보안 전문가 조지 거초우가 수모 로직(Sumo Logic)의 CISO로 일할 당시, 그는 일반적인 최고정보보안책임자의 역할을 수행했다. 여기까지는 당연한 일이다.
하지만 거초우는 IT 부문 부사장이기도 했으며, 사무실 위치 및 설계 결정과 같은 부동산 관련 업무도 담당했다. 그는 자신의 업무 영역을 RISC(부동산, 보안, 컴플라이언스)라고 불렀다.
거초우는 CISO가 조직의 IT 기능을 담당하는 경우는 꽤 일반적이지만, 기업 부동산을 책임지는 경우는 흔치 않다는 점을 인정했다. 하지만 당시 상황에서는 꽤 자연스러운 일이었다고 설명했다.
2015년부터 2024년까지 수모 로직에서 근무한 거초우는 코로나19 팬데믹 기간 동안 부동산 관련 업무를 맡았는데, 이는 회사가 원격 근무와 사무실 복귀 결정을 내릴 때 보안이 중요한 요소였기 때문이다. 게다가 나중에는 ESG(environmental, social, and governance) 업무도 포트폴리오에 추가됐다.
거초우가 퇴사할 무렵에는 CISO 역할에서 부동산과 ESG가 분리됐지만, 다양한 업무 영역을 CISO에게 맡겼던 것은 최고보안책임자 역할의 트렌드를 보여주는 사례라고 할 수 있다. 거초우의 현재 직책도 크게 다르지 않다. 그는 현재 몽고DB(MongoDB)의 임시 CISO이자 신뢰 책임자이며, IANS 리서치의 교수진으로도 활동하고 있다.
계속 진화하는 CISO의 역할
20세기 후반에 직책이 처음 생긴 이후, CISO 역할은 기술 및 인터넷 기반 위협과 함께 진화하면서 시대의 요구에 맞게 변화했다. 그러나 단순히 직책이 성숙해졌다기보다 많은 경우 추가적인 업무를 담당하는 방식으로 확장돼 왔다.
소프트웨어 기업 앱파이어(Appfire)의 CISO인 더그 커스텐은 “정보 보안이 조직 전반에서 일어나는 일에 대해 고유한 시각을 제공할 수 있다는 사실을 기업이 깨달으면서 CISO 역할이 크게 확장됐다”라고 설명했다.
그는 “전통적으로 CISO는 기본적인 보안 제어와 위협 완화에 집중했다. 그러나 오늘날에는 비즈니스 회복 탄력성과 규제 준수를 유지하는 데 중추적인 역할을 할 수 있다고 여겨진다. 많은 CISO가 이제 리스크 관리, 비즈니스 연속성, 재해 복구를 담당하며 다양한 관할 지역에서의 규제 준수를 감독하고 있다”라고 말했다.
커스텐은 AI 도입과 같이 기업 내 여러 책임 영역에 걸쳐 패러다임이 변화할 때, 교차 협업이 가능하다는 특징 때문에 CISO를 참여시키는 것이 합리적이라고 설명했다. 그는 “사이버보안이 단순히 IT 문제가 아니라 기업 운영과 전략적 비즈니스 기능의 핵심 요소라는 인식이 확산되고 있다”라고 말했다.
역할 확장을 수용하기
커스텐은 “CISO로서 규제 준수와 거버넌스, 벤더 리스크 관리, 전반적인 비즈니스 연속성 계획에 기여하는 것뿐만 아니라 AI 기술의 영향을 이해하고 해결하는 것까지 역할에 포함됐다”라고 언급했다.
일부 보안 임원은 역할 확장이 조직 내 CISO의 위상을 더 높이는 효과가 있다고 말했다. 이는 C-레벨 내에서 항상 동등한 입지를 차지하지 못했던 직책에게는 환영할 만한 진전일 수 있다.
사이버보안 전문가 협회인 ISSA 인터내셔널의 회장 지미 샌더스는 “CISO들은 조직의 위험을 보호하는 임무를 맡고 있다는 것을 잘 알고 있다. 부동산이든 비즈니스 연속성이든, CISO는 조직의 목표를 성공적으로 준수하고 달성하기 위해 위험과 보안을 책임져야 하는 역할”이라고 말했다.
그는 “CISO는 역할의 확장을 받아들여야 한다. 지금까지 CISO는 의사결정 그룹의 일원으로서 자리를 확보하려고 노력해 왔다. 역할 확장은 중요한 결정을 내릴 때 CISO가 그 자리에 있기 위해 치러야 할 대가의 일부”라고 말했다.
