필자는 사이버 보안 기업 엑사빔의 CISO로서 CISO 직책의 책임과 권한, 의무와 자율성 사이의 미묘한 균형을 맞추기 위해 수년간 노력해왔다. 지난달에는 보안 리더의 고민을 담은 ‘‘미미한 힘에 큰 책임이 따르다’ · · · CISO 직책의 역설’이라는 제목의 칼럼을 공개했는데, 이 글이 사이버보안 업계에서 큰 공감을 얻는 것을 보고 놀랐다. 그리고 많은 사람이 자신의 경험과 좌절감을 공유하기 위해 필자에게 연락해왔으며, 이들은 한결같이 같은 문제점을 지적했다. 바로 CISO가 조직의 핵심 자산을 보호해야 하면서도 이를 효과적으로 수행하는 데 필요한 권한과 지원이 부족하다는 점이었다.
이후 보안 컨설팅 기업 나인오나인사이버(909Cyber)의 설립자이자 CEO인 덴 존스와 나눈 대화에서 새로운 영감을 얻었다. 존스는 “나인오나인사이버에서는 이사회, CEO, CISO, 심지어 CRO와도 CISO 지원의 중요성과 업계의 미래를 논의하고 있다. 지금처럼 많은 유능한 CISO가 직책에서 물러날 것을 고려하는 시기는 없었으며, 앞으로 몇 년간 CISO의 진화 과정이 매우 흥미로울 것”이라고 전했다.
최고의 실력을 갖춘 CISO가 자리에서 물러난다는 것은 조직 내 보안 리더십과 지원체계에 심각한 문제가 있음을 시사한다. 필자의 경험을 바탕으로, 유능한 CISO를 영입하고 유지하고자 하는 CEO에게 다음과 같은 메시지를 전하고자 한다.
존경하는 CEO님께,
지금이 그 어느 때보다 중요한 시기입니다. 매주 새로운 보안 침해 사고가 헤드라인을 장식하며 수백만 달러의 손실과 회복 불가능한 평판 손상, 고객과 이해관계자 모두에게 파급되는 불확실성의 물결이 일어나고 있습니다. 그러나 중요한 질문을 던져야 합니다. 문제가 발생했을 때 진정으로 책임을 져야 할 사람은 누구일까요?
대부분의 사람들은 CISO를 책임자로 지목하지만, 만약 그들에게 적절한 권한, 자원, 그리고 지원이 주어지지 않았다면 그들에게 책임을 묻는 것이 과연 타당할까요?
이러한 정서는 더 깊은 문제를 내포하고 있습니다. CISO는 이미 직면한 문제를 해결할 준비가 되어 있다. 문제는 전략, 도구, 통찰력이 부족한 것이 아니라 현재의 조직 구조가 단호하게 행동할 수 있는 자율성을 부여하지 않는다는 점입니다.
재무책임자(CFO)에게 예산 관리 권한 없이 재정적 위험을 관리하라고 요구하거나, 최고운영책임자(COO)에게 프로세스 통제 권한 없이 운영을 관리하라고 요구하는 상황을 상상해 보십시오. 권한 없는 책임, 자율성 없는 의무, 이것이 오늘날 많은 CISO가 처한 현실입니다.
이러한 문제는 사이버 보안 노력을 방해할 뿐만 아니라 CISO가 조직에 필요한 전략적 파트너가 되지 못하게 합니다. 회사의 방향을 결정하는 논의에서 CISO가 배제되는 경우가 너무 많습니다.
새로운 제품을 출시하거나 새로운 시장에 진출하거나 인수합병을 고려할 때 보안 고려사항은 처음부터 의사결정 과정의 일부가 되어야 합니다. 중요한 결정이 내려진 후에야 CISO를 영입하면 사후 대응적이고 단편적인 해결책으로 인해 비용은 더 많이 들고 효과는 떨어지게 될 것입니다.
CISO는 의사결정 테이블에 앉을 자리가 필요합니다
CISO에게 의사결정 테이블에 앉는 자리를 주는 것은 상징적인 제스처가 아니라 실질적으로 필요한 일입니다. 이를 통해 보안 전략을 비즈니스 목표에 맞추고, 위험이 장애물이 되기 전에 식별하며, 불필요한 노출 없이 기회를 추구할 수 있습니다. CISO가 경영진의 일원으로 통합될 때, 이들은 단순히 비즈니스를 보호하는 것을 넘어, 비즈니스가 자신감을 가지고 성장할 수 있도록 도울 수 있습니다.
