CISO는 예산 회의에서 추상적인 재난, 즉 아직 일어나지 않았고 앞으로도 일어나지 않기를 바라는 사건을 예방하기 위해 자금을 요청하는 경우가 많다. 자금 요청과 조직의 수익 창출 사이에 명확한 연결 고리를 그릴 수 있는 다른 임원과 달리 CISO는 대부분 가상의 시나리오를 다룬다. 그들은 고객과 회사의 민감한 정보를 노출시킬 잠재적 랜섬웨어 공격이나 데이터 유출에 대해 이야기한다.
이런 특성으로 인해 CISO들은 CFO가 사이버보안에 막대한 투자를 하도록 설득하기 어려워한다. 대부분의 경우 대화는 좌절감, 소통 오류, 엇갈린 의견으로 가득 찬다. CISO는 사이버보안을 다가오는 위협에 대한 필수 보호 장치로 여기는 반면, CFO는 측정 가능한 수익과 눈에 보이는 결과를 원한다. 결국 양측은 공통점을 찾기 어렵다.
사이버 리더십 연구소(Cyber Leadership Institute)의 CISO이자 공동 설립자인 대런 아길은 “사고방식의 간극을 좁히는 일은 항상 어려웠다”라고 설명했다.
아길은 CFO가 구체적인 숫자, 예측 모델 및 명확하게 측정 가능한 수익을 다루는 데 익숙하지만 사이버보안은 그런 방식으로 작동하지 않는다고 언급했다. 그는 “사이버보안은 발생할 수 있는 사건에 대한 노출을 줄이며, 보통 최상의 결과는 아무 일도 일어나지 않는 것이다. 이는 설득하기 정말 어려운 부분이다”라고 말했다.
단 한 번의 사이버 공격으로 수백만 달러가 사라질 수 있지만, CFO와 CISO는 근본적으로 다른 관점에서 사이버보안에 접근하는 경우가 많다. 이런 격차를 해소하려면 단순히 소통을 개선하는 것 이상으로 사고방식의 전환이 필요하다.
CISO와 CFO가 중간 지점에서 만나는 방법
많은 조직에서 CISO와 CFO 간의 단절은 여전히 과제로 남아있다. 사이버보안 위협의 규모와 복잡성이 점점 커지고 있지만, 고위 경영진은 리스크의 규모를 제대로 이해하지 못하는 경우가 많다. EY의 2025년 사이버보안 연구에서도 이런 격차가 확인됐다. 연구에 따르면 CISO의 68%가 고위 경영진이 리스크를 과소평가한다고 우려했다.
CISO와 CFO가 중간 지점에서 만나 기술적 우선순위를 재정적 현실에 맞출 때 이런 격차는 좁혀질 수 있다. 아길은 대화를 진전시키려면 접근 방식을 바꿔야 한다고 조언했다. 그는 기술을 옹호하는 대신 영향을 보여주기 시작했다. 기술 전문 용어에 얽매이지 않고 사이버보안을 재정적 리스크, 운영 중단, 수익에 미치는 영향 등의 관점으로 재구성했다. 또한 CFO에게 실제 일어날 리스크에 대한 시각을 제공했다.
아길은 “시스템 다운타임을 수익 손실, 규제 준수 벌금 및 평판 피해와 연결하는 실제 랜섬웨어 시나리오로 제시했다. 막연한 위협 대신 실제 재무 모델을 사용했다. CFO는 이를 보안 문제라기보다는 비즈니스 연속성을 위한 보험으로 인식했으며, 거기에서 돌파구가 마련됐다. 그 이후로는 같은 마찰을 겪지 않았다”라고 설명했다.
이런 대화에서 아길은 전통적인 의미의 투자 수익률을 약속하지 않도록 주의하고 있다. 사이버보안을 돈 버는 방법으로 제시하는 대신, 잠재적인 재적, 규제 준수, 평판 피해를 막는 필수 수단으로 설명한다는 것이다. 그는 “사이버는 반짝이는 새 도구가 아니다. 안전벨트와 같다”라고 말했다.
CFO나 다른 고위 임원과의 대화할 때 아길은 일반적으로 3가지 범주로 나눠 설명하고 있다.
- 아무것도 하지 않을 때의 비용은 어떠한가?
- 노출을 줄이거나 대응 속도를 높이는 방법은 무엇인가?
- 이 투자가 더 넓은 비즈니스 전략을 어떻게 지원하는가?
아길은 이 전략이 두려움을 조장하는 것이 아니라 “사이버보안을 회사 가치에 대한 투자로 인식하는 것”이라고 설명했다.
적절한 단어 선택
가시적인 것에 초점을 맞추고 사이버보안을 비즈니스 성과와 직접 연결하면 CFO가 더 큰 그림을 볼 수 있다. 아길은 CFO에게 레드팀 투자를 제안했을 때 이를 직접 경험했다고 밝혔다. 그에 따르면 CFO의 초기 반응은 “우리 자신을 공격하기 위해 돈을 지불하라는 것인가?”였다. 잠시 후 아길은 “아니다. 다른 사람이 공격하기 전에 우리가 먼저 구멍을 찾자는 것이다”라며 제안을 다시 설명했다. 그러자 제안이 받아들여졌다. 아길은 “사전 리스크 관리라는 관점으로 설명하자 분위기가 바뀌었다”라고 말했다.
