CISO가 기업의 압박과 규제 의무 사이에서 갈등을 겪으며, 기업에 대한 충성도와 법적 책임 사이에서 균형을 맞추기 위해 고심하고 있다. 보안 솔루션 기업 스플렁크의 최근 연구에 따르면, 보안 책임자 5명 중 1명(21%)이 경영진이나 이사회로부터 컴플라이언스 문제를 보고하지 말라는 압박을 받은 것으로 나타났다.
전 세계 600명의 CISO 또는 이에 준하는 보안 책임자를 대상으로 한 스플렁크 연구에서, CISO의 59%가 조직이 컴플라이언스 요구사항을 무시할 경우, 내부고발 형태로라도 보고하겠다고 응답했다. 이는 많은 보안 책임자가 무대응의 위험성을 인식하고 있음을 시사한다.
강화되는 규제 감독
파운드리 산하 언론사 CSO가 인터뷰한 보안 전문가들은 이번 조사 결과가 보안 거버넌스와 관련된 지속적인 문화적, 조직적 문제를 드러낸다고 지적했다.
컴플라이언스 관리 전문기업 ISMS.online의 최고제품책임자(CPO) 샘 피터스는 “CISO에게 준수 문제를 보고하지 말라고 압력을 가하는 것은 단순히 비윤리적인 문제가 아니라, 개인적인 법적 책임과 조직의 장기적인 회복력에 심각한 위험을 초래한다”라고 지적했다.
피터스는 “SEC의 공시 규정과 NIS2, DORA와 같은 법적 프레임워크에서는 보안 사고를 보고하지 않을 경우 CISO뿐만 아니라 이사회 구성원에게도 중대한 법적, 재정적 결과가 초래될 수 있다”라고 설명했다.
규제 감시가 강화되고 보안 리더의 개인 책임이 커지는 상황에서 CISO들은 GDPR, SEC 규정, 주요 인프라 보호법 등 다양한 규제 요건을 준수하면서 기업 문제를 제기할 것인지에 대한 압박을 받고 있다.
보안 플랫폼 업체 버그크라우드의 기술 프로그램 매니저이자 과거 CISO로 일했던 마티아스 헬드는 이사회가 CISO에게 컴플라이언스 문제를 축소하거나 보고하지 말라는 압박을 가하는 것은 경영진 수준에서 보안이 어떻게 인식되는지에 대한 더 깊은 구조적 문제를 드러낸다라고 언급했다.
헬드는 “스플렁크 보고서의 결과는 충격적이지만, 놀랍지는 않다. 우리는 우버의 전 CISO 사례에서처럼 법적 책임이 보안 리더에게 전가되는 경우를 여러 차례 목격했다”라며 “보안 사고를 예방하거나 대응하는 것보다 기업의 평판을 지키는 것을 우선순위에 두는 의사결정 방식이 문제의 핵심”이라고 전했다.
사이버보안 컨설팅 기업 사이엑셀(CyXcel)의 최고지역책임자 브라이언 말랏은 “규제 기관은 기업의 사이버보안 프로그램과 보안 사고를 보고할 것을 요구하지만, 이사회는 기업의 평판 관리에 더 신경 쓰는 경우가 많다”라고 설명했다.
말랏은 “CISO들은 조직의 고위 경영진으로부터 보안 사고를 은폐하거나 규제 기관, 주주, 기타 이해관계자에게 감지되지 않도록 사건을 분류하라는 지시를 받는 경우가 늘고 있다”라고 말했다.
말랏은 “나 역시 CISO로 근무하던 시절 이런 경험을 했다. 감사위원회에 기업의 위험을 축소 보고하고 SEC 10-K 양식에서 사이버보안 프로그램을 과장하라는 지시를 받았으나, 이를 거부하고 회사를 떠나기로 결정했다”라고 밝혔다.
보안과 경영진의 괴리
CISO는 2025년 1월부터 시행된 DORA를 포함해 기존 및 새로운 규정을 준수해야 하는 엄청난 압박을 받고 있다.
데이터 보안 기업 루브릭(Rubrik)의 솔루션 엔지니어링 부사장 겸 엔터프라이즈 최고기술책임자(CTO) 제임스 휴즈는 CSO에 “이사회가 인식하는 보안 현실과 실제 현장 간의 격차가 크다. 규제 기관이 점점 더 엄격한 요구를 하는 반면, 많은 CISO들은 자신이 운영하는 보안 예산이 이사회의 규제 준수 의지를 반영하지 못한다고 느낀다”라며 “이러한 괴리는 조직의 보안 태세뿐만 아니라 변화하는 규제 요구를 충족할 능력까지 위태롭게 만든다”라고 전했다.
보안 리더는 규제 준수를 단순한 형식적인 절차가 아니라 기업의 핵심 가치와 법적 책임으로 받아들이는 문화를 조성하기 위해 경영진의 강력한 지원이 필요하다.
보안 플랫폼 업체 파나시어의 최고경영자(CEO) 조나단 길은 “규제 기관이 기업 이사회에 대한 책임을 더욱 강화하면서, CISO는 보안 정책과 운영을 보다 엄격하게 관리하고 보안성을 확실하게 높이라는 요구를 받고 있다 “라고 말했다.
길은 “일부 CISO들은 개인 책임보험을 통해 문제를 해결하려 하지만, 이는 근본적인 원인을 해결하는 것이 아니라 임시방편에 불과하다”라며 “만약 이런 책임 전가 문화가 지속되고, CISO들이 보안 문제를 정확히 보고할 권한조차 없다면, 결국 많은 보안 리더들이 업계를 떠나게 될 것”이라고 경고했다.
실제로 다른 조사 결과에 따르면, 개인 법적 책임 문제로 인해 CISO의 70%가 역할에 대한 회의감을 느끼고 있으며, 이 외에도 여러 요인이 복합적으로 작용하면서 보안 리더 중 약 4명 중 1명이 현재 직장을 떠날 계획인 것으로 나타났다.
규제 준수 문화를 조성해야
보안 기업 탈레스(Thales)가 작년 3월 공개한 연구에 따르면, 지난 12개월 동안 컴플라이언스 감사에 실패한 43%의 기업이 보안 침해를 겪을 가능성이 훨씬 더 높은 것으로 나타났다. 이는 컴플라이언스 달성이 운영 회복력을 향상시킬 수 있음을 보여준다.
버그크라우드의 헬드는 “규제 준수를 지키고 있다고 자신 있게 말할 수 있는 기업은 특히 엄격한 규제가 적용되는 산업에서 경쟁 우위를 갖는다”라고 설명했다.
CISO가 규제 준수를 효과적으로 이끌기 위해서는 철저한 보안 사고 대응 계획을 수립하고, 이사회의 적극적인 지원을 확보하며, 규제 준수를 기업의 공동 책임으로 인식하는 조직 문화를 조성하는 것이 중요하다.
또한, 직원들에게 규제 준수 요건과 보안 표준 유지의 중요성을 교육하기 위한 정기적인 교육 및 인식 제고 프로그램을 운영해야 한다.
기술 컨설팅 기업 엘릭서(Elixirr)의 CISO 겸 파트너인 조 허브백은 ” CISO는 조직 전체에서 위험을 인지하고 책임을 다하는 문화를 조성해야 한다. 이를 위해서는 규제 준수 문제를 적극적으로 논의하고, 우려 사항을 보고하는 문화를 장려해야 한다”라고 언급했다.
[email protected]
Read More from This Article: “외부 보고하지 마세요”··· 글로벌 CISO 21%, 보안 규정 위반 은폐 압력 받아
Source: News