CISO가 CIO 대신 최고 재무 책임자(CFO)에게 보고하는 체계를 도입하면, 사이버보안을 단순히 비용만 드는 부서가 아니라 비즈니스의 중요한 부분으로 바라볼 수 있다. CISO와 CIO 사이에서 발생할 수 있는 갈등도 줄어든다. 이런 변화는 CISO가 기술 전문가에서 전략적 파트너로 성장하고, 조직 내에서 영향력을 키울 기회가 될 수 있다.
생명공학 연구 기업 치아겐(Qiagen)의 CISO인 다니엘 샤츠는 CFO에게 직접 보고하게 되면서 업무 범위가 훨씬 넓어졌다고 말했다. 그는 기술적인 부분만 신경 썼던 과거와 달리, 이제 비즈니스 리스크 전체를 관리하는 데 더 집중하고 있다고 설명했다.
그에 따르면 IT 부서에 속했을 당시에는 주로 시스템과 데이터를 어떻게 보호할지, IT 시스템에 잘 녹아들 수 있는지, 성능이나 사용자 경험에 어떤 영향이 있을지를 중심으로 대화가 진행됐다. 샤츠는 “CFO와는 ‘줄이고 싶은 비즈니스 리스크가 무엇인지, 비용이 얼마나 될지’에 대해 이야기한다”라고 말했다.
샤츠의 경우 CFO가 사이버보안 리스크 관리에 대한 이해도가 높아 쉽게 소통할 수 있었다. 반면 그는 주당순이익(EPS), EBIT, 운영비용/자본비용(OPEX/CAPEX)과 같은 재무 용어를 새로 익혀야 했다. 그는 “CISO는 비즈니스가 돌아가는 원리와 CFO를 비롯한 경영진이 실제로 궁금해하는 문제가 무엇인지 파악하고, 그들이 쓰는 언어로 이야기할 줄 알아야 한다”라고 말했다.
비즈니스 리스크 측면에서 사이버보안 구축
CFO는 주로 재무 성과에 관심을 갖지만, 조직 전체의 리스크를 관리하는 역할도 맡고 있다. CISO는 여기서 기술적 조치를 비즈니스 리스크 관리의 영역으로 바꿔 설명하는 법을 배울 수 있다.
도미노피자(Dominos) 그룹 CISO인 스티븐 베넷은 CFO에게 보고하게 되면서 기술 용어를 덜 쓰게 되고 비즈니스에 미치는 영향에 집중하게 됐다고 말했다. 베넷은 “기술 부서가 아닌 사람에게 보고할 때, 그간 얼마나 전문 용어를 많이 썼는지 깨닫게 된다”라고 언급했다.
또한 리스크, 비즈니스 비용, 보호 조치를 계산하는 방식도 달라질 수 있다. IT 관점에서는 랜섬웨어 공격 가능성을 보호 기술과 공격 사례 중심으로 파악한다. 베넷은 CIO와 이야기할 때는 이런 기술 프레임워크에 더 집중했다면서, “CFO에게 리스크를 설명할 때는 이사회에 보고하는 것과 똑같다. CIO나 CTO에게는 전문 용어나 약어를 써도 되지만, CFO에게는 그럴 수 없다”라고 말했다.
대부분의 조직에서 랜섬웨어 공격 사례는 많은 주목을 받는다. 사례가 뉴스에서 자주 보도되기 때문에 공격이 언제든 조직에 영향을 미칠 수 있으며, 데이터가 날아가거나 업무가 멈추면 피해가 크다는 사실도 알 수 있다.
베넷은 CFO가 “지난 6년간 조직에 실제로 영향을 준 사고가 몇 번 있었나?”라고 묻는 경우가 많다고 언급했다. 실제로 사고가 없을 수도 있지만, 공격은 언제든 발생할 수 있다. 리스크는 과거 공격 데이터가 아니라, 앞으로 생길 수 있는 피해를 기준으로 정량화해야 한다.
베넷은 CFO와 일하면서 커뮤니케이션 역량을 개선했고, 경력에도 큰 도움이 됐다고 말했다. 이사회에 보안 투자가 비즈니스에 어떤 영향을 주는지 보여줘야 할 때 전략적으로 리스크를 설명하는 데도 유용했다고 말했다. 그는 “CFO에게 보고하면서 지금까지 해왔던 업무와 소통 방식을 모두 재고해야 했다”라고 설명했다.
이런 변화는 사이버보안이 비즈니스 성과와 연결돼야 하고, CISO가 기술 담당자에서 비즈니스에 힘을 실어주는 역할로 바뀌어야 한다는 걸 보여준다.
예산 논의 개선
예산 확보에는 숫자가 중요하며, 전략과 논리가 모두 필요하다. 사이버보안 담당자들은 단순히 돈만 쓰는 부서로 보이지 않도록 하기 위해 노력하고 있다. 하지만 FTI 컨설팅 조사에 따르면 CFO의 66%는 CISO의 역할을 잘 이해하지 못하며 사이버보안 투자가 실제로 어떤 효과가 있는지 파악하는 데도 어려움을 겪는다. 많은 CISO가 이런 현실을 잘 알고 있다.
