RSAC(구 RSA 콘퍼런스) 조사에 따르면 중소규모 기업은 글로벌 대기업에 비해 보안 침해 발생 시 CISO를 법적 책임으로부터 보호할 가능성이 현저히 낮은 것으로 나타났다.
전문가들은 이러한 결과가 우려스럽다고 평가했다. 보호 장치가 없을 경우 CISO는 직무 수행 과정에서 내린 의사결정과 관련한 법적·재정적 위험에 직접 노출될 수 있기 때문이다.
RSAC가 실시한 설문조사에서 포춘 1000대 기업 소속 CISO의 대다수인 88%는 회사로부터 법적 면책을 보장받고 있다고 답했다. 반면 직원 수가 500명가량인 기업에 속한 CISO의 경우 이 비율은 53%로 크게 낮아졌다.
두 그룹 모두에서 가장 일반적인 면책 수단은 임원 배상 책임보험(D&O 보험)이었으며, 포춘 1000대 기업 CISO 응답자 가운데 70%는 해당 보험의 적용을 받고 있다고 답했다.
로펌 CM로(CM Law)의 공동 설립자이자 변호사인 켈리 리튼베리 컬핸은 미드사이즈 기업 역시 직면하는 위험은 글로벌 대기업과 유사하다는 점에서, 이번 조사 결과가 보안 리더와 미드사이즈 기업 고용주 모두에게 경고가 된다고 설명했다.
컬핸은 “미드사이즈 기업은 운영의 복잡성과 규모에서 차이가 있을 수 있지만, 랜섬웨어, 데이터 침해, 규제 준수 실패와 같은 사이버보안 위험의 심각성은 동일하다. 면책이 없다면 CISO는 개인적으로 책임져야 하는 상황에 노출되고, 이는 역량 있는 전문가들이 해당 직무를 맡는 것을 주저하게 만드는 요인이 될 수 있다”라고 언급했다.
다시 말해, 미드사이즈 기업은 고용한 최고 보안 책임자를 개인적 책임으로부터 보호하지 못한 결과로 더 큰 위험에 빠질 수 있다는 분석이다.
CISO 대상 D&O 보험 적용 확대
CISO를 보호하기 위한 안전망은 여러 단계로 구성될 수 있다. 그중 첫 번째는 회사의 면책 조항으로, 일반적으로 정관이나 내규에 포함된 규정을 의미한다.
고용 관행 책임 보험을 제공하는 WIA(World Insurance Associates)의 존 피터슨은 “보통 법무책임자와 이사회 결의를 통해 이뤄지는 회사의 면책 조항 문구는 반드시 적절하게 작성돼야 한다. 이를 통해 CISO가 다른 이사나 임원과 동등한 수준의 면책을 받을 수 있다”라고 설명했다.
CISO를 위한 두 번째 안전망은 보험 중개사를 통해 회사가 가입하는 D&O 책임 보험이다. 피터슨은 회사에 D&O 보험이 마련돼 있더라도, CISO가 해당 보험에서 ‘피보험자’로 명확히 포함돼 있는지 반드시 정책 내용을 직접 확인해야 한다고 조언했다.
IANS 리서치와 아티코서치(Artico Search)가 공동 발표한 최신 CISO 보상 보고서에 따르면, 실제로 D&O 보험에 CISO를 포함하는 사례가 점차 늘고 있는 것으로 나타났다.
2025년 보고서를 기준으로 미국과 캐나다의 CISO 가운데 50% 이상이 해당 보험 혜택을 받고 있다고 응답했으며, 이는 지난해 보고서의 40%보다 증가한 수치다. 또한 CISO 5명 중 1명은 조사나 감사 등을 위해 외부 법률 자문을 이용할 수 있다고 응답했다.
면책을 둘러싼 쟁점
다만 보험 중개사 맥길앤파트너스(McGill and Partners)의 미국 사이버 리더 라이언 그리핀은 D&O 보험과 고용주와의 직접 면책 계약 간 차이가 종종 잘못 이해되고 있다고 지적했다.
그리핀은 “CISO 보호를 위해 가장 중요한 수단은 고용주와 직접 체결한 면책 계약”이라며 “D&O 보험은 회사가 임원을 보호하기 위해 비용을 지급하는 방식이지만, 실제로 그 보호를 법적으로 보장하는 것은 면책 계약”이라고 설명했다.
그는 공식적인 면책 계약이 없는 경우 CISO가 매우 큰 위험에 노출될 수 있다고 경고했다.
그리핀은 “이 경우 CISO는 자신의 법적 방어 비용을 직접 부담해야 하며, 개인 저축이나 개인 종합 보험에 의존할 수밖에 없다. 재정적 손실을 넘어 경력 자체가 심각하게 훼손될 수 있다”라고 말했다.
이어 그는 “설령 최종적으로 기각되더라도 집행 조치에 연루되면 수년간 상장사의 임원으로 활동하지 못하는 제재가 내려질 수 있다. 이는 향후 직업의 선택지를 크게 제한한다”라고 설명했다.
