사이버 공격의 위협으로 인해 많은 미국 CEO가 밤잠을 설치고 있지만, CISO가 있는 기업은 절반에도 미치지 못다. 사이버 공격은 컨퍼런스 보드의 2024년 CEO 설문조사에서 지정학적 우려 사항 2위로 꼽혔다. 2021년에 실시한 내비사이트(Navisite) 설문조사(이 이슈에 대한 최신 연구)에 따르면 미국 기업의 45%만이 최고 정보 보안 책임자를 보유하고 있다.
이 수치는 많은 기업이 CISO가 없다는 것을 의미한다. 많은 기업이 CISO를 두지 않는 이유, CISO 없이 사이버 보안을 관리하는 방법, 그리고 기업에 CISO가 필요한 9가지 주요 상황을 살펴본다.
기업이 CISO를 두지 않는 이유
CISO의 유무와 기업 규모는 관련성이 크다. 규모가 작은 기업은 CISO가 필요하지 않거나 현실적으로 유치할 수 없을 수도 있다.
“하나의 비즈니스 라인만을 보유한 200명 규모의 회사라고 가정해 보라. 정말 풀타임 CISO가 필요할까? 하루 종일 무슨 일을 할까? 아마 말이 안 될 것이다. 총 인원 200명의 소형 제조사에서 일하고자 하는 CISO도 드물 것”이라고 보스턴에 본사를 두고 기업에 가상 및 시간제 CISO 서비스를 제공하는 프랙셔널 CISO(Fractional CISO)의 CEO인 롭 블랙은 말했다.
하지만 상당한 규모의 인력을 보유한 기업에서도 CISO 역할을 두지 않는 경우도 있다. 블랙은 “1,000명 규모의 회사에서도 CISO가 없는 살몌가 많으며, 어쩌면 그보다 더 큰 규모의 회사도 마찬가지”라고 말했다.
일부 조직에서는 CISO를 고용하고 유지하는 데 드는 비용이 큰 걸림돌이다. 내부에서 누군가를 새로 만든 CISO 직책으로 승진시키는 상황도 마찬가지다. 현재 미국에서 풀타임 CISO의 총 보수는 연간 평균 56만 5,000달러다.
샌프란시스코에 본사를 둔 임원 서치펌인 리비에라 파트너스의 영국 대표인 시슬라 바이쉬나비는 “더 큰 규모의 기업이라면 (CISO) 팀을 고용해야 할 것이다. 그리고 아키텍트, SOC, 엔지니어도 필요할 터다. 그러면 리소스 비용이 늘어난다”라고 말했다.
내비사이트 설문조사에 따르면 기업들은 CISO를 채용하는 데 있어 또 다른 장벽, 즉 인재 부족에 직면해 있다. 내비사이트 보고서는 “(사이버 보안 기술 부족이) 전례 없는 수준이다. 기업들은 사이버 보안 리더십을 중요하게 여기고 원하지만, 이러한 인재를 찾고 유지하기가 점점 더 어려워지고 있다”라고 진단했다. 요컨대, 전 세계적으로 인재가 부족한 가운데, 많은 기업이 비용이 많이 드는 CISO 검색에 착수하지 않고 있다.
CISO 이외의 옵션
CISO가 없는 조직에서는 누가 사이버 보안을 관리하고 있을까? 내비사이트 조사에 따르면 60%의 기업이 IT, 경영진 또는 컴플라이언스 담당자와 같은 부문을 활용해 사이버 보안을 관리하고 있는 것으로 나타났다.
대부분의 경우 CIO가 보안까지 담당한다. 사이버보안 벤처스의 2023년 보고서에 따르면 CISO가 없는 기업에서 사이버 보안을 관리할 가능성이 가장 높은 직책은 CIO였다. 이 연구에 따르면 풀타임 CIO가 있는 조직 중 약 90%가 풀타임 CISO를 고용하지 않는 것으로 추정된다.
온타리오 소재 인포-테크 리서치 그룹(Info-Tech Research Group)의 사이버 보안 및 데이터 프라이버시 자문 책임자인 카메론 스미스는 CIO가 고유의 업무와 함께 사이버 보안까지 책임지기란 까다로운 균형 잡기가 될 수 있다고 말했다. 그는 “CIO에게는 보안과 관련이 없는 목표가 많다. 때로는 이러한 목표가 서로 충돌하기도 한다. 보안은 종종 특정 생산성 목표와 상충될 수 있다”라고 말했다.
