보안과 IT 간 협업이 필요하다는 점은 분명하지만, CISO와 CIO의 관계는 그리 순탄하지 않다. 이는 새로 임명된 CISO들이 역할을 잡아가는 과정에서 겪는 적응 문제만도 아니다.
가트너 조사에 따르면 재직 기간이 2년 미만인 CISO의 약 3분의 1이 주요 보안 관련 사안에서 CIO와 갈등을 겪는 것으로 나타났다. 특히 5년 이상 경력을 가진 CISO의 절반이 조직의 사이버 회복력 강화나 기업 전체의 사이버 리스크 허용 범위 조율 등과 같은 핵심 분야에서 동일한 갈등을 경험하고 있다고 답한 점은 더욱 눈에 띈다.
가트너 사이버보안 리서치팀의 연구 및 콘텐츠 총괄 부사장 크리스틴 리는 갈등이 CISO와 CIO의 관계 이상을 보여주는 신호가 될 수 있다고 설명하면서도, 갈등 그 자체가 항상 문제를 의미하는 것은 아니라고 지적했다.
연구진과 경험 많은 임원, 그리고 여러 경영 자문가들은 실제로 CIO와 CISO가 조율되지 않은 채 따로 움직이고 있음을 드러내는 더 뚜렷한 징후들이 존재한다고 말했다.
문제의 징후
보안 책임자와 자문가들은 CISO가 CIO와의 관계에서 점검해야 할 위험 신호로 다음과 같은 사례들을 제시했다.
1. CIO가 CISO의 권고나 결정을 무시하거나 번번이 뒤집는다.
테크 기업 트랜센드의 상주 CISO이자 유나이티드헬스그룹의 전 CISO인 에이미 카드웰은 이런 상황에서 CIO가 “의견 고맙지만, 우리는 우리가 하려는 대로 진행하겠다”라고 말하는 식으로 전개되는 경우가 많다고 설명했다.
2. CIO와 CISO가 갈등을 해결하지 못한다.
조직이 발전하려면 일정 수준의 갈등은 필요하다. 다양한 시각과 의견은 최고경영진에게 새로운 선택지를 제공하고 조직 전체에 이익이 되는 절충점을 찾도록 돕는다.
그러나 CIO와 CISO가 갈등을 상급 경영진까지 끌어올리지 않고는 해결하지 못한다면 근본적인 문제가 자리 잡고 있다는 신호일 수 있다. 카드웰은 “어깨를 나란히 하고 있는가, 아니면 코를 맞대고 있는가를 봐야 한다. 만약 코를 맞대고 있다면 그건 정렬되지 않았다는 뜻”이라고 말했다.
가트너 조사에 따르면 경험 많은 CISO의 87%가 CIO와의 갈등 해결 수준을 ‘좋다’ 또는 ‘매우 좋다’라고 평가했다. 가트너의 크리스틴 리는 이 수치가 갈등 그 자체가 관계 이상을 의미하지 않는다는 점을 보여준다고 설명했다. 오히려 “진전을 이루거나 합의에 도달하지 못하는 상황이 CIO-CISO 관계가 깨졌다는 신호”라고 전했다.
3. CIO가 정보를 공유하지 않는다.
트랜센드의 카드웰은 “이건 매우 큰 경고 신호”라고 지적했다.
4. CIO가 CISO의 이사회 보고 내용을 수정하거나 막는다.
CISO가 이사회에 정기적으로 직접 보고하지 않는 것도 문제지만, 카드웰은 CIO가 CISO가 이사회에 반드시 전달해야 한다고 판단한 내용을 바꾸는 것은 더욱 심각한 상황이라고 말했다.
그는 “이는 ‘좀 더 표현을 다듬자’거나 ‘스토리를 더 잘 전달할 수 있다’는 조언 수준을 넘어선다. 사실을 삭제하거나, 윤리적 문제를 야기할 수 있는 방식으로 내용을 바꾸는 것은 단순한 코칭이 아니다”라고 설명했다.