트렌드를 반영하는 연구 결과
IANS 리서치와 아르티코 서치(Artico Search)는 2025년 CISO 현황 보고서를 위해 830명 이상의 보안 리더로부터 수집한 데이터를 분석했다. 그 결과 CISO가 운영, 아키텍처 및 엔지니어링, 디지털 위험, 컴플라이언스와 같은 전통적인 정보 보안(infosec) 영역을 유지하면서도 비즈니스 리스크, IT 감독, 디지털 트랜스포메이션 영역도 담당하고 있는 것으로 나타났다.
또한 대다수의 CISO가 이제 비즈니스 연속성, 서드파티 리스크 관리, 제품 보안과 같은 비즈니스 리스크 영역을 더 많이 담당하는 것으로 나타났다. 그리고 25%에서 50%는 기업 리스크 관리 외에도 물리적 보안, 프라이버시 보호, 사기 방지와 같은 영역도 담당하고 있었다.
연구에 따르면 일부(25% 미만)는 인공지능, 인수합병 보안, 데이터 거버넌스, 종합적인 IT 감독, 디지털 트랜스포메이션으로까지 업무 범위가 확장되고 있는 것으로 나타났다.
IANS 리서치 교수진이자 아르티코 서치의 사이버 채용 담당자인 스티브 마르타노는 “배경 지식과 문제 해결 능력 덕분에 보안 책임자의 역할이 확장되고 있다. CISO는 이제 ‘최고 문제 해결사’가 됐다”라고 말했다. 하지만 여기에는 어려움도 따르고 있다.
커스텐은 “CISO는 이미 높은 수준의 스트레스를 경험하고 있으며, 최근 데이터에 따르면 CISO의 거의 4분의 1이 스트레스로 인해 퇴직을 고려하고 있다. 많은 CISO가 2~3년 정도만 해당 직책에 머문다. 이런 상황에서 CISO에 대한 기대치는 분명히 커지고 있으며, 조직은 충분한 자원과 지원 없이 그들에게 과도한 부담을 줄 위험이 있다. 예를 들어, 점점 더 복잡해지는 전 세계 규제 여건이 보안팀에 상당한 어려움을 주고 있으며, 이는 궁극적으로 CISO의 몫이 된다”라고 분석했다.
CISO 역할의 지각 변동
전문가들은 CISO의 역할이 적어도 10년 동안 확장해 왔다고 지적했다.
마르타노는 내장된 보안을 갖춘 클라우드 컴퓨팅이 부상하면서 CISO의 역할에 IT가 포함되기 시작했다고 말했다. 다시 말해 오랜 기간 CIO에게 보고하던 CISO가 자신의 권한 아래 IT를 두기 시작했다는 것이다. 특히 중소기업에서는 CIO와 CISO 역할이 통합되는 경우가 많다고 그는 설명했다.
이후 CISO는 더 많은 비즈니스 리스크를 떠맡기 시작했고, 경우에 따라 거버넌스 및 규제 준수와 관련된 영역도 담당하게 됐다.
BCD트래블의 수석 부사장 겸 CISO인 셰론 버지스는 CISO가 데이터 프라이버시 보호와 신뢰를 업무에 추가하고 있으며, 때로는 이런 업무를 반영하기 위해 ‘신뢰 책임자’라는 직함을 택한다고 말했다. 그는 자신의 업무가 기존 사이버보안을 넘어 규제 준수, 서드파티 리스크 관리, 물리적 보안 등의 요소를 포괄하고 있다고 언급했다.
사이버보안 분야의 다양성을 촉진하는 비영리 단체인 사이버시티(Cyversity)의 이사회 의장으로도 활동하는 버지스는 “내가 가진 기술을 새로운 방식으로 적용하고 있다”라고 설명했다. 한 가지 사례로, 그는 민감한 지역에 있는 클라이언트를 위해 문서를 가장 안전하게 전달하는 방법을 결정해야 하며, 오토바이 배달원을 통한 문서 전달이 디지털 전송보다 더 안전한지 판단해야 한다.
마찬가지로 전문 서비스 기업 EY의 글로벌 및 아시아-태평양 사이버보안 컨설팅 리더인 리처드 왓슨은 일부 CISO가 이제 회복 탄력성, 서드파티 리스크 관리, 위험 관리 보증도 담당한다고 말했다. 일부는 물리적 보안도 담당해 울타리부터 감시 카메라까지 장비를 감독해야 한다.
