CISO(chief information security officer)라는 직책명은 다른 ‘최고’ 임원이 누리는 수준의 권한을 확보할 수 있음을 의미한다. 조직의 보안 운영, 전략 및 리소스 할당에 대한 지휘권 등에 대해 총괄 지휘하려면 당연한 이야기다.
하지만 대부분의 CISO에게 진정한 지휘권은 종종 환상에 불과하다. 그들은 조직의 민감한 정보를 보호해야 하는 임무를 맡고 있지만, 정작 중요한 결정을 자율적으로 내릴 수 있는 실질적인 권한을 가지지 못한다.
의사 결정, 자원, 인사에 대한 통제권은 효과적인 리더십을 발휘하기 위한 기본이다. 군대와 같은 분야에서 지휘권은 책임과 동의어이며, 리더는 행동할 수 있는 권한이 있기 때문에 책임을 질 수 있다.
그런 의미에서 CISO에게 이러한 지휘권의 부재는 단순한 문제가 아니라 근본적인 결함이다. CISO 역할의 현실은 ‘최고’라는 지위에도 불구하고 조직의 보안 태세에 영향을 미치는 일방적인 결정을 내릴 수 있는 권한이 부족하다는 것이다. 예산을 승인하고, 중요한 완화 조치를 배포하고, 정책 변경을 시행할 수 있는 권한이 다른 경영진에게 분산되어 있는 경우가 많다.
사이버 보안 투자, 정책, 심지어 인력 배치에 대한 결정은 종종 CFO, CIO 또는 CEO 권한에 속한다. CISO에게 이러한 역학 관계는 병력에 대한 지휘권 없이 성을 지키라는 임무를 받는 것처럼 느껴질 수 있다. 위험을 식별하고, 해결책을 제안하고, 전략 계획을 수립하지만 실행은 다른 사람들의 승인, 일정, 우선순위에 달려 있는 셈이다.
보안의 중요성을 상사에게 ‘세일즈’하는 데 어려움을 겪는 CISO
지휘권의 부재는 사이버 보안 의사 결정을 지루하고 종종 좌절스러운 과정으로 만든다. 그들은 보안 문제가 현실화되기 전에 빠르게 움직여 문제를 예측하고 해결해야 한다. 그러나 지휘권이 없으면 보안 투자의 중요성을 ‘판매’하고 승인을 기다리며 다른 사람에게 투자 우선순위를 결정하는 사이클에 갇히게 된다.
이러한 지속적인 동의 프로세스는 대응 시간을 늦추고 나쁜 일이 발생할 여지를 만든다. 타이밍이 가장 중요한 사이버 보안에서는 이러한 지연으로 인해 막대한 비용이 발생할 수 있다.
타이밍 외에도 지휘 개념은 전략적 조정과 권한 부여에 매우 중요하다. CISO에게 진정한 지휘권이 없는 조직에서는 사전 예방적 대응보다는 사후 대응적 운영이 불가피하다. 예를 들어, 고급 위협 탐지 소프트웨어나 직원 교육 확대의 필요성을 인지하고 있지만 예산과 리소스 할당에 대한 지휘권이 없는 CISO는 이러한 변화를 직접 실행할 수 없다.
대신 비용을 정당화하고, 이해 관계자에게 그 중요성을 설득하고, 다른 비즈니스 우선순위에 부합하기를 희망해야 한다. 이러한 종속성은 전략적 능력을 약화시키고 자신의 역할의 필요성을 끊임없이 검증해야 하는 부담을 준다.
이러한 부담을 가중시키는 요소는, 사이버 위험을 경영진의 다른 구성원들이 이해하고 공감할 수 있도록 해야 한다는 과제다. 사이버 위험은 상대적으로 잘 정립된 지표와 성과 지표가 존재하는 재무나 운영 영역과 다르다. 오늘날 사이버 위험은 하룻밤 사이에 새로운 취약점이 발생하고 위협은 끊임없이 진화한다. 또 사이버 공격의 영향은 매우 다양할 수 있기 때문에 모호하고 추상적인 경우가 많다.