5. CIO가 이사회나 다른 임원 앞에서 CISO의 의제를 훼손한다.
리 역시 “CIO가 CISO의 신뢰도나 의견을 적극적으로 깎아내리거나, CISO와 이사회·임원진 간의 모든 대화를 중재하려 든다면 이는 분명 좋지 않은 신호”라고 말했다.
여기에는 중요한 회의나 조직의 IT 전략 논의에서 CISO의 우선순위를 대변하지 않는 행동도 포함된다.
6. IT가 관련된 비즈니스 이니셔티브에서 CISO가 배제된다.
올바른 파트너십이라면 모든 IT 프로젝트의 초기 단계부터 CIO와 CISO가 함께 움직이는 것이 자연스럽다. 그러나 CISO가 중요한 기술 프로젝트를 진행 후반부에 와서야 알게 되거나, 집요하게 질문해야만 정보를 얻을 수 있다면 관계를 재정비해야 한다는 뜻이다.
소프트웨어 기업 레그스케일의 CISO 데일 호크는 “새 프로젝트나 벤더, 마이그레이션 이야기가 나오는데 CISO가 아무것도 모른다면 이는 근본적인 문제다. 이런 경우 보안은 결국 ‘사후 부착’되는 수준에 그친다”라고 지적했다.
그는 이어 “좋은 관계에서는 놀랄 일이 없으며, 지속적인 소통과 대시보드 공유가 자연스럽게 이루어진다”라고 말했다.
7. 일대일 대화가 없다.
레벨블루의 CIO 마리아 카도우는 CIO와 CISO가 이메일, 그룹 회의, 양측의 팀원을 통한 간접 전달(정보가 자연스럽게 위로 올라올 것이라는 기대)에만 의존한다면 이는 건강한 관계라고 보기 어렵다고 말했다.
카도우는 “우리는 서로 직접 대화하지 않기에는 다뤄야 할 정보가 너무 많다. 정기적이든 필요에 따른 즉석 대화든, 이를 대체할 수 있는 방식은 없다”라고 설명했다.
8. CIO와 CISO가 서로의 우선순위·과제·전략 등을 알지 못한다.
카도우는 “CIO라면 CISO가 무엇을 우려하는지 잘 알고 있어야 하고, CISO 역시 CIO의 세계에서 어떤 일이 벌어지고 있는지 파악하고 있어야 한다”라고 말했다.
9. CISO와 CIO가 역할 분담을 두고 충돌한다.
또 다른 문제의 신호는 공동 책임이 있는 영역에서 어느 한쪽이 발생한 부족함을 상대방 탓으로 돌리는 경우다.
10. 한쪽이 이미 상대방이 보유한 역량을 가진 기술을 중복 구매한다.
이 문제는 어느 쪽에서든 생길 수 있다. 그러나 관련해 더 큰 문제는 CIO가 CISO에게 구매해야 할 제품이나 사용해야 할 벤더·서비스 제공업체를 일방적으로 지시하는 상황이다.
EY 미주지역 사이버보안 역량 총괄 아얀 로이는 “일부 경우에는 CIO의 선택이 보안 관점에서 맞는 답일 수도 있다. 하지만 그렇지 않은 경우도 있다. 중요한 건 일방적인 지시는 충분한 분석이 이루어지지 않았다는 뜻”이라고 설명했다. 이어 “CIO는 CISO가 적절한 솔루션을 선택할 수 있도록 재량을 부여해야 한다. CISO는 평가를 수행하고 최적의 선택을 할 수 있어야 한다”라고 설명했다.
11. CIO가 사이버 위생(cyber hygiene)을 우선순위로 두지 않는다.
대표적인 사례는 보안팀이 시급한 조치가 필요하다고 판단해 우선순위를 매긴 취약점을 패치하지 않거나, 패치를 미루는 경우다.
12. 기술 제품이 보안 결함이나 통제 공백을 안은 채 출시된다.
