최고정보보안책임자(CISO)는 점점 더 복잡해지는 보안 환경에서 지속적인 성찰과 전략적 실행을 요구받고 있다. 위협 환경이 고도화됨에 따라 보안 리더십의 위상과 책임도 높아졌고, 이에 따라 CISO가 감당해야 할 부담도 커지고 있다. 단순히 조직의 보안 태세를 점검하는 데 그치지 않고, 기업 목표와 정렬된 방식으로 보안 전략을 수립해야 하며, 이 과정에서 리스크 관리에 대한 의사결정과 트레이드오프가 핵심 이슈로 떠오르고 있다.
개인적 법적 책임이 현실적인 우려로 떠오른 지금, CISO는 보안 시스템과 정책은 물론 보안 조직 문화, 비즈니스의 전반적 방향성과 상태, 그리고 조직의 지속 가능성을 보장하는 자신의 역할까지 끊임없이 점검해야 한다.
보안 분야의 다양한 전문가들은 CISO가 전략적 리더로 성장하기 위해 반드시 스스로에게 던져야 할 10가지 핵심 질문을 다음과 같이 제시했다.
1. 나는 비즈니스 추진자인가, 방해자인가?
보안 조직은 종종 ‘안 된다고만 하는 부서’라는 인식을 갖기 쉽다. 프로티비티(Protiviti) 글로벌 보안 및 개인정보보호 리더 사미르 안사리(Sameer Ansari)는 CISO라면 “나는 조직에서 추진자로 보이는가, 아니면 방해자로 인식되는가?”라는 질문을 던져야 한다고 강조한다.
임원들이 CISO를 회피하거나 프로젝트가 마무리 단계에 이를 때만 찾아온다면, 이는 해당 CISO가 비즈니스 성공을 돕는 존재라기보다 목표 달성을 막는 존재로 여겨지고 있음을 뜻한다. 회의에서가 아닌 복도에서 프로젝트를 처음 접하는 경우도 같은 맥락이다.
그러나 이러한 상황은 바꿀 수 있다. 안사리는 “아이디어를 일방적으로 거부하지 말고, 실현 가능하도록 컨설팅을 제공하며 판단 없이 조언하는 접근이 필요하다”고 말했다. 이어 “조직이 감수할 수 있는 수준의 리스크인지 판단하고, 이를 넘는다면 ‘이 이슈는 논의가 필요하다’고 말해야 한다”고 덧붙였다.
2. 우리 조직의 리스크 허용 수준에 맞는 적정 보안 수준은 무엇인가?
BPM의 CISO 반디 하미디(Vandy Hamidi)는 보안 리더가 이러한 질문에도 답할 수 있어야 한다고 말한다.
“내 역할은 비즈니스가 고객을 효과적으로 지원하면서도 위험을 감수할 수 있는 수준에서 안정적으로 운영될 수 있도록 돕는 것이다. 모든 걸 봉쇄하면 사용자는 불편하고, 민첩성은 떨어진다. 반대로 보안이 허술하면 침해 사고나 규제 위반, 평판 리스크에 노출된다”고 설명했다.
하미디는 이를 위해 비즈니스의 운영 방식, 우선순위, 과제, 그리고 구성원 특성을 깊이 이해해야 하며, 기술적인 취약점뿐만 아니라 실제 운영에 미치는 영향을 종합적으로 분석해야 한다고 강조했다.
그는 “보안은 단순히 기술적 보호책을 마련하는 것이 아니라, 신뢰를 구축하고 리스크를 비즈니스 언어로 설명하며 보안을 전략적 자산으로 전환하는 일”이라고 말했다.
금융정보공유분석센터(FS-ISAC)의 CISO 존 데닝(John Denning)은 “보안이 비즈니스를 지원하면서 동시에 고객 보호를 실현하고 있는가?”라는 질문도 고려해야 한다고 조언했다.
그는 “최근에는 사용자 경험을 일부러 조정해 보안을 높이는 ‘스마트 마찰(smart friction)’이라는 접근도 부상하고 있다”며 “지불 승인 절차를 일부러 지연시키는 식의 전략적 조치가 이에 해당한다”고 말했다.
3. 이사회에 어떤 보안 지표를 제시해야 하는가?
포레스터 리서치(Forrester Research)의 부사장이자 수석 애널리스트인 제프 폴라드(Jeff Pollard)는 CISO가 비즈니스 기여도를 설명하려면 이사회가 관심 가질 수 있는 방식으로 측정 지표를 설정해야 한다고 조언한다.
보안 패치 수, 평균 대응 시간, 평균 복구 시간 등은 CISO의 성과를 보여줄 수는 있어도, 보안이 기업 성장을 이끌고 있다는 인식을 심어주지는 못한다.
폴라드는 “CISO는 보안이 기업 목표에 어떻게 기여하는지를 보여줄 수 있는 지표, 이사회와 경영진이 더 나은 결정을 내릴 수 있도록 돕는 지표를 찾아야 한다”고 말했다.
4. 우리 조직에서 사이버보안은 어떤 의미를 갖는가?