왓슨은 “이것이 CISO가 종종 사이버보안과 크게 관련이 없는 일을 물려받는 방식이다. 결국 책임이 누적되어 엉망이 될 수 있다”라고 지적했다.
광범위한 지식과 경험 요구
왓슨은 CISO 역할의 확장으로 지식을 갖춰야 할 영역도 늘어났다고 설명했다.
예를 들어, 리스크 관리 보증을 위해 CISO는 지속가능성, 부패, 강제 노동과 관련된 법률 및 규정을 숙지해야 할 수 있다. 조직이 이런 측면에서 문제가 있는 서드파티 업체를 활용하지 않도록 보장해야 하기 때문이다.
결과적으로 왓슨은 CISO가 이제 비즈니스 감각과 산업 지식은 물론 위기 관리 능력을 갖춘 경영진이 되어야 한다면서, 법률, 컴플라이언스, 조달, 국제 규정 등에 대한 경험이나 전문 지식이 필요할 수도 있다고 언급했다.
왓슨과 다른 전문가들은 이런 상황이 특히 기술 분야에서만 경력을 쌓은 CISO에게 부담일 수 있다고 말했다. 왓슨은 “CISO가 모든 영역에 대해 교육받은 것도 아니기에 어떤 능력을 발휘하지 못하는 경우가 발생한다”라고 말했다.
그는 이런 시나리오가 기업을 위험에 빠뜨릴 수 있다고 보는 한편, 적절한 상황에서는 CISO 역할 확장이 효과적일 수 있다고 말했다. 그는 “CISO가 여러 역할을 맡는 데는 문제가 없지만, 적합한 사람이 필요하다. 요구되는 능력에 맞는 적절한 사람을 배치하거나 훈련시켜야 한다”라고 조언했다.
왓슨의 이런 관점을 잘 보여주는 사례가 의료 정보 기술 회사인 XiFin의 CISO이자 최고 법무 및 규제 준수 책임자인 마티 배럭의 여정이다. 그는 회사의 ESG 영역도 담당하고 있다.
자격증이 너무 많아 생기는 일
배럭은 CISO로서 자신의 직책에 대해 “계약, 운영, 서드파티 활용, 하청업체 심사 등 모든 것이 조직의 모든 리스크를 통제하는 현대적인 리스크 관리 역할”이라고 언급했다. 하지만 배럭의 배경은 보통의 CISO들과는 약간 다르다.
배럭은 법학 학위와 MBA를 취득했으며, XiFin에 합류하기 전에는 기업 법률 고문, 최고조달책임자, 글로벌 프라이버시 보호 책임자로 일했다. 그는 시스템 통합업체와 IT 서비스 기업에서 고위직을 역임했고, 자신의 법률 사무소를 운영하기도 했다.
배럭은 ISACA의 공인 정보 보안 관리자(CISM)와 공인 위험 및 정보 시스템 통제사(CRISC)를 포함한 여러 보안 관련 자격증을 보유하고 있다. 또한 EC-카운실(EC-Council)의 공인 최고정보보안책임자(CCISO) 자격을 취득했다.
2018년 XiFin에 법률 고문으로 합류한 그는 “매우 빠르게 보안 업무를 맡게 됐다. 보안 문제를 경영진과 IT가 이해할 수 있는 관점으로 해석할 수 있었고, 회사의 성숙도를 높이는 데 도움을 줄 수 있었기 때문”이라고 말했다. 그의 지휘 하에 XiFin이 NIST 보안 프레임워크를 채택하고 가장 큰 제품에 대해 하이트러스트(HITRUST) 인증을 획득했다고 덧붙였다.
배럭은 자신이 흔치 않은 역량과 경험을 갖고 있으며, 이로 인해 역할이 독특하게 광범위해졌다는 점을 인정했다. 그는 자신이 퇴임하면 현재 역할이 분리될 것이라면서 “한 사람이 내 자리를 대신할 수 있다고 생각하지 않는다”라고 말했다.
배럭이 여러 부서를 담당하는 CISO가 된 이유는 배경과 전문성이라는 특별한 상황 때문이었다. 다른 이들도 이 점을 언급하며 CISO가 추가 업무를 맡게 되는 방식, 시기, 장소는 조직이 직면한 상황에 따라 달라진다고 말했다.
