아무리 경력이 풍부한 최고 정보보안 책임자(CISO)라 하더라도 기업 내에서 넘기 힘든 장벽에 부딪히는 경우가 있다. 관계 구축에 최선을 다하고, 기술적 전문성과 비즈니스 감각을 모두 갖췄음에도 불구하고, 위협으로부터 기업을 보호하는 데 필요한 지지를 끝내 얻지 못하는 상황이다.
큰 틀에서 보면 CISO라는 역할 자체가 매우 어렵다. 이 때문에 다수의 CISO가 2~3년, 혹은 그보다 짧은 주기로 직장을 옮긴다. 국제정보시스템보안협회(ISSA)의 ‘사이버보안 전문가의 삶과 시대’ 보고서에 따르면, 최고경영진의 지원 부족, 기업 규모, 산업 특성에 걸맞지 않은 예산이 CISO 이직의 주요 이유로 꼽힌다.
ISSA 관계자는 보다 구체적인 원인으로 이사회의 적은 관심, 권한에 비해 과도한 책임, 경영진 간 인식 불일치, 리스크 관리와 회복탄력성 구현을 가로막는 지속적인 장벽 등을 지적했다.
이런 문제는 산업 전반에서 공통적으로 나타난다. 그렇다면 CISO는 언제 자리를 옮겨야 할 때인지 어떻게 판단할 수 있을까? 그 해답은 분명한 신호를 살펴보는 데 있다.
경고 신호: 형식적인 대응
핀테크 기업의 CISO이자 보안 리더십 분야에서 영향력 있는 블로거로 활동하는 마리우스 포스쿠스는 경영진이 감사 기관, 고객, 경쟁사를 상대로 보안에 대해 ‘형식적인 말’만 반복하는 경우가 대표적인 퇴사 원인이라고 설명했다. 그는 이른바 ‘보여주기식 보안 역할’에서 사임한 경험이 있다고 밝힌 바 있다.
포스쿠스는 새 직장에 합류하기 전부터 기업이 CISO를 채용하게 된 최근의 배경을 살펴봐야 한다고 조언했다. 그는 “심각한 침해 사고가 발생한 뒤, 벌금을 줄이기 위한 명분으로 CISO 채용에 나서는 사례를 자주 목격한다”라고 설명했다.
경영진이 보안을 형식적으로만 대하고 있다는 또 다른 신호로는 지속적인 자원 지원 거부, 리스크 책임 주체의 부재, 식별된 리스크에 대해 경영진이 공식적인 승인이나 책임 서명을 피하는 상황 등이 있다. 이런 구조에서는 CISO가 모든 리스크를 홀로 떠안는 취약한 위치에 놓이게 된다. 포스쿠스는 이런 문제를 바로잡기 위해, 사이버보안 프로그램에 대한 경영진의 책임을 명확히 규정한 보안 임원 헌장을 제시했다.
또 다른 중요한 경고 신호로는 이사회와의 단절이 있다. 포스쿠스는 이사회와의 단절이 CISO의 최대 이직 사유라고 언급하면서, 임원 보고를 가로막는 체계를 경계해야 한다고 지적했다. 예를 들어 상사가 경영진에게 문제나 요청 사항을 전달하지 않으려 하거나, 이를 의도적으로 차단하는 경우가 이에 해당한다.
경고 신호: 인식의 차이
사이버시큐리티 벤처스의 설립자 스티브 모건은 경영진 및 이사회와의 단절이 CISO가 이직을 결심하는 가장 큰 이유로 꼽혔다면서, 경영진의 실질적인 지원 부족 역시 주요 원인이라고 설명했다.
보안 책임자와 경영진의 인식 차이는 예산에 대한 시각에서도 드러난다. 스플렁크의 2025년 CISO 보고서에 의하면, 사이버보안 예산이 충분하다고 답한 보안 담당자는 29%에 불과한 반면, 이사회 구성원의 41%는 예산이 적절하다고 인식했다. 현장에서 느끼는 현실과 이사회의 판단 사이에 분명한 차이가 존재하는 셈이다.
CISO인 나와브 카비르는 이런 인식 차이를 보여주는 분명한 경고 신호로, 보통 CIO나 CTO인 상사가 실제 리스크를 축소하며 CEO 보고를 반복적으로 차단하는 상황을 꼽았다. 그는 “이 과정에서 CISO에게 위험을 감수하라고 요구하거나 CEO가 보안에 관심이 없다는 식으로 상황을 무마하면, 해당 리스크는 결국 경영진 회의에서 논의조차 되지 않는다”라고 지적했다.
