지난해 7월, 사이버 보안 소프트웨어 기업 크라우드스트라이크의 정기 업데이트가 전 세계 IT 장애를 촉발했다. 이로 인해 기업 운영이 마비되었고, 직접적인 손실 규모는 최소 50억 달러(약 6조 7,500억 원)로 추정되고 있다.
이 같은 대규모 장애 속에서도 대부분의 기업이 복구에 어려움을 겪는 동안 웹스터뱅크(Webster Bank)는 빠르게 정상 운영을 재개했다. CIO 비크람 나프데는 빠른 대응 비결에 강력한 사이버 보안 도구와 정책 덕분이라고 설명하면서도, CISO와 구축한 긴밀한 협력 관계가 핵심적인 역할을 했다고 강조했다.
실제로 웹스터뱅크는 전략적 계획 수립, 통합 로드맵 개발, 메시지 조율, 정기적인 협업을 통해 긴밀한 파트너십을 유지해 왔다. 크라우드스트라이크 장애 이후에는 유사한 사이버 보안 사고가 발생했을 때 은행이 얼마나 신속하게 복구할 수 있는지를 점검하는 모의 훈련을 진행했다.
나프데는 “이사회에 CIO와 CISO가 어떻게 협력하는지를 직접 보여주었다”라며 “현재 CISO가 분기마다 리스크 및 기술 위원회와 이사회에 직접 보고하는 빈도가 늘어나고 있다”라고 말했다.
Vikram Nafde, EVP and CIO, Webster Bank
Webster Bank
웹스터뱅크의 CISO 패티 보이트는 CIO에게 직접 보고하는 구조를 갖추고 있다. 하지만 나프데는 이 관계가 위계적인 구조가 아니라 협업적인 형태라고 설명했다. 그는 사이버 보안 위협이 점점 더 심각해짐에 따라 보안 리더십의 역할이 중요해지고 있으며, 조직 구조도 이에 맞춰 변화하고 있다고 분석했다.
IBM과 포네몬연구소가 발표한 ‘2024년 데이터 침해 비용 보고서’에 따르면, 2024년 전 세계 데이터센터 침해 사고의 평균 비용은 488만 달러(약 70억 원)로, 전년 대비 10% 증가하며 역대 최고치를 기록했다. 또한, 보안팀이 침해 사고를 탐지하고 대응하는 데 평균 258일이 소요된다는 점도 보고서를 통해 밝혀졌다.
기업의 수익, 평판, 회복력이 사이버 보안에 달려 있는 상황에서, 보안 리더는 더 이상 기술적인 역할에만 머물러 있을 수 없다. 오늘날 사이버 공격은 복잡성이 증가하고 있으며, 규제 환경도 지속적으로 변화하고 있다. 이에 따라 사이버 보안은 기업의 핵심 비즈니스 우선순위로 자리 잡았고, CISO의 위상 또한 높아졌다.
‘2025년 CIO 현황(State of the CIO) 조사’에 따르면, IT 및 데이터 보안 강화를 통한 기업 리스크 감소가 올해 CEO의 주요 IT 우선순위 중 하나로 꼽혔다. 또한, CISO의 보고 체계는 CEO에게 직접 보고하는 경우가 37%, CIO에게 보고하는 경우가 36%로 조사되었으며, 2024년에는 CISO의 절반가량(49%)이 CIO에게 보고한다고 답했다.
보안 커뮤니티인 더CISO소사이어티의 최고 자문 책임자 래리 화이트사이드는 “기업들은 이제 사이버 보안을 최우선 과제로 인식하고 있다. 보안이 ‘만약’의 문제가 아니라 ‘언제’의 문제라는 것을 알아가고 있는 셈”이라고 분석했다.
더 이상 기업이 너무 작아서 사이버 공격의 표적이 될 수 없다는 주장은 더 이상 통하지 않는다. 화이트사이드는 “어떤 기업도 사이버 공격의 대상에서 벗어날 수 없으며, 돈을 벌거나 데이터를 보유하고 있다면 반드시 공격을 받게 된다”라며 “비즈니스에 미칠 영향을 미리 고려하고, 리스크를 최소화할 방안을 적극적으로 모색해야 한다”라고 밝혔다.
CIO의 역할이 점점 더 다각화되면서, CISO 역시 단순한 기술 전문가를 넘어 비즈니스 파트너로서의 역할을 수행해야 한다는 인식이 확산되고 있다. 화이트사이드는 “CIO가 비즈니스와 협력해 기술을 전략적으로 활용하는 컨설턴트 역할을 하듯, CISO도 함께 보안을 전략에 통합하는 방향으로 나아가고 있다”라며 “CISO가 CIO의 하위 조직에서 벗어나 동등한 위치에서 협력하는 경우가 늘어나고 있다”라고 설명했다.