글로벌 결제·환전 기업 컨베라의 CISO 사라 매든은 “이 경우 가장 먼저 던져야 하는 질문은 ‘왜 제품 설계 단계에서 이를 발견하지 못했는가’이며, 그 답은 대체로 IT와 보안의 협업 부족에 있다”라고 지적했다.
CIO-CISO 관계의 중요성
컨설팅 기관 아포지 글로벌 RMS(Apogee Global RMS)의 설립자이자 구글 클라우드 CISO 오피스의 전 임원인 MK 팔모어는 CIO와 CISO가 성공하려면 두 역할 간 관계가 강하게 구축돼 있어야 한다고 강조했다.
팔모어는 “두 직책에 있는 사람들이 서로 원만할 뿐 아니라 협력적이어야 한다. 각자 맡은 영역과 목표가 있지만, 실제로는 서로 없이는 일을 완수할 수 없다”라며 “따라서 서로를 의지해야 하고, 서로를 의지해야 한다는 사실을 인지해야 한다”라고 설명했다.
협력적 관계가 부족하면 피해를 보는 것은 CIO와 CISO만이 아니다. 팔모어를 비롯한 여러 전문가는 CIO-CISO 관계가 틀어지면 양쪽 조직과 기업 전체에도 부정적 영향을 미친다고 지적했다.
부킹닷컴의 CSO 마니 윌킹은 “갈등이 심한 CIO-CISO 관계는 목표·우선순위·커뮤니케이션에서 불일치로 나타난다”라며 “기술·보안 리더가 같은 방향을 보지 못하면 운영과 성과 모두에서 문제가 드러난다. 프로젝트 마감이 지연되거나 취약점이 증가하는 식”이라고 설명했다.
관계를 악화시키는 요인은 다양하다. 우선 카드웰은 여전히 보안 부서가 ‘안 된다’고 말하는 부서로 인식되거나 실제로 그렇게 행동하는 경우가 있다고 말했다. 그는 “CIO는 ‘안 된다’고 말할 여유가 없다. CIO의 역할은 비즈니스가 하려는 일을 가능하게 하는 데 있다”라며 “따라서 CISO 역시 ‘비즈니스가 원하는 바를 어떻게 실현할 수 있을까’를 중심에 둬야 한다”라고 설명했다.
보안 부서가 ‘안 된다’고만 하지 않더라도, 카드웰은 CISO가 ‘된다’는 답에 도달하기까지 지나치게 오래 걸리는 것도 문제라고 지적했다.
그는 “문제 유형에 따라 빠르게 해결할 수 있는 방법은 수십 가지가 있다”라며 “CISO라면 다양한 가격대·일정·장단점·보안 점수를 갖춘 여러 옵션을 CIO와 비즈니스에 제시해 상황에 맞는 선택이 가능하도록 해야 한다”라고 말했다.
관계를 악화시키는 또 다른 이유로 팔모어는 CIO가 보안을 충분히 우선순위에 두지 않는 경우를 들었다.
그는 “때로는 CISO가 보안에만 집중해 비즈니스 지원 관점이 부족하거나, 반대로 CIO가 보안에는 관심이 없고 비즈니스 추진에만 집중하는 경우도 있다”라고 설명했다.
이 밖에도 CIO가 IT 전반에 대한 통제 권한을 강하게 유지하려 하면서 보안을 배제하거나, 그 반대의 상황도 발생한다.
레벨블루의 최고보안책임자이자 신뢰 책임자인 코리 다니엘스는 “일부 보안 리더는 자신만이 보안을 책임진다고 생각해 고립된 섬처럼 행동하고, 돌아갈 배도 없는 상태에 스스로 놓이기도 한다”라고 말했다.
전문가들은 관계 악화의 배경에는 구조적 요인도 존재한다고 분석했다. 윌킹은 “역할과 책임이 명확하지 않으면 책임 공백이나 중복이 생겨 불필요한 위험을 초래할 수 있다”라고 지적했다.