카비르는 실제 현장에서 이를 경험했다고 밝혔다. 회사의 인수합병 이후 보고 체계가 CEO 직속에서 IT 책임자 산하로 바뀌었고, 그가 마련한 보안 이니셔티브와 개입 전략은 인수합병으로 합류한 CIO를 넘어 경영진에게 전달되지 않았다. 그는 더 이상 기업 내에서 변화를 만들 수 없다고 판단하고 떠나기로 결심했다. 카비르는 “현재 계약직 사이버보안 리더로 활동하며, 고객사에서 실제 변화를 만들어내는 데 보람을 느끼고 있다”라고 전했다.
경고 신호: 윤리적 경계 넘어서려 할 때
앞선 모든 요소보다도 더 심각한 경고 신호는 경영진이 CISO의 직업적, 개인적 윤리 의식을 침해하려 할 때다. 예를 들어 CEO나 이사회가 규제 준수의 공백을 숨기려 하거나, 보고 대상인 침해 사고를 은폐하려 하고, 이미 인지한 보안 공백과 보고 실패에 대한 책임 서명을 거부하는 경우다. 포스쿠스는 “이런 일이 생각보다 훨씬 자주 발생하지만, 겉으로는 잘 드러나지 않는다”라고 말했다. 그는 “새로운 일자리를 찾는 CISO라면 대부분 다음 커리어를 위해 퇴사 배경을 공개하지 않기 때문이다. 하지만 CISO에게 개인의 양심은 가장 중요한 자산이며, 싸우며 버티는 대신 떠나야 할지를 판단하는 가장 분명한 기준이 된다”라고 강조했다.
이런 상황이라면 기업 내에서 CISO를 지지해 줄 핵심 인물이 없을 가능성이 높다. 포스쿠스는 고립된 상황 자체가 중대한 경고 신호이기 때문에 반드시 이를 인식해야 한다고 조언했다. 이때는 인사나 법무 부서 역시 도움을 주기 어렵다. 이들은 개인이 아니라 회사를 위해 일하기 때문이다.
2016년 침해 사고 이후 책임을 떠안게 된 전 우버 CISO 조 설리번의 사례가 이를 잘 보여준다. 당시 설리번은 우버 경영진의 불투명한 대응 속에서 사실상 희생양이 됐다. 반면 솔라윈즈의 CISO 팀 브라운의 상황은 달랐다. 솔라윈즈는 2020년 오리온 네트워크 관리 제품의 패치 업데이트를 통해 1만 8,000개 고객사로 피해가 확산된 대규모 공급망 해킹 사건을 겪었지만, 브라운은 회사로부터 지지를 받았다고 설명했다.
브라운은 “설리번이 처한 상황은 매우 가혹했다. 회사가 그에게 공격적인 태도를 보였다는 점이 내 경험과는 극명하게 달랐다”라고 전했다.
긍정적 신호: 기업이 지지할 때
브라운은 당시 침해 사고 대응 과정에 참여한 모든 구성원이 같은 문제의식을 공유했다고 밝혔다. IT 대응팀부터 커뮤니케이션, 법무, 경영진에 이르기까지 모두가 고객과 규제 당국에 대해 책임을 다해야 한다는 데 뜻을 같이했다는 것이다. 브라운은 “상황을 해결하기가 결코 쉽지 않았지만, 팀의 전폭적인 지지가 있었기 때문에 여러 측면에서 위기를 감당할 수 있었다. 첫날부터 옳은 일을 해야 한다는 데 이견이 없었으며, 고객에 대한 투명성을 최우선 원칙으로 삼아 미국 증권거래위원회(SEC) 공시까지 일관된 방향을 유지하기로 결정했다”라고 설명했다.
침해 사고 직후에는 계획된 경영 승계에 따라 새로운 CEO가 취임했다. 공급망 해킹 사건이 발생하기 직전 보안 체계가 적절히 운영되고 있다고 공식적으로 인증한 점을 문제 삼아 SEC가 솔라윈즈와 브라운을 사기 혐의로 기소했지만, 브라운은 기업의 지속적인 지지를 받았다고 전했다.