Larry Whiteside, chief advisory officer, The CISO Society
The CISO Society
CIO와 CISO 협력의 성공 전략
유나이티드항공(United Airlines)에서는 CIO와 CISO가 오랫동안 동등한 위치에서 CEO에게 직접 보고하는 구조를 유지해 왔다. 유나이티드항공 부사장이자 CISO인 드닌 데피오레에 따르면, 유나이티드항공은 디지털 혁신을 촉진하기 위해 IT와 보안을 별개의 역량으로 인식하는 동시에, 두 분야가 긴밀히 협력해야 한다는 점을 고려해 이러한 조직 체계를 구축했다.
데피오레는 “CISO는 비즈니스 운영의 흐름에 직접 참여해야 한다”라며 “경영진의 의사결정을 몇 단계를 거쳐서 듣는 것이 아니라, 실시간으로 현실의 운영 상황을 파악해야 한다”라고 말했다.
데피오레와 CIO 제이슨 번바움은 제너럴일렉트릭에서 과거 함께 근무하며 협력 관계를 조기에 구축할 수 있는 기반을 마련했다. 비록 직접적으로 같은 업무를 하지는 않았지만, 공통된 경험과 핵심 가치, 비즈니스 언어를 접하며 상호 이해를 키울 수 있었다. 두 사람은 투명한 소통을 우선시하며, 공통된 비전과 목표를 설정하고, 메시지를 조율해 오해와 장벽을 최소화하는 데 집중했다.
Deneen DeFiore, VP and CISO, United Airlines
Deneen DeFiore / United Airlines
이들은 보안 요건을 새로운 프로젝트의 중심에 두면서도, 일정 지연이나 혁신 저해 요인이 되지 않도록 균형을 유지하고 있다. 대표적인 사례가 지난해 공개된 생성형AI 기반 항공편 상태 공유 서비스인 ‘모든 항공편에는 스토리가 있다(Every Flight Has a Story)’이다. 이 서비스는 항공편 지연 및 업데이트에 대한 투명성과 맥락을 제공하는 역할을 한다.
한 팀으로 일하면서 데피오레와 번바움은 생성형AI의 획기적인 잠재력을 인식하고 조직과 함께 책임감 있는 기술 사용에 관한 프레임워크를 만들었다. 그녀는 “항공편 상태 공유 서비스는 생성형AI를 외부 고객을 대상으로 처음 적용한 사례 중 하나이며, 현재 약 90개의 관련 프로젝트가 진행 중”이라며 “신기술을 빠르게 도입하면서도 리스크를 효과적으로 관리할 수 있도록 협력하고 있다”라고 설명했다.
Jason Birnbaum, CIO, United Airlines
Jason Birnbaum / United Airlines
CIO와 CISO의 긴밀한 협력은 긍정적인 결과를 이끌어낼 뿐만 아니라, IT 및 보안 조직 전반에 걸쳐 이러한 공동의 가치와 비즈니스 목표를 전파하는 것도 중요하다.
미국 연방준비제도(Federal Reserve System)에서 CIO를 맡고 있는 가다 이잠과 CISO 태미 혼즈비-핑크는 금융기관의 핵심 목표를 지원하기 위해 보안 관련 의사결정이 어떤 역할을 하는지 조직 전반에 강조하고 있다.
혼즈비-핑크는 “우리의 협업 방식이 경영진 차원에서만 머무르지 않고 조직 내 여러 계층에서 강화되도록 해야 한다”라며 “만약 우리가 일방적으로 무언가를 중단시키거나 서로의 관점을 수용하지 않는다면, 이는 조직 전체에 부정적인 메시지를 전달하게 된다. 공개적인 자리에서 서로의 의견을 경청하는 것이 필수적이며, 이러한 문화가 우리가 떠난 이후에도 지속될 수 있도록 만들어야 한다”라고 말했다.
Tammy Hornsby-Fink, CISO, Federal Reserve System
Federal Reserve System
IT, 클라우드, 보안 서비스 관리 기업 플라자 다이내믹스는 CIO와 CISO의 협력을 극대화하기 위해 독특한 접근 방식을 취하고 있다. 해당 기업은 CIO와 CISO 역할을 단일 직책으로 통합해 운영하고 있다.
플라자 다이내믹스에서 CIO 및 CSIO 직책 모두를 맡고 있는 비비안 라이언 박사는 “CIO와 CISO를 겸임하면서 사이버 보안 전략을 조직 내뿐만 아니라 고객과의 협업에서도 효과적으로 통합할 수 있는 새로운 권한과 도구를 갖게 됐다”라고 말했다. 그는 CIO와 CISO를 한 사람이 맡는 사례가 증가하고 있지만, 이러한 구조가 모든 기업, 특히 규모가 큰 조직에는 적합하지 않을 수 있다고 설명했다.
