전략가? 실행가? 방어자?··· 당신은 어떤 유형의 CISO입니까?

보안 업계의 오랜 경력을 가진 조지 거초우는 CISO 인재 채용과 관련해 종종 조언을 구하는 스타트업 경영진을 만난다. 그중 하나였던 A 기업에 거초우는 보안 체계를 구축하고 위기 상황에 대처하며 고객과의 소통 능력이 뛰어난 인물을 추천한 적이 있다.

하지만 A 기업은 그의 조언과 달리 기술적 전문성이 뛰어난 CISO를 채용했다. 실무에 능한 아키텍트 유형이 채용되었지만, 이러한 인재는 보안 사고 발생 시 고객을 설득하고 안심시키는 리더십이 부족했다. 결국 CEO는 추가적인 대책을 마련해야 했고, 그 과정에서 고객 불만이 증가했다.

거초우는 “이 사례는 해당 역할에 맞는 CISO 유형을 선택하지 못한 결과”라고 설명했다. 거초우는 보안 컨설팅 및 교육 기관 IANS 리서치(IANS Research)의 자문 위원이자 몽고DB(MongoDB)의 임시 CISO를 맡고 있다. 이 사례와 그의 분석은 비즈니스 경영진뿐만 아니라 CISO 역시 특정 유형으로 분류될 수 있다는 점을 보여준다.

이러한 관점을 지지하는 이들은 보안 리더가 자신이 어떤 유형의 CISO인지, 그리고 어떤 유형이 되고 싶은지를 파악해야 한다고 말한다. 이를 통해 자신의 역량을 적절한 업무에 맞춰 배치할 수 있으며, 성공 가능성을 높일 수 있다. 거초우는 “스스로 성공할 수 있는 환경을 만들어야 한다”고 말했다.

CISO 유형은 몇 가지나 될까?

IANS 리서치와 헤드헌팅 기업 아르티코 서치가 펴낸 ‘2025년 CISO 현황 보고서’에 따르면, CISO 유형은 전략적(Strategic), 기능적(Functional), 전술적(Tactical) 관점에서 세 가지로 분류할 수 있다.

반면 포레스터 리서치(Forrester Research)는 더 다양한 유형을 제시했다. 포레스터는 수년간 여러 보고서를 통해 CISO 유형을 연구해 왔으며, 2024년 12월에 발간한 최신 베스트 프랙티스 보고서 ‘CISO의 미래(The Future of the CISO)’에서 다음과 같은 여섯 가지 유형을 소개했다.

• 변혁형(Transformational): 보안 프로그램을 새로 구축하거나 조직을 재정비하는 역할을 수행하는 리더
• 운영형(Operational): 경력 초기의 CISO로, 기술과 가까운 역할을 수행하며 중소기업에서 일부 기술 업무도 병행하는 유형
• 컴플라이언스형(Compliance): 규제가 많은 산업에서 위험 관리 전문가로 활동하는 유형
• 안정 유지형(Steady-State): 변혁형과 반대되는 개념으로, 보안 체계를 유지하는 역할에 집중하는 유형
• 고객 대응형(Customer-Facing): IT 벤더, 보안 기업, B2B 분야에서 기업의 신뢰도를 높이기 위해 고객과 소통하는 유형
• 사고 대응형(Post-Breach): 보안 사고 발생 후 투입되어 조직이 위기를 극복하도록 지원하는 유형

CISO 유형은 고정적이지 않다

포레스터 리서치의 부사장 겸 수석 애널리스트이자 보고서를 작성한 제프 폴라드는 “연구 결과는 CISO 직책이 필요로 하는 기술과 경험이 크게 다양하다는 점을 보여준다”라며 “이는 기업마다 CISO 역할에 대한 기대치가 서로 다르다는 것을 분명히 시사한다”라고 밝혔다.

그러나 폴라드는 이러한 유형이 늘 같은 형태로 유지되는 것은 아니라고 덧붙였다. 보안 리더는 종종 여러 유형의 특성을 동시에 지니며, 직책이 변화하고 경력이 발전함에 따라 한 유형에서 다른 유형으로 이동하기도 한다.

그는 한 사례를 들었다. 한 CISO는 오랜 기간 변혁형 유형으로 활동했지만, 이후 업무상 출장을 줄이고 싶다는 개인적인 이유 등으로 안정 유지형 CISO로 전환했다.

앞서 언급한 분류 외에도 업계 전문가들이 각자의 관점에서 CISO 역할을 다양하게 분류하고 있다.비영리 사이버보안 교육 및 인증 기관인 ISC2의 CISO인 존 프랑스도 다양한 유형의 CISO가 존재한다고 말했다.