보안 컨설팅 업체 S-RM의 미주 사이버보안 책임자 폴 캐런(Paul Caron)은 CISO가 조직 내에서 보안 기능이 어떤 위치에 놓여 있는지를 명확히 이해해야 한다고 강조한다. 그래야만 자신이 실제로 필요한 조치를 취할 수 있는 권한을 갖추고 있는지 판단할 수 있다는 설명이다.
캐런은 “CISO가 조직 내 보안 리스크에 대한 대응 책임을 지고 있지만, 정말 그런 도전에 맞설 수 있는 위치에 있는지는 다시 확인해봐야 한다. 필요한 지원과 자원이 충분히 제공되고 있는가? 변화의 중심에 설 수 있도록 경영진의 지지를 받고 있는가? 이러한 질문은 지금의 CISO라면 반드시 스스로에게 던져야 한다”고 전했다.
그는 이어 “조직이 사이버 사고에 대비하지 못한 경우, CISO는 법적으로 책임을 질 수도 있는 상황”이라며, “따라서 그에 상응하는 권한을 갖추고 있는지가 결정적으로 중요하다”고 덧붙였다.
캐런은 “조직이 리스크 관리를 어떻게 인식하고 있는지, CISO가 의사결정 테이블에서 얼마나 목소리를 내고 있는지를 재평가해야 한다”며, “스스로에게 매우 솔직해야 할 질문”이라고 강조했다. 그는 “권한이 없는 CISO는 가장 최악의 자리에 앉아 있는 셈”이라고 단언했다.
5. 기술적 리스크를 효과적으로 설명하고 있는가?
프로티비티의 안사리는 CISO가 사이버보안 리스크를 비즈니스 관점에서 풀어낼 수 있는지 자문해야 한다고 말했다.
그는 많은 CISO가 리스크를 지나치게 기술적으로 설명하는 경향이 있으며, 예컨대 클라우드 컨테이너 보안 부재나 구성 오류에 대해 얘기하는 것이 비기술 임원들에게는 전혀 와닿지 않는다고 지적했다.
“그런 설명은 귀에 들어오지도 않는다. 사이버보안에 익숙한 이사회 구성원이 늘었다고 해도 여전히 ‘그게 무슨 의미냐’는 질문이 나올 수밖에 없다”고 안사리는 말했다.
그는 CISO가 자신이 말하는 보안과 리스크 이야기가 비즈니스 측면에서 얼마나 이해되고 있는지 확인하고, 이를 위해 보안팀 내부와 외부의 신뢰할 수 있는 동료들에게 피드백을 구하라고 조언했다.
이러한 노력이 중요한 이유는, 더 잘 설명하는 CISO가 더 많은 권한과 자원을 확보하며 비즈니스 목표와의 정렬도 이뤄낼 수 있기 때문이다.
6. 내 팀은 내 결정을 자유롭게 이의 제기할 수 있는가?
CISO도 완벽할 수 없다. 따라서 보안 리더는 자신의 프로그램이 부족한 부분에 대해 팀원들의 지적을 기꺼이 받아들일 수 있어야 한다.
안사리는 “CISO는 ‘내 팀이 내 결정에 반론을 제기할 수 있다고 느끼는가? 내가 이견 제시를 장려하고 있는가?’라는 질문을 스스로에게 던져야 한다”고 말했다.
그는 팀이 자유롭게 의견을 낼 수 없는 분위기라면, 토론을 장려하고 도전적인 의견에도 긍정적으로 반응하며 다양한 관점을 수렴하는 문화를 만들어야 한다고 조언했다.
특히 “이 사안에 대해 다른 시각이 필요하다”고 솔직히 말하는 것만으로도 변화를 이끌 수 있다고 강조했다.
7. 고객은 우리가 어떤 보안 조치를 취하길 원하는가?
포레스터 리서치의 폴라드는 최근 몇 년 사이 급증한 제3자 보안 평가 설문지를 통해 고객이 보안 측면에서 조직에 기대하는 바가 무엇인지 파악할 수 있다고 설명했다
이러한 질문을 통해 CISO는 고객이 진정으로 중요하게 여기는 보안 항목이 무엇인지, 조직에 어떤 보안 조치를 요구하고 있는지를 파악할 수 있다.
그는 “이해만 하면, 보안을 위한 투자에 대한 타당성을 확보할 수 있다”고 말했다. 고객이 요구하는 보안 조치에 드는 비용과 그 고객이 조직에 가져다주는 수익을 연계해, 보안 활동의 가치를 수치화할 수 있다는 것이다.
“CISO는 몇 명의 고객이 같은 요구를 하고 있는지, 그 고객이 가져다주는 매출은 얼마인지까지 매핑해볼 필요가 있다”고 조언했다.
8. 우리 조직의 모든 데이터는 실제 어디에 존재하는가?
트랜센드(Transcend)의 리서던스 CISO이자 유나이티드헬스그룹(UnitedHealth Group) 전직 CISO인 에이미 카드웰(Aimee Cardwell)은 이 질문을 꼭 해야 하는 이유를 누구보다 잘 알고 있다.