CIO와 CISO가 별도의 직책을 유지하는 경우, 라이언은 명확한 리스크 프로파일을 설정해 자원을 우선순위에 맞게 배분하고, 수용 가능한 리스크를 조정하는 것이 중요하다고 표현했다.
라이언은 “동등한 관계에서 보안 요건과 비즈니스 목표를 균형 있게 조율해야 조직이 회복력을 갖추면서도 성장할 수 있다”라며 “명확한 리스크 프로파일이 없으면, 기업이 우선순위가 낮은 위협에 과도하게 투자하거나 중요한 리스크에 대한 대비를 소홀히 할 위험이 있다”라고 설명했다.
Dr. Vivian Lyon, CIO and CISO, Plaza Dynamics
Plaza Dynamics
자신의 목소리를 내는 CISO
CIO와 CISO의 협력이 아무리 잘 이루어지더라도 의견 충돌이 발생할 가능성은 존재한다. CIO는 디지털 전략과 혁신을 주도하는 역할을 맡고 있으며, CISO는 이를 보호하는 역할을 수행하기 때문에 전통적으로 두 직책의 목표가 충돌하는 경우가 많았다. 그러나 최근 CISO의 비즈니스 역량이 강화되고, CIO와의 협력이 긴밀해지면서 이러한 간극이 점점 좁혀지고 있다.
특히, 일부 CISO들은 지나치게 리스크 회피적인 태도를 취하며 혁신의 걸림돌이 된다는 인식에서 벗어나기 위해 노력하고 있다.
이잠은 “비즈니스와 정렬된 CISO는 모든 상황에서 거부권을 행사하지 않는다”라며 “CISO가 경영진 논의에 적극적으로 참여하고 비즈니스 관점에서 목표와 성과를 이해하는 동시에 보안 관점에서 리스크를 관리하면, 더욱 전략적으로 중요한 전장을 선택할 수 있다”라고 설명했다.
CIO와 CISO가 동등한 파트너십을 구축하기 위해서는 적절한 리더십이 필수적이다. CIO들은 오랜 기간 동안 비즈니스 감각을 키워왔으며, 이제 CISO들도 같은 방향으로 발전해야 한다. 단순한 보안 전문가가 아닌, 비즈니스 전략을 이해하고 이를 효과적으로 소통할 수 있는 역량을 갖춰야 한다.
Ghada Ijam, CIO, Federal Reserve System
Federal Reserve System
더CISO소사이어티의 화이트사이드는 “CISO가 단순히 기술 용어만 사용하는 사람이 아니라, 비즈니스 리더가 이해할 수 있는 언어로 이야기할 수 있어야 한다”라며 “방화벽이나 악성코드 이야기가 아니라, 기업 전략과 연계된 논의를 할 수 있어야 한다”라고 강조했다.
CIO와 CISO는 서로 다른 관점을 가지고 있으며, 우선순위도 다르고 리스크를 감수하는 수준도 다를 수 있다. 따라서 CISO가 독립적인 목소리를 내는 것도 중요하다. 보안 전략과 관련된 논의가 IT 인프라, 주요 시스템, 비즈니스 전략과 연계될 때 CISO의 의견이 초기에 반영되어야 하며, 사후적으로 검토되는 방식은 지양해야 한다.
혼즈비-핑크는 “많은 사람들이 CISO나 보안팀이 일을 지연시키는 역할이라고 가정한다”라며 “그러나 보안팀이 초기 논의 단계에서부터 참여하면, 조직이 비즈니스를 더욱 빠르게 추진할 수 있도록 방향을 제시할 수 있고, 지나치게 보수적인 접근 방식을 피할 수 있다”라고 말했다.
장기적인 협력 관계를 유지하려면 개방적인 소통과 투명성이 핵심이다. CIO와 CISO가 서로의 우선순위를 조정하고, 적극적으로 의견을 경청하며, 상호 책임을 지는 문화가 형성될 때 신뢰를 바탕으로 한 성공적인 파트너십이 구축될 수 있다.
유나이티드항공의 데피오레는 “나 같은 경우, 다른 임원과 의견 차이가 있더라도 공격이나 비난으로 받아들이지 않는다”라며 “서로 신뢰하는 관계이기 때문에 모든 것이 순탄하게 흘러갈 수는 없지만, 결국 같은 목표를 위해 해결책을 찾는 것이 중요하다”라고 설명했다.
[email protected]
Read More from This Article: 견제에서 협력으로··· 글로벌 기업이 주목하는 CIO-CISO 파트너십의 힘
Source: News