다만, 현재 CISO가 이러한 역할을 하지 못하고 있다면, 그 이유를 고민해 보아야 합니다. CISO 자리에 있는 사람이 단순히 형식적인 요건을 갖추기 위해 선임됐습니까? 그렇다면 이는 재앙으로 가는 지름길입니다. CISO가 가져야 할 가장 중요한 역량은 리더십입니다. CISO가 갖춰야 할 최고의 핵심 역량은 리더십, 즉 비즈니스를 지원하고 발전시키는 보안 전략을 고무하고 조율하며 추진할 수 있는 능력입니다.
이는 모든 C레벨 역할에 대해 기대해야 하는 것과 동일한 기대치입니다. 거버넌스, 위험, 규정 준수 전략에 대한 기술적 전문성이 중요한 것이 아닙니다. 애플리케이션 보안을 얼마나 잘 알고 있는지, 기술 제어를 얼마나 능숙하게 구성할 수 있는지도 중요하지 않습니다. 진정한 CISO는 보안 전략을 비즈니스 목표에 맞추고, 이해관계자와 효과적으로 소통하며, 압박 속에서도 어려운 결정을 내릴 수 있는 리더여야 합니다.
만약 현재의 CISO가 이러한 능력을 갖추지 못했다면, 스스로 돌아볼 필요가 있습니다. 그들이 효과적으로 리더십을 발휘할 수 있도록 필요한 자원과 권한을 제공했습니까? 아니면 낮은 연봉에도 그저 만족하는 사람을 선택하셨습니까?
CISO를 지원하는 것은 비즈니스 성공의 핵심입니다
이 역할에서도 다른 모든 역할과 마찬가지로, 투자한 만큼의 결과를 얻습니다. 뛰어난 CISO는 분명 존재합니다. 이들은 보안과 전략적 가치를 동시에 제공할 수 있는 리더들입니다. 그러나 종종 역량 없이 타이틀만 차지하려는 이들에 의해 그들이 가려지곤 합니다. CISO가 이러한 도전에 맞서지 못한다면 이는 단순히 CISO의 실패가 아니라 채용 및 리더십 우선순위의 실패입니다.
CISO를 지원한다는 것은 단순히 예산을 승인하거나 도구 사용을 허용하는 것을 넘어섭니다. 이는 보안을 비즈니스 성장을 저해하는 요소가 아닌 촉진제로 보는 환경을 만드는 것을 의미합니다. CISO가 리더십을 발휘하도록 신뢰받을 때, 이들은 조직 목표와 보안 이니셔티브를 조율하며, 잠재적 위험을 사전에 파악하고, 성장을 뒷받침할 회복력 있는 기반을 구축할 수 있습니다.
CEO로서, 조직 내에서 보안을 어떻게 바라보는지가 그 조직의 문화를 결정합니다. CISO를 단순히 기술적 조언자로 간주하거나 필요악으로 본다면, 그 인식은 조직 전체로 퍼질 것입니다. 반면, CISO를 경영진의 핵심 일원으로 대우한다면, 이는 강력한 메시지를 전달합니다. 보안은 단순히 문제를 피하는 것이 아니라 성공을 가능하게 하는 요소라는 점입니다.
CISO가 주요 의사결정에 참여하고 있습니까? 그들이 자신의 영역에서 결단력 있게 행동할 권한을 가지고 있습니까? 보안 이니셔티브가 조직의 더 큰 목표와 조화를 이루도록 돕고 있습니까? 이 질문에 하나라도 “아니요”라고 대답했다면, 접근 방식을 재고해야 할 때입니다.
더 많은 비용을 들이거나 불필요한 역할을 추가하라는 의미가 아닙니다. CISO가 제공하는 가치를 인식하고, 그들이 그 가치를 실현할 수 있는 발판을 제공하라는 뜻입니다. 이를 실천하지 않을 경우의 위험은 명확합니다. 그러나 CISO를 강력히 지원했을 때 얻을 수 있는 보상은 그 이상입니다. 보안 리더십을 다시 생각해 보고, CISO가 조직의 방어 체계뿐만 아니라 전체 비즈니스 전략까지 혁신할 수 있는 환경을 만들어 보십시오.
진심을 담아,
타일러 파라
최고 정보 보안 책임자
[email protected]
Read More from This Article: 칼럼 | 유능한 CISO를 영입하고 싶은 CEO께 보내는 서한
Source: News