“가장 고통스럽게 배운 교훈 중 하나는 데이터가 내가 인지하지 못한 곳에 있다는 사실이었다”는 그녀의 말처럼, 카드웰은 과거 인보이스 폴더나 과거 프로젝트에서 남은 서버, 데이터베이스 등에 민감 정보가 숨어 있는 사례를 직접 확인한 바 있다.
기업 인수·합병 이후 예상치 못한 위치에 데이터가 존재할 수 있다는 점도 지적했다. 여기에 AI 기술이 더해질 경우, 자신도 모르는 사이에 데이터 유출이 발생할 가능성도 배제할 수 없다.
메리빌대학교(Maryville University) 존 E. 사이먼 경영대학의 브라이언 M. 갠트(Brian M. Gant) 부학장은 “조직의 가장 중요한 데이터는 어디에 있으며, 이를 어떻게 보호하고 있는가?” “정보 보호의 핵심 열쇠는 어디에 있는가?”라는 질문을 지속적으로 던질 필요가 있다고 강조했다.
글로벌 컨설팅 기업 SSA & Co.의 응용 솔루션 총괄 닉 크레이머(Nick Kramer)도 “조직 내 비정형 데이터의 위치를 충분히 파악하고 있는가? 그 데이터는 제대로 보호되고 있는가?”라는 질문을 CISO가 스스로 던져야 한다고 말했다.
그는 첨부파일 이메일 전송 대신 보안 위치에 저장된 문서 링크를 활용하도록 유도하고, 직원 디바이스에 저장된 파일을 해당 위치로 이전한 뒤 암호화를 적용하는 등 조치를 제안했다.
9. AI는 우리 팀 구성에 어떤 영향을 미칠 것인가?
최근 몇 년간 CISO들은 AI의 안전한 활용을 지원하는 보안팀 훈련에 집중해 왔다. 이제는 보안 부서 자체에서 AI를 본격적으로 활용하기 시작하면서 인력 전략에도 변화를 꾀해야 할 시점이다.
포레스터 리서치의 폴라드는 “AI가 팀 구성에 어떤 영향을 미칠 것인지, 조직은 어떻게 달라질 것인지 고민해야 한다”고 말했다.
CISO는 팀 구성원이 AI 에이전트와 협업할 준비가 돼 있는지, 보안운영센터(SOC) 인력이 어떤 방식으로 재편될지를 고려해야 한다. 폴라드는 “AI가 저연차 직무 수요를 줄이는 대신 중급 분석가 수요는 늘릴 것”이라며, 이는 CISO가 시니어 인재를 어떻게 채용하고 육성할지를 다시 설계해야 함을 의미한다고 설명했다.
10. 나를 놀라게 할 다음 공격은 무엇인가?
SSA & Co.의 크레이머는 “다음 위협은 무엇일까?”라는 질문이 지금 CISO에게 가장 시급하다고 강조했다.
CISO는 그간 제로데이 취약점에 대한 경계심을 유지해왔지만, 이제는 더욱 복잡해지는 공격 면과 고도화된 해커들의 전략을 감안해, 기존 보안 계획의 허점을 단번에 파고드는 시나리오도 대비해야 한다.
카드웰은 “내가 모르는 것이 가장 두렵다. 어디에서 어떤 일이 터질지 알 수 없는 상황”이라고 말했다.
이를 해결하기 위해, 갠트 부학장은 “내 조직의 공격면은 어디인가?”, “누가, 왜 나를 노리고 있는가?”라는 질문을 던지고 그에 따라 보안 계획을 수립할 것을 제안했다.
FS-ISAC의 데닝은 “방어 기술 스택이 현재의 목적에 적합하면서 미래를 대비하고 있는가?”라는 질문을 CISO가 던져야 한다고 강조했다.
“신종 공격 도구가 등장하면서 범죄자들은 더욱 정교하게 사기, 랜섬웨어, 디도스 공격을 실행할 수 있게 됐다. 이에 맞설 기술과 인재가 제대로 준비돼 있는지를 점검해야 한다”고 설명했다.
데닝은 또한 CISO가 양자컴퓨팅 시대에 대비해 조직의 암호화 자산을 점검해야 한다고 덧붙였다.
크레이머는 “CISO는 미래를 예측하는 데 더 많은 노력을 기울여야 한다”며, 최고기술책임자(CTO)처럼 신기술을 연구하는 전담 인력을 두는 것도 방법이라고 조언했다.
“대부분의 CISO는 남들이 먼저 알아내고 알려줄 때까지 기다리기 때문에, 결국 문제는 실제 공격이 발생한 뒤에야 해결된다. 하지만 이제는 실험과 탐색을 통해 선제적으로 다음 공격면을 찾는 자세가 필요하다”고 강조했다. dl-ciokorea@foundryco.com
Read More from This Article: 준비된 자만이 살아남는다···모든 CISO가 스스로에게 던져야 할 10가지 질문
Source: News