권한이 없어도 CISO는 여전히 책임을 져야 한다
사이버 보안에 익숙하지 않은 많은 경영진은 사이버 위험의 시급성을 파악하기 어려울 수 있으며, 이로 인해 CISO는 자신의 전략을 정당화해야 하는 상황에 놓이게 된다. 이러한 ‘설득’은 다른 최고 경영진의 역할에서 일반적으로 요구되지 않는다. CISO로서는 고된 싸움처럼 느껴질 수 있다.
이러한 상황을 특히 어렵게 만드는 현실은 실패에 대한 책임이 여전히 CISO에게 있다는 점이다. 보안 침해가 발생하거나 취약점이 노출되면 CISO가 가장 큰 책임을 진다. 이들은 이러한 사고를 관리하고 예방해야 하지만 필요한 조치를 시행할 권한이 없으면 실패할 수밖에 없다.
예를 들어 CEO는 일반적으로 회사의 전략적 방향 및 리소스와 관련된 의사 결정에 대한 통제권을 가지고 있지만, CISO는 이 정도의 통제권 없이 침해 사고를 예방해야 하는 상황이다. 지휘권 없이 책임만 지는, 누구도 성공할 수 없는 모델이
다.
이러한 지휘권의 부재는 조직의 보안에만 영향을 미치는 것이 아니라 CISO의 대내외 관계에도 영향을 미친다. CISO는 종종 이사회 구성원, 동료 및 이해관계자와 소통하여 보안 이니셔티브를 설명하고 잠재적 위협을 해결하며 위험 완화 전략을 논의해야 한다.
심각한 권한 부족은 CISO에 대한 신뢰를 떨어뜨릴 수 있다
권한이 없으면 조언만 할 수 있을 뿐 강제할 수 없다. 동료들에게는 CISO가 리더가 아닌 중간 관리자로 보일 수 있고, 이사회에는 CISO가 자신의 임무를 완전히 수행하지 못하는 것처럼 보일 수 있다. 시간이 지남에 따라 CISO의 역할에 대한 신뢰와 조직으로부터 필요한 지원을 확보할 수 있는 능력이 모두 약화된다.
내부적으로도 지휘 권한의 부재는 보안 팀 내부의 관계에 영향을 미칠 수 있다. 보안팀은 실시간으로 위협에 대응하고 필요에 따라 새로운 프로토콜을 구현하는 등 긴박하게 업무를 수행해야 한다. 하지만 CISO가 리소스에 대한 최종 결정을 내리거나 필요한 변경을 시행할 권한이 없으면 팀의 사기가 저하될 수 있다.
팀은 자신감 있고 명확한 결정을 내릴 수 있는 리더 아래에서 번창하지만, CISO가 계속해서 다른 사람에게 미뤄야 한다면 CISO와 조직의 보안에 대한 헌신에 대한 팀의 신뢰가 떨어질 수 있다.
이러한 지휘권 부재의 결과는 조직의 전반적인 보안 태세에 실질적이고 가시적인 영향을 미친다. CISO가 업데이트된 보안 도구나 추가 인력의 필요성을 인지하고 있지만 이러한 리소스를 확보하는 데 지속적인 장애물에 직면한다면 조직은 위협에 취약해질 수 있다.
CISO는 진정한 지휘권을 가져야 한다
조직이 진정으로 스스로를 보호하려면 CISO에게 진정한 지휘권이 필요하다는 사실을 인식해야 한다. CISO가 내부 장애물 없이 자신의 도메인에 대한 완전한 권한을 가지고 운영할 수 있을 때, 탄탄한 보안이 가능해진다.
데이터 보안이 점점 더 중요해지는 오늘날 기업은 진정으로 CISO가 성공할 수 있는 환경을 조성하고 있는지 자문해 보아야 한다. 그들에게 행동할 수 있는 리소스, 권한, 자율성을 부여하고 있는가? 아니면 단순히 막중한 책임만 부여하고 이를 이행할 권한은 주지 않고 있는가?
조직이 CISO를 진정한 리더로 대우하기 시작하지 않는 한, 즉 CISO가 해당 영역에 대한 지휘권을 갖기 전까지는 사이버 보안은 도전적이고 불안정한 분야로 남게 될 것이다.
dl-ciokorea@foundryco.com
Read More from This Article: 칼럼 | ‘미미한 힘에 큰 책임이 따르다’ · · · CISO 직책의 역설
Source: News