사이버 보안을 조직의 다른 사람(CIO, CTO, IT 책임자 또는 컴플라이언스 관리자)에게 위임하는 것이 CISO를 고용하는 것보다 빠르고 저렴하지만, 이러한 임시방편적인 접근 방식에 잠재적인 단점이 있다.
• CIO 또는 CTO는 CISO가 가져올 수 있는 사이버 보안 인증과 전문성을 갖추지 못할 수 있다.
• 이미 과부하가 걸린 업무에 사이버 보안을 추가하는 CIO와 CTO는 “너무 많은 일을 떠맡게 될” 위험이 있다.
• 사이버 보안은 이사회 테이블에서 별도의 영향력 있는 자리를 차지하지 못할 수도 있다.
이사회에 CISO가 없으면 위험
침해나 해킹이 발생할 때, 이사회에 직접 이를 전달할 임원이 없다면 더 위험한 상황이 펼쳐질 수 있다. “비즈니스를 보호하기 위한 결정을 내릴 때 여러 계층의 지휘를 거치고 싶지는 않을 것이다. CISO가 있으면 의사 결정 시간이 크게 단축된다”라고 바이쉬나비는 말했다.
가상 CISO(부분 CISO 또는 서비스형 CISO라고도 함)는 풀타임 CISO 없이 사이버 보안을 강화하고자 하는 기업이 선택할 수 있는 옵션 중 하나다. 블랙은 이 접근 방식이 과중한 업무에 시달리는 CIO나 CTO의 부담을 덜어주려는 기업, 그리고 상근 CISO를 둘 만큼 규모나 예산, 복잡성이 부족한 기업에게 적합할 수 있다고 설명했다. 가상 또는 부분 CISO는 대부분 다음과 같은 특성을 보인다.
• 경험이 풍부한 전직 CISO.
• 원격 근무 또는 하이브리드 근무.
• 복수의 고객을 대상으로 파트타임으로 근무.
• 임시 또는 갱신 가능한 계약 형태.
일부 사람들은 ‘가상 CISO’를 원격 근무만 하는 사람으로, ‘부분 CISO’를 현장 근무만 하는 사람으로 정의하지만, 프랙셔널 CISO는 이 두 용어를 같은 의미로 사용한다. 그의 회사가 풀타임 최고 정보 보안 책임자가 없는 기업을 지원하는 방법은 다음과 같다:
• 각 고객은 가상 CISO와 사이버 보안 분석가를 배정받는다.
• 부분 CISO는 이사회 대면 업무(사이버 보안 로드맵 작성, 고위 경영진과의 커뮤니케이션)를 수행한다.
• 분석가는 위험 평가 및 격차 평가를 수행하고, 공급업체 검토를 수행하고, 보안 정책을 정비한다.
특히 각 고객이 파트타임 CISO와 분석가를 이용할 수 있기 때문에 비용은 풀타임 CISO보다 훨씬 저렴할 수 있다. 블랙은 “고객사의 범위가 상당히 넓지만, 평균적으로 고객사의 연간 지출은 10만 달러가 조금 넘는다”라고 전했다.
이러한 옵션으로 충분하지 않다면 어떻게 해야 할까? 실제로 풀타임 CISO가 필요하다는 신호는 무엇일까?
-> 칼럼 | 주류화 예고하는 ‘보안 임원’ 서비스 · · · vCISO가 뜬다
전임 CISO가 필요한 9가지 상황
규제가 심한 산업에 종사하는 경우 : “금융 서비스, 의료, 의료, 법률 등 이러한 비즈니스에는 항상 CISO가 필요하다”라고 바이시나비는 말했다. 블랙은 CISO가 필요한 범위를 더 넓혔다. 그는 “연방 정부와 관련 있는 사업을 하고 있거나 공기업이라면 CISO 직책이 요구된다”라고 설명했다.
하지만 사이버 사고에 대한 경영진과 기업의 책임에 대한 법적 환경이 강화되면서 규제를 받지 않는 분야의 기업들도 CISO 채용을 고려하고 있다. 바이시나비는 “EU와 영국에서 GDPR이 도입되면서 사람들이 보안에 대해 전반적으로 이야기하는 방식이 바뀌거나 증가하는 것을 볼 수 있었다. 이러한 변화는 채용 트렌드에 매우 직접적인 영향을 미쳤다”라고 말했다.
