최근 기업 이사회에서는 사이버 위협에 대한 우려가 급격히 커지고 있다. 이에 따라 규제 기관의 관심도 높아졌으며, 특히 이사회 차원의 사이버 보안 관여 강화를 요구하는 규제가 강화되고 있다. 이러한 흐름 속에서 이사회는 보안 책임자에게 점점 더 많은 질문을 던지고 있다.
2023년 11월, 뉴욕 금융서비스국(NYDFS)은 ‘23 NYCRR 파트 500’ 개정안을 확정했다. 이 법안은 필요한 사이버보안 통제 조치를 매우 구체적으로 명시한 점에서 주목받았으며, 초안에서는 이사회에 적절한 사이버보안 전문성을 갖춘 구성원이 포함돼야 한다는 내용도 담겼다.
유사한 움직임은 호주에서도 나타났다. 호주기업이사회(AICD)는 최근 ‘사이버 거버넌스 원칙’을 개정했다. 이는 지난해 호주 의회를 통과한 ‘사이버보안 법안’과 맞물려 진행됐다.
그 결과, 모든 기업의 리스크 위원회에서 사이버보안 실태에 대한 논의가 활발해지고 있으며, CISO는 이 논의의 중심에 서 있다.
그러나 CISO는 이미 어려운 역할을 수행하고 있다. 심층적인 전문성과 경험이 요구되는 직책이며, 점점 더 복잡한 환경에서 운영되고 있다. 이러한 상황에서 이사회는 CISO에게 요구하는 사항뿐만 아니라, CISO가 성공적으로 임무를 수행할 수 있도록 지원해야 한다.
이사회가 CISO에게 기대하는 것
이사회는 CISO에게 효과적인 리스크 관리와 원활한 커뮤니케이션을 기대한다. 가장 중요한 것은 투명성과 신뢰다. 이를 위해 CISO는 복잡한 사이버보안 리스크를 명확한 비즈니스 언어로 변환해 설명해야 하며, 이사회가 이를 이해하고 실행할 수 있도록 도와야 한다.
명확하고 간결한 리스크 커뮤니케이션은 필수적이다. 이사회는 조직의 보안 상태, 주요 위협 요소, 비즈니스 목표에 영향을 미칠 수 있는 취약점에 대한 정기적인 보고를 원한다. 또한, 기술 용어를 최소화하고, 실행 가능한 형태로 정보를 제공해야 한다.
이사회 구성원은 기업의 보안 전략이 비즈니스 목표와 정렬되어 있는지 확인해야 하는 책임이 있다. 따라서 장기적인 보안 전략을 수립하고, 이를 측정할 수 있는 지표와 비용 효율적인 자원 배분이 필요하다. CISO는 이러한 점을 염두에 두고 이사회와 소통해야 한다.
또한, 규제 준수와 거버넌스도 이사회의 주요 관심사다. 이사회는 기업이 규제를 준수하고 있는지, 보안 통제가 효과적으로 운영되고 있는지, 감사 결과와 이에 따른 조치가 제대로 이뤄지고 있는지를 확인하려 한다. 일부 규제 기관은 감사 결과를 직접 이사회에 보고하며, 이사회 회의록을 검토하기도 한다.
사고 대응 역량도 중요한 요소다. 이사회는 조직이 위협을 효과적으로 탐지하고 대응할 수 있는 능력을 갖추고 있는지 확인해야 하며, 명확한 대응 계획과 보안 사고 발생 시의 커뮤니케이션 프로세스를 원한다. 특히, 이사회 구성원도 보안 사고 발생 시 자신의 역할을 명확히 이해하고 있어야 한다. 일부 기업에서는 사이버보안 대응 매뉴얼을 이사회와 함께 검토하는 사례도 있다.
기업 성장에 기여하는 보안 전략도 중요하다. 이사회는 보안이 비즈니스 성장을 저해하지 않기를 바라며, 보안 통제와 운영 효율성 사이에서 균형을 맞추고 디지털 혁신을 지원하는 전략을 원한다.
무엇보다도, 무엇보다도 이사회는 CISO가 보다 근본적인 질문에 답해주기를 원한다. ‘우리의 위험 허용 수준에 맞게 적절한 보안 체계를 갖추고 있는가? 그렇지 않다면, 어떤 조치를 취해야 하는가?’라는 질문이다. 이는 간단해 보이지만, 일반인이 이해할 수 있는 언어로 답변하는 것은 결코 쉬운 일이 아니다.
CISO가 이사회에 기대하는 것
이제 시선을 바꿔, CISO의 관점에서 이사회가 어떻게 더 효과적으로 지원할 수 있는지 살펴보자.
CISO가 조직을 사이버 위협으로부터 보호하려면 이사회의 지속적이고 구체적인 지원이 필요하다. CISO와 이사회 간의 강한 협력 관계는 효과적인 사이버보안 체계를 구축하는 데 필수적이다. 필자가 알고 있는 한 CISO “이사회는 ‘레드(위험 요소)’를 지원하고, ‘그린(안전하다고 평가되는 요소)’을 검증해야 한다”라고 강조한 바 있다. 이는 CISO가 필요로 하는 핵심적인 지원 방식이다.
이사회는 조직의 리스크 수준에 맞는 전략적 방향을 설정해야 한다. 이사회가 제공하는 이 같은 고수준의 방향성이 있어야 CISO가 보안 프로그램을 개발하고 실행할 수 있다. 또한, 사이버 리스크 문화를 조성하는 것은 CISO의 역할이지만, 이를 조직 전반에 확산시키는 것은 이사회의 책임이다. 이사회는 최상위 리더십 차원에서 보안 준수를 강조하고, 모든 관리 및 사업 부문에서 이를 우선순위로 삼도록 해야 한다. 그러나 일부 이사회는 비즈니스 운영과 기술 전략의 통합을 이해하는 데 어려움을 겪고 있다.
CISO가 효과적으로 역할을 수행하려면 명확한 권한과 책임이 필요하다. 조직을 보호하기 위해 신속한 결정을 내릴 수 있어야 하며, 불필요한 간섭 없이 사이버보안 전략을 실행할 수 있어야 한다.
또한, 이사회는 ‘사이버 리스크 완화(cyber risk buydown)’ 개념을 이해해야 한다. 모든 리스크가 동일한 수준의 위협을 가지는 것은 아니며, 가장 중요한 리스크에 집중하는 것이 중요하다. 이사회는 CISO가 우선순위를 정할 수 있도록 지원해야 한다.
CISO가 효과적인 사이버 전략을 실행하려면 적절한 예산과 자원이 필요하다. 그러나 현실적으로, CISO는 책임을 지지만, 예산과 자원 확보에 대한 최종 결정권을 갖지 못하는 경우가 많다. 이사회는 이러한 점을 고려해 필요한 지원을 제공해야 한다.
이러한 지원은 단기적인 해결책이 아니다. 지속적인 관심과 중장기적인 노력이 필요하다. 많은 기업이 현재 리스크 대응 수준을 개선해야 하며, 이사회도 현재 상태를 그대로 유지해서는 안 된다는 점을 인식하고 있다.
이사회와 CISO 간의 상호 이해를 구축하는 것은 효과적인 사이버보안 대응을 위한 핵심 요소다. 이 상호 협력이 탄탄한 기업일수록 사이버보안 문제를 성공적으로 해결할 수 있다.
dl-ciokorea@foundryco.com
Read More from This Article: 칼럼 | 사이버 보안의 두 축 ‘CISO와 이사회’가 서로에게 진정으로 원하는 것
Source: News