CISO는 조직의 보안 정책을 수립하는 과정에서 타 부서와 본질적으로 충돌하는 경우가 많지만, 이러한 관계를 재정비하고 주요 경영진과 협력적 동맹을 구축하는 것을 목표로 삼아야 한다.
CFO와의 관계를 살펴보자. 많은 CISO에게 CFO의 전화는 달갑지 않다. 보통 예산 삭감과 같은 나쁜 소식을 알리는 경우가 많기 때문이다. 일부 조직에서는 CIO가 CFO에게 직접 보고하는 구조를 가지면서 CFO의 생각을 더 잘 이해할 수 있는데, CISO는 그러한 기회가 부족한 편이다.
최근 열린 ‘CFO 및 CISO 어댑트 얼라이언스’ 행사에서 팔로알토 네트웍스의 글로벌 CFO인 디팍 골렌차는 두 리더가 같은 언어를 배우는 것이 전략적으로 얼마나 중요한지 강조했다.
그는 “사이버보안은 모든 기업에 실존적인 위협이다. 자금 부족이나 장부 조작, 중대한 통제 실패로만 CFO가 해고되던 시대는 지났다”라며 “사이버 보안 자원의 부적절한 관리는 기업 생존을 위협하는 새로운 요인이 되고 있다”라고 말했다.
오늘날 사이버 위협이 대부분의 조직에서 최우선 비즈니스 리스크로 떠오르면서, 기업의 전략적 생존에도 보안이 더 큰 영향을 미치고 있다. 이제 CISO와 CFO는 불신의 벽을 허물고 회사의 이익을 위해 전략적 파트너십을 구축할 때가 되었다.
CISO와 CFO 사이에 있는 장벽
CFO와 CISO는 보통 예산 및 투자, 비즈니스 운영, 프로젝트 수행이라는 3가지 핵심 분야에서 갈등을 겪는다.
예산 및 투자
CFO는 주로 매출 증대나 비용 절감을 위한 투자를 우선시하는 반면, CISO는 IT 부문에서 가장 큰 지출 항목을 담당한다. 그러다 보니 기술 관련 비용이 기업 예산에서 큰 운영비용을 차지하게 된다. CISO는 보안 관련 투자를 중요하다고 늘리려고 하지만, CFO는 이러한 세부적인 지출의 필요성을 이해하기 어려워할 수 있다.
CISO 입장에서 주요 도전 과제는 다음과 같다.
- 사이버보안 관련 투자는 재무적 효과를 명확하게 수치화하기 어렵다
- 위험 감소 효과는 전통적인 재무 지표에 비해 추상적으로 보인다
- 예방적 보안 조치의 가치를 정량화하기 어렵다
비즈니스 운영
CFO와 CISO는 모두 업무 중단을 최소화하고 시스템이 항상 안정적으로 운영되도록 하는 데 관심을 가지고 있다. 그러나 접근 방식은 다르다
- CFO는 프로세스 효율성과 정상적인 비즈니스 운영 유지에 중점을 둔다
- CISO가 취하는 보안 강화 조치는 고객 편의성에 영향을 미칠 수 있다
프로젝트 수행
CFO는 프로젝트가 제때 완료되고 구체적인 효과를 얻기를 기대한다. 그러나 CISO는 다음과 같은 이유로 프로젝트 진행을 지연시킬 수 있다.
- 프로젝트 후반부에 보안 문제가 발견되는 경우
- 사이버 팀이 초기 프로젝트 계획에 충분히 참여하지 못한 경우
- 심각한 보안 취약점이 발견되어 프로젝트 진행을 막아야 하는 경우
이러한 요인으로 CISO와 CFO 사이에선 미묘한 긴장감이 흐를 수 있다. 그렇다면 어떻게 이 관계를 전략적 파트너십으로 전환할 수 있을까?
CFO-CISO 동맹 구축하기
CISO는 CFO와의 협력을 개선하기 위해 몇 가지 주요 전략을 고려해야 한다.
첫 번째는 역멘토링(reverse mentoring, 젊은 직원 또는 하위 직급의 직원이 더 나이 많거나 상위 직급의 직원에게 멘토링을 제공하는 방식)이다. CFO와 CISO는 서로 다른 관점을 가지고 있으며 각각의 도메인에 익숙하지 않을 수 있다. 역멘토링은 이 간극을 메우는 데 중요한 역할을 한다. 이러한 관계에서 CISO는 사이버 보안 인사이트를 제공하면서 동시에 CFO의 재무 언어로 소통하는 법을 배울 수 있다. 이런 상호 학습을 통해 조직의 위험에 대한 보다 일관된 접근법이 만들어진다.
두 번째로, CISO는 상업적 관점을 개발해야 한다. 기술 리더가 비즈니스 리더로 성장해야 한다는 말이 자주 언급되는데, 구체적으로 다음 사항을 중심으로 대비하는 것이 중요하다.
- CFO와 공감할 수 있는 비즈니스 사례를 준비한다
- 데이터 보안 활동이 실제 기업에 줄 수 있는 재무적 이익을 보여준다
- 보안 투자에 대한 혜택을 재무 관련 경영진이 이해할 수 있는 언어로 설명한다
세 번째는 협업을 강화하고 CISO가 CFO가 선호하는 솔루션 접근 방식에 맞춰 사이버보안 전략을 조정하는 것이다. 일반적으로 CFO는 개별 분야에서 최고 성능을 보이는 고가의 솔루션들을 각각 구매하기보다, 다양한 기능을 한 번에 제공하는 통합 패키지 형태의 실용적인 솔루션을 선호한다. 이러한 관점을 이해하면 더 효과적이고 승인받기 쉬운 보안 전략을 설계할 수 있다.
AI 시대의 기회
위에서 언급된 접근법을 따른다면 CISO-CFO 관계를 보다 건설적으로 재정립할 수 있을 것이다. 거기다 생성형 AI의 등장은 협력을 위한 새로운 기회를 제공한다. CFO는 AI를 통한 생산성 향상을 추구하는 반면, CISO는 AI 관련 보안 위험 통제에 중점을 둔다. 두 리더가 협력한다면 혁신과 리스크 완화라는 두 가지 핵심 요소를 균형 있게 발전시킬 수 있다.
CFO를 직접 찾아가 더 통합된 관계를 제안하자. 천천히 시작하되, 명확한 목적을 갖고 관계 개선에 투자해보자.
CFO-CISO 관계는 갈등을 극복하는 것이 아니라, 안전한 비즈니스 성장을 가능하게 하는 시너지 창출에 집중해 구축되어야 한다. 서로의 관점을 이해하고 효과적으로 소통하며 조직의 목표를 일치시킴으로써 잠재적 마찰을 전략적 이점으로 전환할 수 있다. CISO와 CFO 모두에게 성공적인 파트너십이 되기를 기원해 본다.
[email protected]
Read More from This Article: 칼럼 | CISO의 성공 전략, CFO와의 협력에서 시작된다
Source: News