책임 공방
RB-사이버 어슈어런스(RB-Cyber Assurance)의 공동 설립자이자 대표인 켄릭 배그널에 따르면, 이런 상황의 핵심에는 책임 소재 문제가 있다. 보안 사고 발생 시 책임은 거의 항상 ‘보안을 총괄하는 인물’로 인식되는 사람에게 돌아간다는 설명이다.
전 토론토 경찰청 형사 출신인 배그널은 “포춘 500대 기업의 CISO든, 직원 100명 규모 제조업체의 유일한 IT 책임자든 문제가 발생하면 누군가는 그에 대한 책임을 져야 한다”라고 말했다.
배그널은 글로벌 대기업과 미드사이즈 기업의 차이가 노출 수준이 아니라 자원에 있다고 분석했다. 즉, 대기업 CISO는 법무팀이나 위기 대응 PR 자문 등 보호 장치를 활용할 수 있는 경우가 많지만, 미드사이즈 기업에서는 한두 명이 컴플라이언스, IT, 보안 업무를 모두 떠안는 경우가 적지 않다.
이러한 구조는 사고 발생 시 큰 문제로 이어질 수 있다. 배그널은 “회사 규모가 작다는 이유만으로 규제 당국, 고객, 법원이 기대 수준을 낮추지는 않는다”라고 지적했다.
그는 “결과적으로 법적 보호가 없다면 미드사이즈 기업 CISO는 개인적·직업적으로 중대한 위험에 직면하게 된다. 교체 예산이 배정되지 않은 오래된 시스템이나, 업무에 방해가 된다는 이유로 보안 도입을 거부한 사업 부서 등 본인이 통제할 수 없었던 문제의 책임까지 떠안을 수 있다”라고 설명했다.
솔라윈즈 사태의 여전한 여파
지난 2023년 미국 증권거래 위원회(SEC)는 솔라윈즈(SolarWinds)의 CISO 티모시 브라운을 상대로 소송을 제기한 바 있다. 투자자를 오도하고 자사의 사이버 보안 조치를 정확하게 공시하지 않았다는 혐의다. 이 사건은 결코 특수한 사례가 아닐 수 있다. 해당 소송이 최종적으로 기각되면서 CISO가 보안 사고의 책임을 개인적으로 져야 한다는 우려는 어느 정도 완화됐지만, 문제 자체는 여전히 해결되지 않은 상태다.
컬핸은 “사이버보안 리더는 침해 사고와 대응 방식에 대해 점점 더 직접적인 책임을 지고 있다. 선의로 행동했음에도 불구하고, 규제 기관과 주주, 법원이 CISO를 소송 대상에 포함시키는 사례가 늘고 있다”라고 진단했다.
미드사이즈 기업은 법무 및 컴플라이언스 자원이 상대적으로 제한적인 경우가 많아, 면책 보험은 보안 전문가의 잠재적인 안전망으로서 더욱 중요한 의미를 갖는다.
다만 컬핸은 “D&O 보험은 반드시 확보해야 하지만, 항상 모든 위험을 포괄하지는 못한다”라고 언급했다. 기업의 리스크 관리와 보험 자문을 전문으로 하는 전직 법무책임자 출신 변호사인 컬핸은 CISO를 위한 모범 사례 점검 목록을 제시했다.
- D&O 보험에서 CISO에 대한 보장 범위 확인
- 사이버 관련 청구의 보장 한도와 제외 조항 검토
- CISO와 보안 책임자를 위한 추가 면책 계약 검토
- 사고 대응과 정보 공개 정책이 CISO 면책 조항과 충돌하지 않도록 사전에 정비
거버넌스 구조 전면 재정비 필요
RB-사이버 어슈어런스의 배그널은 CISO 역할이 이를 보호하는 거버넌스 구조보다 훨씬 빠르게 진화해 왔다고 진단했다.
배그널은 “오늘날 보안 리더는 전략가이자 기술 전문가이며, 위기 대응 전문가인 동시에 때로는 희생양 역할까지 요구받고 있다”라며 “특히 미드사이즈 기업이 이러한 현실을 인식하고 이에 걸맞은 법적·계약적 보호 장치를 구축하지 않는 한, 역량 있는 리더들이 CISO 역할을 맡는 데 주저하는 상황은 계속될 것”이라고 설명했다. 그는 “이로 인해 규모와 관계없이 기업이 필요로 하는 기술 및 정보 보안 자문을 충분히 확보하지 못하는 결과로 이어질 수 있다”라고 지적했다.
이어 배그널은 “CISO는 단순히 네트워크를 방어하는 역할에 그치지 않는다. 기업의 평판과 신뢰, 그리고 미래까지 지키는 책임을 맡고 있는 만큼, 그에 상응하는 보호가 반드시 필요하다”라고 강조했다.
dl-ciokorea@foundryco.com
Read More from This Article: 보안 책임은 큰데 보호는 부족하다···미드사이즈 기업 CISO의 현실
Source: News