상장 계획을 가진 경우 : 벤처캐피털 기업 안드레센 호로위츠는 “IPO를 준비하는 모든 기업은 사베인스-옥슬리 법에 따라 올바른 IT 제어, 위험 평가, 규정 준수 테스트, 감사 추적 및 보고 기능을 구현할 수 있는 CISO를 지정할 것”을 권장했다.
사이버 사고가 발생한 경우 : 스미스는 “사고의 근본 원인을 분석하면 전담 보안 역할이 필요한 때인지 여부를 알 수 있다”라고 말했다. 블랙은 “비용 타당성이 확인된다. 끔찍한 침해나 사고가 발생했을 때 ‘1,000만 달러의 비용이 들었다. 매년 그 비용의 일부만 (CISO에게) 지출했다면 훨씬 더 나은 결과를 얻을 수 있다’라는 결론이 도출할 수 있다”라고 말했다.
동종 업계의 보안 사고가 발생한 경우 : “어떤 회사들은 좀 더 미래 지향적이다. 동종 업계에서 문제가 발생한 동종 기업을 보고 우리도 그렇게 되고 싶지 않다고 말하는 경우도 있다”라고 블랙은 말했다.
변화하는 위협 환경을 파악하고 싶을 때 : “지금 일부 조직에서 CISO를 두는 것이 중요한 이유가 있다. 악당들이 사기, 사기, 공격으로 수십억 달러를 벌어들이고 있기 때문이다. 이러한 위험을 완화하지 않는 것은 현명하지 못한 일이다”라고 블랙은 말했다.
회사 규모의 확장 : 영국 헨리온템즈에 있는 사이버 보안 경영진 코칭 회사인 더 블루프린트(The Blueprint)의 설립자 조 헤드는 “직원 수, 사용자 수, 데이터 보유량, 매출 규모 등 기업의 크기가 CISO 고용 여부를 결정하는 데 큰 영향을 미친다”라고 말했다.
이사회가 원하는 경우 : 블랙은 “한 소규모 기업에서 이사회 구성원이 ‘안 된다. 지금 당장 (고용해야 한다)’라고 주장하는 상황을 본 적 있다”라며, 기업 규모가 작을지라도 이사회의 판단에 따라 CISO를 채용할 수 있다고 말했다.
고객과 잠재 고객이 원하는 경우 : CISO가 없으면 규제 대상 분야에서 사업을 운영하거나 파트너 또는 공급업체에 엄격한 보안 프레임워크를 기대하는 기존 고객 또는 잠재 고객과의 비즈니스에서 손해를 볼 수 있다. 때로는 특정 높은 수준의 프로젝트에 참여하려면 CISO가 필요하기도 한다.
블랙은 “대기업(고객)이 ‘귀사의 보안 프로그램이 이 규정을 준수하거나 이 작업을 수행하기에 충분하지 않다’고 말하는 경우가 있다. 기업에 좀 더 강력한 사이버 보안 프로그램이 필요한 상황이다”라고 말했다.
벤처캐피털이나 사모펀드의 요구 : “펀딩 라운드를 진행 중이고 많은 데이터를 다루거나 많은 개인 정보를 다루는 환경에 있는 경우, 보통 그 시점에 CISO가 합류한다. 보통 시리즈 A 라운드 이상이 그 시기라고 할 수 있다”라고 바이시나비는 말했다.
‘CISO’는 직함 그 이상
헤드는 벤처캐피털이나 PE 펀드의 제안에 따라 CISO를 영입하는 회사를 몇 군데 보았다고 전했다. 그는 그러나 CISO가 단순히 자금 조달을 위해 고용된 기술 관리자여서는 안 된다고 강조했다. 그는 “보안에 투자하고 사이버 보안을 진지하게 받아들일 의지가 있을 때 CISO를 고용해야 한다. 또 다른 비즈니스 리더를 고용한다는 것을 이해할 필요가 있다. CISO를 고용하면서 그 직책에 걸맞은 책임과 복잡성을 부여하지 않는다면 아직 CISO를 고용할 준비가 되지 않은 것일 수 있다”라고 말했다.
dl-ciokorea@foundryco.com
Read More from This Article: 우리 회사에 꼭 필요할까?!··· 전임 CISO가 있어야 할 9가지 상황
Source: News