카네기멜론 대학교의 CISO 경영자 교육 프로그램 겸임 교수이자 소프트웨어 및 시스템 회사 시에나(Ciena)의 부사장 겸 CISO인 라이언 해머는 “CISO의 역할과 책임은 조직의 규모, 산업, 문화, 그리고 핵심 책임의 ‘성숙도’에 따라 다를 수 있다”라고 진단했다.
해머는 “CISO가 팀과 강력한 운영 문화를 구축하고, 전략적 목표와 성공 측정 기준을 정의하며 일관된 실행 성과를 보여준 뒤에는 비슷한 방식으로 개선할 수 있는 인접 영역이 발견된다. 이로 인해 역할이 쉽게 확장된다”라고 말했다.
역할 확장을 수용할 때와 거절할 때
그러나 점진적인 업무 확대 또는 ‘역할 확장’을 경험한 보안 리더들은 효과가 있을 때와 없을 때를 주의 깊게 고려해야 한다고 조언했다.
소프트웨어 기업 실버포트(Silverfort)의 CISO인 존 폴 커닝햄은 CISO 직책이 지난 수십 년에 걸쳐 기술직에서 기업 리스크 관리 임원 역할로 성장했다고 말했다. 그는 많은 CISO가 더 다양한 역할을 맡을 준비를 하고 있다면서도, 일부 역할을 이 직책에 통합해서는 안 된다고 말했다.
예를 들어, 그는 데이터 프라이버시 책임자(DPO)가 독립적인 역할이여야 한다고 강조했다. CISO가 DPO 또는 CDO 역할까지 맡으려면 두 영역 모두에 경험이 있는 사람이어야 한다는 설명이다. 커닝햄은 “이런 사람이 전혀 없는 것은 아니지만, 실제로 두 영역을 모두 잘 다룰 인재는 드물다. 그리고 적절하지 않은 사람에게 이 역할을 맡기면 실패하거나 번아웃될 상황을 만들어주는 것”이라고 지적했다.
커닝햄은 한때 CISO로서 CDO 역할까지 맡아야 하는지에 대해 질문을 받았다면서, “그래서는 안 된다고 꽤 열정적으로 변론했다”라고 언급했다. 대신 그는 외부 이해관계자 및 업계 동료들과 협력하는 보안 에반젤리스트의 역할을 맡았다.
기술 회사 딥 인스팅트(Deep Instinct)의 CIO이자 CISO인 칼 프로겟도 비슷한 견해를 공유했다. 그는 CISO 아래 다른 역할을 통합하는 추세가 리스크와 보안의 일관성을 보장할 수 있다는 점에서는 긍정적이라고 말했다. 그러나 다른 전문가의 견해처럼, CISO에게 얼마나 많은 추가 업무를 맡길지는 개인의 경험과 역량, 조직의 필요에 따라 달라진다고 그는 언급했다.
어려워지는 채용
프로겟은 “이미 CISO 직무 수행에 필요한 경험을 충분히 갖춘 사람이 많지 않다”라며, 역할을 너무 확장하면 채용이 더 어려워질 것이라고 지적했다.
그는 또한 CISO가 맡지 말아야 할 업무에 대해서도 언급했다. 그는 “이를 테면 감사 업무가 있다. 감사는 CISO의 결정에 의문을 제기할 수 있는 독립성을 가져야 한다”라고 말했다.
그럼에도 불구하고 프로겟, 커닝햄 등은 CISO의 역할이 계속해서 확장되고 더 광범위한 기술, 경험, 전문 지식이 요구될 것으로 예상했다.
해머는 “조직들은 CISO가 보안 분야에서 달성한 성실성, 투명성, 일관성의 가치를 인식하고 있다. CISO는 또한 자신의 책임과 공급망, 운영 연속성, 제품 보안과 같이 기업에 영향을 미칠 수 있는 인접 리스크 영역 사이의 연결고리를 만들고 있다”라고 말했다.
그는 이어 “CISO는 이런 영역의 리스크를 관리하는 데 더 많이 관여하고 고유한 관점과 경험을 제시해야 한다. 역할의 진화에 있어 긍정적인 발전이라고 생각한다. 적절한 경우 CISO가 비즈니스의 다른 영역에 리스크를 고려한 의사 결정 관행을 심어주는 역할도 할 수 있다”라고 설명했다.
[email protected]
Read More from This Article: 어디까지 업무 확장될까?··· 현직 보안 전문가들이 말하는 ‘오늘날 CISO의 역할’
Source: News
