 비즈니스 모델에 맞춰 보안 전략을 조정해야 한다”라고 말했다.
연계의 신호 파악
티엘레만은 보안팀과 비즈니스 부서가 실제로 연계되고 있음을 보여주는 신호가 있다고 언급했다. 두 부서가 협력하고 비즈니스 지표를 활용해 보안의 효과를 판단하고 있는 경우다.
그는 한 제조 공장에서 보안팀이 엔지니어링팀과 협력한 사례를 예로 들었다. 해당 공장에는 벤더 지원이 중단된 소프트웨어를 사용하는 장비가 다수 있었다. 두 팀은 시스템 분할(segmentation) 같은 보안 강화 조치를 도입하되, 공장 가동 중단 시간에 맞춰 작업 일정을 조정해 운영 생산성을 해치지 않도록 했다.
티엘레만은 “이런 사례는 보안팀이 단순히 보안 업무를 수행하는 조직이 아니라, 비즈니스를 제대로 이해하고 있다는 점을 보여준다”라고 말했다.
그는 “보안을 비즈니스와 연계하려면, 먼저 조직이 어떤 목표를 가지고 있는지 명확히 알아야 한다”라고 강조했다. 이어 “비용 절감, 신규 시장 진출, 클라우드 도입 등 어떤 목표든 마찬가지다. 조직의 우선순위를 이해하고, 그다음으로 해당 산업 내 위협 행위자의 움직임, 발생 가능한 리스크, 조직이 감내할 수 있는 리스크 수준, 그리고 보안 사고가 비즈니스에 미치는 영향을 분석하고 설명할 수 있어야 한다”라고 말했다.
글로벌 컨설팅 기업 EY의 미주지역 사이버보안 총괄 리더 아얀 로이는 인수 합병(M&A) 과정에서의 연계 사례를 소개했다. 그에 따르면 한 기업은 신규 시장 진출 전략의 일환으로 다른 회사를 인수했는데, 해당 기업의 CISO는 인수 이후의 성장을 위해 고객 신뢰 확보가 무엇보다 중요하다는 점을 인식했다. 이에 따라 CISO는 인수될 기업의 보안 수준을 자사 기준에 맞게 강화하는 전략을 수립해, 조직 통합과 기업 확장, 그리고 지속적 성장을 안정적으로 이끌 수 있도록 했다.
보안 교육 및 자격 인증 기관 SANS의 최고 AI 책임자이자 연구총괄인 로버트 T. 리는 보안과 비즈니스의 연계가 ‘협력의 시점과 방식’에서도 드러난다고 말했다. 예를 들어 보안을 강화하면서도 비즈니스 마찰을 줄여야 한다는 점을 이해하는 CISO라면 프로젝트 초기 단계부터 보안 부서가 비즈니스 조직과 함께 움직이도록 하는 경우가 많다. 리는 “연구개발(R&D) 부서에 보안팀이 자연스럽게 통합돼 신기술을 보다 신뢰에 기반한 모델로 배포하는 구조를 만드는 것도 연계의 또 다른 좋은 예”라고 설명했다.
한편 미국 내셔널대학교 사이버보안 및 기술학과 제임스 하우레즈 학과장은 “정보 보안에서의 연계란 결국 ‘운영을 지원하는 것’에 초점을 맞춘다. 이는 리스크 관리를 기반으로 하되, 운영을 원활히 지속시키는 데 방점을 두는 개념”이라고 설명했다.
그는 “보안과 비즈니스의 연계에는 분명한 가치가 있다”라고 덧붙였다. EY의 연구에 따르면, 보안팀이 참여한 기업의 전략적 이니셔티브는 보안이 평균적으로 전체 가치의 11~20%에 기여한 것으로 나타났다. 이는 달러로 환산할 경우 약 3,600만 달러에 해당하는 수치다.
계속되는 보안과 비즈니스 간 연계 부족
다만 EY의 연구는 실제로 연계가 잘 이뤄지고 있는 조직이 전체 중 일부에 불과하다고 지적했다. 하우레즈는 보안과 비즈니스가 잘 연계되고 있다는 신호가 있는 것처럼 그 반대의 징후도 분명하다고 설명했다.
그는 대표적인 사례로 ‘과도한 보안’을 꼽았다. 보안 조치가 가져오는 비용과 업무 마찰이 실제로 제공하는 가치보다 클 때 연계는 깨진 상태일 수 있다. 또 다른 신호는 보안 리더가 조직의 비전이나 전략적 목표를 알지 못하거나, 이를 명확히 설명하지 못하는 경우가 있다.
일부 전문가는 보안 부서가 주요 프로젝트나 전략 이니셔티브에서 소외되거나 사업이 진행된 뒤에야 참여하는 구조가 연계 부재의 신호일 수 있다고 언급했다.
PwC 사이버·리스크 혁신연구소의 매트 고햄은 “보안이 비즈니스와 연계되지 않으면, 변화에 대응만 할 뿐 변화를 주도하지 못한다. 반면, 보안이 비즈니스를 따라가지 않고 처음부터 전략 테이블에 함께 앉을 수 있다면, ‘비즈니스가 안전하게 성장하도록 보안이 지원할 수 있다’라고 제안할 수 있다. 이것이 진정한 연계의 시작”이라고 설명했다.
dl-ciokorea@foundryco.com
Read More from This Article: ‘실천이 필요한 때’···보안과 비즈니스 전략을 확실히 연계하려면
Source: News