카도우는 여기에 더해 “조직의 예산 배분 방식이 CIO와 CISO를 같은 예산을 두고 경쟁하는 관계로 만들 수 있다”라고 설명했다.
이러한 문제의 상당수는 윌킹이 말하는 “엔터프라이즈 리스크에 대한 공유된 맥락과 정렬 부족”에서 비롯된다.
그는 “CIO는 가동 시간, 확장성, 민첩성으로 평가받고, CISO는 데이터 보호, 컴플라이언스 준수, 위협 완화를 중심으로 평가받는다. 이 두 우선순위가 어떻게 교차하는지에 대한 공통된 관점이 없다면 두 역할은 충돌하는 것처럼 보일 수 있다”라고 말했다.
이어 “보안은 너무 자주 ‘문을 지키는 역할’로 취급되지만 실제로는 전략적 파트너여야 한다. 협업이 거래적 관계로 느껴지는 이유도 여기에 있다”라고 설명했다. 또한 “부킹닷컴에서는 사이버보안을 비즈니스 전략의 출발점부터 통합해 제품 설계, 데이터, 고객 신뢰를 논의하는 모든 과정에 포함시키고 있다”라고 덧붙였다.
관계가 악화됐을 때 개선 방법
CIO와 CISO 모두 관계가 나빠졌을 때 이를 개선해야 할 분명한 동기가 있다. 리는 “CIO-CISO 관계는 매우 중요하다. 두 역할 모두 조직의 기술·사이버보안 목표를 달성하기 위해 효과적으로 협력해야 한다”라며 “모든 기술에는 사이버보안 노출이 따르며, 이는 기술 도입과 비즈니스 성과에 직접적인 영향을 준다. 그래서 CIO는 보안에 관심을 가져야 하고, CISO는 보안이 비즈니스 성과를 위한 것임을 이해해야 한다. 두 역할은 서로의 우선순위를 달성하기 위해 함께 움직여야 한다”라고 설명했다.
CISO는 CIO와의 관계를 개선하기 위해 다양한 노력을 기울일 수 있다. 인공지능 확산, 경제적 불확실성 등 변화가 큰 현재 환경을 관계를 점검하고 초기화하며, 협업을 막아온 문제를 해결할 기회로 활용해야 한다.
CISO가 취할 수 있는 주요 단계는 다음과 같다.
• 조직의 리스크 관점에 대해 CIO는 물론 C-레벨 경영진과 이사회와도 명확한 공감대를 형성하기
• 보안 전략이 조직의 전체 전략과 IT 로드맵과 일치하도록 조정하기
트랜센드의 카드웰은 “CISO는 ‘CIO가 훌륭한 방향을 잡았다. 이를 어떻게 안전하게 구현할 수 있을까’를 고민해야 한다”라고 설명했다.
• CIO와 CISO 각각의 책임 범위를 명확히 하기
레벨블루의 다니엘스는 “역할의 경계가 어디에 있는지 분명해야 한다”라고 말했다.
• 정기적·비정기적으로 CIO와 직접 소통하는 일을 최우선 과제로 두기
• 관계 관리에 집중하기
다니엘스는 “대화하고, 만날 준비를 하고, 양측 팀이 함께 협업하도록 만들고, 신뢰를 쌓아야 한다”라고 설명했다.
• CIO의 우선순위, 동기, 과제 등을 이해하고 자신의 것도 공유하기
다니엘스는 “상대의 입장에서 한 걸음 걸어보는 방식이 필요하다”라고 조언했다.
• 비즈니스 지원 중심의 사고방식으로 전환하기
레그스케일의 CISO 데일 호크는 “처음부터 ‘안 된다’가 아니라 ‘어떻게 하면 안전하게 이 목표에 도달할 수 있을까’라는 질문으로 접근해야 한다”라고 강조했다.
dl-ciokorea@foundryco.com
Read More from This Article: CISO와 CIO의 관계가 흔들릴 때 나타나는 12가지 경고 신호
Source: News