프랑스는 “CEO 유형이 다양하듯 CISO도 마찬가지”라며, 스타트업이나 빠르게 성장하는 중소기업에서 활동하는 창업가적이고 성장 지향적인 CISO가 있는가 하면, 비교적 성숙한 보안 조직을 운영하며 중간 수준의 규제 요건을 관리하는 안정 유지형 CISO도 있다고 설명했다.

또한, ‘사고 이후 투입되는(right-of-the-bang)’ CISO도 있는데, 이런 CISO는 특정 문제를 해결하기 위해 영입되는 유형이라고 묘사했다.

그는 “미래를 내다보는 선구자적 CISO도 있다”며, 이들은 컨설팅 업계나 신기술 분야, 그리고 강연 활동을 통해 자신의 전문성을 알리는 경우가 많다고 전했다.

프랑스는 자신이 IT 경력을 거쳐온 만큼 ‘기술형 CISO’에 가깝다고 말하며, 동시에 비전형 CISO로서 “양자컴퓨팅이 보안 업계에 어떤 영향을 미칠지에 대한 관점을 제시하는 역할도 수행한다”라고 설명했다.

조직 상황에 따라 CISO도 변해야 한다

비영리 IT 및 전문 인증 기관인 컴TIA(CompTIA)의 CISO 랜디 그로스(Randy Gross)는 자신을 ‘실용적(pragmatic) CISO’로 분류했다.

그로스는 “내 역할은 불필요한 기술적 위험을 제거해 기업이 자유롭게 운영될 수 있도록 하는 것”이라며 “보안 솔루션을 설계해 비즈니스가 성장할 수 있도록 지원하는 것이 핵심”이라고 설명했다.

또한 그는 ‘기술형 CISO’로서 “기업이 도입하려는 다양한 기술의 이점을 파악하고 있다”고 말했다. 그리고 ‘자문형(advisory) CISO’ 역할도 수행하며 “리스크를 분석하고, 해결책을 제안하며, 실행 방안을 논의하는 것이 주요 업무”라고 밝혔다.

그로스는 또한 보안 조직을 단계별로 발전시키는 ‘변혁형 CISO’의 역할도 수행하고 있다고 설명했다. 그는 “CISO 역할은 계속 진화하고 확장되고 있다”라며 “단 하나의 유형에만 속하는 CISO는 거의 없다”라고 표현했다.

그러나 그는 조직마다 요구하는 역량이 다를지라도, CISO라는 직책 자체는 공통적인 요소가 많다고 지적했다. 그로스는 “모든 CISO는 그 직책의 명칭과 관계없이 보안 책임자로서 성공하기 위해 대략적으로 동일한 기본적인 비즈니스 통찰력과 기술 지식을 갖추어야 한다”라며 “사실 CISO뿐만 아니라 다른 임원도 비슷하다. 임원으로서 비즈니스, 목표, 궤적을 이해하지 못한다면 실패할 것”이라고 설명했다.

CISO 직책이 공통적으로 요구하는 역량이 존재하는 만큼, 특정 유형으로 나누는 것에 회의적인 시각도 있다. 대표적으로 CISO 협회인 PAC(Professional Association of CISOs) 공동 설립자 타이슨 콥친스키는 이러한 구분 방식에 대해 회의적인 입장을 보였다.

콥친스키는 “PAC에서는 CISO 역할이 여러 개로 세분화되기보다 하나의 표준화된 체계로 정립되어야 한다고 본다”라며 “CISO는 특정 기준을 충족해야만 인증을 받을 수 있도록 해야 한다. 이는 의사나 변호사처럼 일정한 기본 역량을 갖춰야 하는 직업과 유사하다. 물론 특화된 영역(예: 특허 변호사)이 있을 수 있지만, 모든 CISO는 동일한 기본 역량을 갖춰야 한다”라고 설명했다.

역할에 맞는 CISO 유형 찾기

그러나 폴라드와 일부 보안 리더들은 CISO 유형이 존재할 뿐만 아니라, 보안 리더가 자신의 유형을 이해하는 것이 중요하다고 강조했다.

폴라드는 보안 리더 B의 사례를 소개했다. B는 현재 스타트업에서 CISO로 일하며, 보안 프로그램을 구축하는 것을 즐기고 개발자들과 함께 문제를 해결하는 데 열정을 느낀다. 폴라드는 “이러한 성향을 가진 B가 다른 유형의 역할에서는 쉽게 지루함을 느낄 것”이라고 분석했다.