옵시디언 시큐리티의 CFO인 치트라 라자고팔란도 이 접근 방식이 타당하다고 말했다. 그는 “보안 투자가 리스크 관리(사이버 보험, 기술 업그레이드 주기), 벌금 감소, 새로운 시장 진입을 위한 규제 승인, 비즈니스 회복력을 위한 사이버 인력 배치 등 재무 계획 안정성과 예측 가능성을 어떻게 지원하는지를 보여주는 명확한 사례를 활용할 것”을 권장했다.
또한 CISO와 CFO 간의 대화는 솔직하고 열린 자세로 이뤄져야 한다. 투명성이 없으면 모든 것이 무너질 수 있다. 시소하이브의 설립자이자 코카콜라와 캠벨수프의 전 CISO인 르네 구트만은 이를 경험했다고 언급했다. 이전 CISO로부터 인수인계를 받고 예산을 검토한 결과, 그는 약속된 모든 것을 이행할 자원이 팀에 없다는 사실을 빠르게 깨달았다.
구트만은 “CFO와 만났을 때, 특히 자원과 조직에 미치는 영향에 대한 수치가 더 현실적이고 구체적이었다. 적절한 규모의 예산과 계획을 세우는 것이 항상 중요했다”라고 말했다.
구트만은 필요한 경우 CISO가 외부 도움을 받을 것을 권장했다. 그 역시 몇 차례 이사회가 상황을 이해하도록 외부 사이버보안 회사를 고용한 바 있다. 이때 CFO가 신뢰하는 빅4 회계법인의 검증을 받아 회의적인 분위기를 극복하고 경영진의 지지를 얻었다. 구트만은 “CFO는 신뢰할 수 있는 제3자가 리스크, 개선 활동 및 비용을 검토하는 것을 훨씬 더 편안하게 받아들였다”라고 언급했다.
CISO와 CFO의 관계 강화
CISO와 CFO 간의 관계 재설계는 한 번의 회의나 진한 커피 한 잔으로 해결되는 문제가 아니다. 시간, 상호 이해 및 열린 대화가 필요하다.
아길이 지적했듯이, 이런 논의는 양측이 이미 협상 모드에 있는 예산 시즌에만 국한되어서는 안 된다. 신뢰와 조율을 진정으로 구축하기 위해 CISO와 CFO는 돈이 오가기 훨씬 전부터 대화를 유지하고 서로의 업무를 이해하기 위해 노력해야 한다.
아길은 “이상적으로는 CFO를 사이버 위기 시뮬레이션과 시나리오 계획에 참여시키는 것이 좋다. 보안 침해의 도미노 효과를 직접 보면 보고서로만 읽는 것보다 더 빨리 이해할 수 있다. 직접적인 경험은 어떤 파워포인트보다 쉽게 이해도를 높일 수 있다”라고 조언했다.
아길은 사이버보안 지출을 단순히 정당화하는 데 그치지 않고 CFO와 리스크에 대한 공통된 이해를 조성해 상호작용을 거래보다는 전략으로 구축할 것을 권장했다. 그는 “이런 변화가 모든 것을 바꾼다”라고 덧붙였다.
CISO는 또한 CFO의 언어로 말하고 그들이 공감할 지표를 사용할 수 있다. 즉, 다운타임, 재정적 노출, 규제 준수 리스크와 같이 CFO가 이미 신경 쓰고 있는 결과와 연결되는 정보를 제공해야 한다. 아길은 CISO가 사건당 비용, 시나리오 기반 손실 예측, 시간/일당 다운타임 비용, 서드파티 사이버 리스크 노출, 그리고 규제 미준수 비용에 초점을 맞추고, 가능한 한 달러 기반 추정치를 사용할 것을 권장했다.
라자고팔란은 CFO로서 이런 접근 방식이 유용하다고 언급했다. 그는 “옵시디언 시큐리티에서 재무 리더들이 뭔가를 깨닫는 순간은 SaaS와 생성형 AI 도구에 대한 빠른 투자와 이를 보호하는 동등한 보안 투자의 부족 사이의 격차를 보여줄 때다”라고 말했다.
또 다른 전략은 조직의 보안 프로그램을 경쟁사의 프로그램과 비교하는 것이다. 구트만은 “사이버보안 태세 측면에서 최악 중 최고인 조직의 CISO가 되고 싶지 않다고 말했다. 이 말을 했을 때, 실제로 이사회 구성원들이 속해 있는 조직을 포함해 더 강력한 프로그램을 가진 것으로 여겨지는 조직과 프로그램을 벤치마킹할 수 있도록 허용됐다”라고 설명했다.
이런 전략은 결국 한 가지 사실로 귀결된다. CISO와 CFO가 서로 다른 언어를 사용하지만, 비즈니스를 강력하게 유지한다는 동일한 목표를 갖고 있다는 것이다. CFO는 CISO를 걸림돌이 아니라 미리 문제를 발견하고 더 안전한 성장을 위한 길을 열어주는 협력자로 봐야 한다.
아길은 “CISO로서 내 역할은 비즈니스가 더 빠르되 안전하게 움직이도록 돕는 일이다. ‘거절하는 부서’라는 고정 관념은 시대에 뒤떨어진 것”이라고 말했다.
dl-ciokorea@foundryco.com
Read More from This Article: 접근법이 다른 두 직책··· CISO와 CFO의 소통을 개선할 방법
Source: News