샤츠는 “CFO는 재무 쪽에서 커리어를 쌓다 보니 IT 경험이 많지 않다. 이들은 목표나 예측을 맞추는 게 중요해서 ‘사이버 위험을 줄이는 데 200만 달러를 쓰면 3년 뒤 2,000만 달러 손실을 막을 수 있다’라는 생각을 잘 하지 않는다”라고 말했다.
가트너에 따르면 ‘예산 및 예측 주기’는 CFO와 교류가 드물고 사이버보안 예산 승인을 위해서만 몇 번 소통하는 CISO에게는 어려운 영역일 수 있다.
CISO와 CFO는 서로 목표가 다르기 때문에 소통이 적으면 문제가 악화될 수 있다. 샤츠는 “무엇을 이루려는지, 무엇을 막으려는지 소통하고 이해하지 않으면 기술 담당자가 아무리 설명해도 CFO는 받아들이지 못할 수 있다”라고 말했다.
CFO에게 직접 보고하는 CISO는 기술과 재무 부서의 언어 차이를 좁히고 예산을 확보하는 데 필요한 설명을 제시할 수 있다. 예를 들어, 사이버보안이 조직의 보험과 같다는 점, 취약점이 발생하면 벌금이나 매출 손실이 일어날 수 있다는 점, 그리고 보안 투자가 회사의 장기적인 재무 안정성을 보장한다는 점 등을 설명할 수 있다.
베넷은 “보안은 미래에 대한 이야기다. 재무팀이 보안에 더 투자해 보험 정책을 강화해야 하는 이유를 설득해야 한다. 그렇지 않으면 큰 사고가 일어날 수 있기 때문이다”라고 말했다.
CIO와의 갈등 개선
IT 부서가 주로 기술 성능이나 프로젝트 일정에 초점을 맞추는 경우, 보안은 이런 부분에 제동을 걸 수 있기 때문에 CIO와 CISO 사이에 갈등이 생기기 쉽다.
베넷은 “일반적으로 CIO는 예산 안에서, 가급적 빠르게 성능 좋은 시스템을 내놓는 게 임무다. 그런데 보안 입장에서는 이런 요소들을 방해할 때가 많다”라고 설명했다.
CISO 스스로도 보안을 장벽으로 인식하는 경우가 적지 않다. 그 이점이 항상 명확하게 드러나지 않고 CIO가 집중하는 지표와 상충할 때가 많기 때문이다. 베넷은 “보안이 프로젝트를 늦추거나 복잡성을 더할 수 있다. 보안상 필요해도 고객 입장에서는 바로 도움이 되는 것이 아니다”라고 말했다.
CISO들은 CFO에게 보고하면서 이런 갈등을 줄일 수 있었다고 언급했다. 기술 부서에만 얽매이지 않고 조직 전체의 리스크를 관리하는 역할을 할 수 있게 됐다. 베넷은 “보안은 기술 부서만의 일이 아니라, 조직 전체에 걸친 비즈니스 기능으로 봐야 한다”라고 설명했다.
샤츠의 경우, CFO에게 보고하게 되면서 조직 내 CISO의 위상이 높아졌다고 말했다. 그는 회사에서 CIO도 CFO에게 보고하는 구조라면서, “사람에 따라 다르겠지만 IT 부서장과 좋은 관계를 유지하고 있다. 그는 보안 전문가는 아니어도 IT 역량이 뛰어나고 사이버보안 관련 조언도 잘 받아들인다”라고 언급했다.
샤츠는 IT 리더와 경쟁하는 대신 우선순위나 자원 배분에 대해 자주 논의하고 공동의 목표를 세우고 있다면서, “무엇이 우선인지, 어떻게 진행할지, 어떤 자원이 더 적합한지 정기적으로 논의한다”라고 말했다.
또한 그는 보고 체계가 바뀌면서 역할이 넓어졌다고 언급했다. 이제 그는 CISO로서 사이버 리스크뿐만 아니라 조직 전체의 리스크 관리를 맡고 있다. 따라서 비즈니스 전체를 더 잘 이해하고 모든 부서의 리스크를 관리해야 한다.
샤츠는 “예전에는 CISO가 사이버보안에만 집중했다면, 이제는 조직의 전체 리스크를 관리하는 역할로 확장하고 있다. 이를 위해서는 비즈니스의 핵심 목적과 고객에게 어떤 가치를 제공하는지 더 깊이 이해해야 한다”라고 조언했다.
dl-ciokorea@foundryco.com
Read More from This Article: IT와 분리되면 무엇이 다를까?··· CISO가 전하는 ‘CFO 직속 보고’의 장점
Source: News