폴라드는 “자신의 유형을 파악하고, 관심을 갖고 열정을 느끼는 역할을 선택하는 것이 매우 중요하다”고 설명했다.

오랜 기간 보안 책임자로 일해온 헬렌 패튼도 비슷한 견해를 가지고 있다. 패튼은 링크드인을 통해 “CISO는 단일한 직군이 아니라 다양한 세부 유형이 존재한다”라며 CISO 유형을 분류한 바 있다.

패튼은 현재 시스코(Cisco)에서 사이버보안 전략 자문 역할을 맡고 있으며, 과거 CISO로 활동한 경험이 있다. 그는 조직이 필요로 하는 CISO 유형은 다양한 요인에 의해 결정된다고 설명했다.

그는 “규모가 크고 오래된 회사, 즉 규모가 크고 복잡한 기술 스택을 보유한 회사는 급속하게 성장하고 변화하는 클라우드 네이티브 스타트업과는 다른 기술, 경험, 리더십 자질을 갖춘 사람이 필요하다”라며 “금융 서비스, 의료, 공공 서비스와 같이 규제가 엄격한 산업에서는 모든 규정 준수 요건을 숙지하고 있는 CISO가 필요하다”라고 설명했다.

다른 전문가들과 마찬가지로, 패튼도 이러한 유형이 절대적인 것은 아니라고 말했다. 패튼 스스로도 전통적인 기업 보안 조직을 이끌던 CISO에서 제품 보안에 특화된 CISO(Product CISO)으로 전환한 적 있으며, 현재는 현장 CISO(Field CISO)로서 시스코의 영업 조직과 협력하며 고객이 시스코 제품을 기술 환경에 도입하도록 지원하는 역할을 맡고 있다.

CISO의 경력 경로가 유형을 결정하기도 한다

전문가들이 CISO 직책을 맡게 된 과정도 그들의 유형을 결정하는 중요한 요소라고 매트 스탬퍼는 설명했다. 스탬퍼는 컨설팅 기업 EAG(Executive Advisors Group)의 CEO이자 CISO이며, 보안 교육 특화 비영리 단체 ISACA에서 이사로 활동하고 있다.

스탬퍼는 “경력 경로가 다르면 경영진의 유형도 달라진다”라고 말했다. 예를 들어, 기술 기반 직무에서 경력을 쌓은 CISO는 기술적 사고방식이 강한 반면, 거버넌스 및 리스크 관리 부문에서 성장한 CISO는 규제 준수 중심의 역할에 적합할 가능성이 높다.

그렇다고 해서 CISO 대부분이 특정 유형을 스스로 정의하는 것은 아니다.

그럼에도 불구하고 스탬퍼, 패튼을 비롯한 여러 전문가들은 “현실에서 대부분의 CISO는 자신을 하나의 카테고리에 국한시키지 않는다”라고 설명했다. 이미 많은 CISO들은 자신을 단일 유형으로 한정짓기보다 여러 역할이 혼합된 형태로 인식한다. 굳이 하나의 역할만으로 자신의 정체성을 좁힐 필요도 없다.

그러나 보안 전문가라면 스스로 강점과 역량을 이해하고, 어떤 역할이 자신의 특성과 가장 잘 맞는지를 고민하는 것은 여전히 중요하다.

보안 컨설팅 기업 티로 시큐리티(Tiro Security)의 자문 CISO(vCISO) 겸 CTO인 제나이 마린코빅은 “CISO는 자신이 재능이 있는 분야에 집중해야 하고, 실제로도 그렇게 하는 경향이 있다”라고 밝혔다.

마린코빅은 “나의 강점은 전략적 인프라 구축, 미래 방향성 예측, 그리고 비즈니스 흐름을 파악하여 아키텍처의 발전 방향을 결정하는 능력에 있다”고 설명했다.

거초우와 마찬가지로, IANS 리서치의 교수이자 아르티코 서치의 사이버보안 파트너인 스티븐 마르타노는 CISO와 역할이 맞지 않을 때 발생하는 문제를 목격해왔다.

마르타노는 C 기업의 사례를 들었다. C 기업은 안정 유지형 CISO를 채용했지만, 경쟁사는 변혁형 CISO를 중심으로 보다 민첩한 보안 전략을 구축하며 빠르게 성장하고 있었다. 결과적으로 이 기업은 보안 대응 속도가 느려지면서 경쟁에서 밀려났다.

마르타노는 “기업과 CISO 모두 자신이 어디에 적합한지 솔직하게 판단하는 것이 중요하다”고 강조했다.
[email protected]