이사회 및 CEO와 직접 소통할 수 있었던 만큼, 브라운은 침해 사고가 발생하기 전부터 회사가 자신을 지지하고 있다는 사실을 분명히 인식했다. 그는 또 다른 긍정적 신호로, 중대한 침해 사고를 가정한 테이블탑 훈련을 꾸준히 진행해 온 점을 꼽았다. 이러한 모의 훈련 과정에서 각 팀은 고객을 중심에 둔 원칙 아래 협업했으며, 투명성과 교육을 중시하는 대응 방식을 공유했다. 이는 2020년 실제 침해 사고 대응 과정에서 그대로 적용된 실행 지침이기도 했다.
결국 SEC는 브라운에 대한 기소를 철회했다. 같은 해 11월, 그는 해당 사건이 ‘편견 없이’ 종결된 것을 기념하는 온라인 축하 행사에 참석했다. 이 자리에는 공동 진행자로 참여한 설리번을 포함해 주요 기업의 CISO 200여 명이 함께했다. 이 과정은 CISO 역할의 성숙도를 한 단계 끌어올리는 데 중요한 교훈을 제공했다.
내부 인식의 전환
과도한 압박 속에서 번아웃을 겪거나 결국 퇴사한 CISO 가운데 상당수는 카비르처럼 계약직으로 방향을 틀고 있다. 카비르의 경우 새로운 고객과 함께 일하는 과정 자체가, 경고 신호를 긍정적 신호로 바꿀 수 있는 다양한 기회를 제공한다고 설명했다.
그가 자주 마주하는 문제는 이사회와의 단절 및 자원 부족이다. 많은 기업에서 이전 사이버보안 책임자는 비즈니스에 대한 이해 없이 기술적인 이야기만 늘어놓았고, 그 결과 경영진은 내용을 제대로 이해하지 못한 채 피로감만 쌓였다는 것이다. 이로 인해 새로운 사이버보안 리더를 맞이하는 데도 거부감이 있는 경우가 적지 않다고 그는 지적했다.
카비르는 이런 고객사를 대상으로 전사 인원이 참여하는 회의를 소집해, 매출과 직결되는 상황을 가정한 테이블탑 방식의 ‘비즈니스 연속성 스트레스 테스트’를 진행한다. 예를 들어 제조 현장에서 특정 설비가 6~8시간 멈췄을 경우 발생하는 매출 손실이 얼마인지 질문을 던지면 즉각적인 반응이 나온다. 그는 이런 질문이 재무 조직 내부 논의를 촉발하고, 결국 CEO에 전달되면서 보안 문제를 기술이 아닌 비즈니스 관점에서 인식하기 시작한다고 설명했다.
따라서 CISO는 조직 문화를 바꿔 경고 신호를 긍정적인 신호로 전환할 수 있다. 다만 언제, 어떤 방식으로 이를 시도할지는 앞서 언급한 여러 신호에 달려있다. 계약직으로 근무하더라도, CISO는 일부 기업이 조사 결과를 은폐하는 등 윤리적 기준을 훼손하려 할 가능성이 있다는 점을 염두에 둬야 한다. 다행히 이런 경고 신호는 대개 감사 초기 단계에서 드러난다. 경영진이나 사업 부서가 질문에 답하기를 꺼리거나, 무언가를 숨기려는 듯한 태도를 보일 때다.
카비르는 “많은 경고 신호가 보안 문화의 부재나, 조직이 스스로 인식하는 위험 허용 수준과 실제 위험 사이의 불일치에서 비롯된다. 지금까지 무엇을 해왔는지에 대해 질문받는 것 자체를 원치 않는다면, 이는 단순한 불편함을 넘어 무언가를 감추고 있다는 매우 심각한 신호”라고 지적했다.
이런 상황에 대비해 카비르는 배상 책임 보험에 가입하고 개인 법률 자문을 유지하고 있다. 그는 이사회와 최고경영진에 직접 보고하며 일정 수준 이상의 보수를 받는 CISO라면 누구나 같은 준비가 필요하다고 조언했다. 우버의 설리번 같은 사례에서 나타났듯, 대형 사고가 발생했을 때 기업이 법적, 직업적으로 CISO를 끝까지 보호해 줄 것이라고 기대하기는 어렵기 때문이다. 특히 경영진의 무대응과 지원 부족이 사고의 원인이 된 경우라면, 그 가능성은 더욱 낮다.
dl-ciokorea@foundryco.com
Read More from This Article: 떠날 것인가, 남을 것인가···CISO가 결단해야 할 순간
Source: News