娇色导航

최근 설문조사에 따르면, 미국의 일부 CISO는 최대 500만 달러(약 68억 원)에 이르는 보상을 받기도 하지만, 대다수는 이보다 훨씬 낮은 수준의 보수를 받고 있는 것으로 나타났다. 미국 대형 기업 CISO의 평균 총보상은 약 50만 달러(약 6억 8,000만 원) 수준이며, 여기에는 연봉뿐 아니라 주식 등 장기 인센티브도 포함된다. 그러나 이처럼 높은 보상을 받고 있음에도 불구하고, 많은 CISO들이 여전히 자신의 처우에 불만을 갖고 있는 것으로 조사됐다.

컨설팅 기업 IANS와 아티코서치(Artico Search)가 공동으로 실시한  ‘’에서 나온 것으로, 더 큰 조직으로 경력을 확장하려는 CISO를 위한 경로 설계 조언도 함께 담고 있다.

이번 조사는 2024년 4월부터 12월까지 진행됐으며, 총 860명의 CISO가 응답했다. 이 중 연 매출 10억 달러(약 1조 3,200억 원)를 넘는 미국 기업에 근무하는 406명을 중심으로 분석했다. 정부 기관이나 비영리 조직처럼 보상에 주식 등 지분을 포함할 수 없는 조직은 제외됐다. 응답자는 모두 각 기업 내 사이버보안 조직의 최고 책임자이며, 보고서에서는 이들을 포괄적으로 CISO라고 지칭했다. 이 중 90% 이상은 미국에 근무 중이었다.

CISO 보상 실태

일부 응답자는 연간 보상액이 500만 달러에 달한다고 밝혔으나, 전체 중간값은 53만 2,000달러(약 7억 원) 수준이었다.

보고서는 응답자 중 가장 높은 연봉을 받는 CISO가 수백만 달러~수천억 달러 규모의 보안 예산을 총괄하고 있으며, 200명 이상 규모의 팀을 이끈다고 설명했다. 이들의 보상에는 평균 30만 달러(약 4억 원) 상당의 연간 주식 보상이 포함돼 있으며, 상위 1%는 수백만 달러 규모의 주식도 받는 것으로 나타났다.

보고서는 “이 같은 보상 격차는 복잡한 보안 프로그램을 운영하고 기업 전반에 걸쳐 영향력을 발휘할 수 있는 상위 10% CISO의 전략적 책임, 업무 범위와 규모의 확장성, 그리고 그들의 희소한 역량을 반영한 결과”라고 분석했다.

IANS의 수석 리서치 디렉터 닉 카콜로우스키는 연봉 500만 달러 이상을 받은 CISO가 몇 명인지 구체적으로 밝히지 않았다. 그는 “해당 CISO는 시장 상위 1%에 해당하며, 샘플 규모가 작기 때문에 보상 구조를 자세히 공개할 경우 개인 식별이 가능할 수 있어 공개하지 않는다”라며 “시장에서는 연간 현금 보상 패키지가 보통 100만 달러 수준에서 정점을 찍으며, 나머지는 주식 등으로 구성된다”라고 덧붙였다.

예산에 대한 불만도 적지 않아

억대 연봉을 받더라도 대형 기업에 근무하는 CISO 모두가 그 보상에 만족하는 것은 아니었다. 매출 200억 달러(약 27조 원) 이상의 대기업에 근무하는 CISO 중 현재 보상에 만족한다고 답한 비율은 55%에 불과했다. 이는 전체 응답자 중 가장 낮은 수준이었다. 반면, 매출 50억~200억 달러(약 6조 원~27조 원) 구간의 기업에 근무하는 CISO는 63%가 만족한다고 답하며 상대적으로 높은 만족도를 보였다.

보고서는 “매출 200억 달러 규모의 기업과 매출 10억~20억 달러(약 1조 3,000억~2조 7,000억 원) 이상 규모의 기업에 소속된 CISO가 모두 평균 이하의 보상 만족도를 보였다”라며 “다만 그 이유는 각각 다르다”고 설명했다. 매출 200억 달러 이상 기업의 CISO는 같은 기업 내 다른 임원들과 보상을 비교해 자신의 역할에 비해 보상이 부족하다고 느끼는 경향이 있다고 분석했다.

반면, 매출 10억~20억 달러 규모 기업에서 일하는 CISO는 더 큰 타사 대기업에 근무하는 동료들과 비교해 자신들의 처우가 뒤처진다고 느끼는 경우가 많다고 봤다. 이 그룹은 이사회와의 소통 측면에서도 가장 높은 불만족을 보였다. 이 중 24%는 이사회와 거의 소통이 없거나 전혀 교류하지 않는다고 답했으며, 이는 전체 응답자 중 가장 높은 비율이었다.

보안 예산에 대한 만족도도 낮았다. 대기업 CISO 중 58%만이 예산에 만족한다고 응답했으며, 특히 10억~20억 달러 매출 기업의 CISO는 단 51%만이 예산에 만족한다고 밝혔다.

보고서는 “보안 예산에 대한 만족도는 전반적으로 가장 낮았다”라며 “특히 매출 10억~20억 달러 규모 기업과 매출 50억~200억 달러 규모 기업 내 CISO가 가장 낮은 만족도를 보였다. 이는 충분한 자원 없이 과도한 성과를 요구받는 데 대한 불만이 반영된 결과”라고 진단했다.

변곡점에 선 CISO

기업 내 최고정보보안책임자(CISO)가 단순한 기술 리더에서 전략 임원으로 성장하기 위해선, 복잡해지는 조직 구조와 비즈니스 요구에 맞춰 역할을 재정의할 필요가 있다는 분석이 나왔다.

응답자의 상당수는 공식적인 임원 직함을 갖고 있지 않았다. 단 3분의 1만이 부사장(VP) 또는 전무/상무(SVP), 혹은 그에 준하는 임원 직함을 갖고 있었다. 39%는 부사장(VP), 29%는 이사(director) 직함을 가지고 있었다. 보고서는 이 같은 직급을 가진 CISO는 기업의 전략 결정 과정에서 영향력과 가시성이 상대적으로 낮을 가능성이 크다고 분석했다.

응답자 대부분은 최고정보책임자(CIO)나 최고기술책임자(CTO)에게 보고한다고 답했으며, 일부는 최고규제책임자(Chief Regulatory Officer)에게 보고하는 것으로 나타났다. CEO에게 직접 보고한다고 응답한 CISO는 매출 200억 달러 이상 기업 기준으로 10%에 불과했다.

IANS의 수석 리서치 디렉터 닉 카콜로우스키는 인터뷰에서 “매출 10억~50억 달러 규모 기업에서 일하는 CISO가 가장 어려운 시기를 겪고 있다는 점이 조사 결과에서 두드러졌다”라며 “이들의 직무 만족도, 역량, 자격증, 보상 데이터를 종합해 보면, 해당 CISO가 조직에서 요구하는 역할과 실제 처한 위치 사이에 괴리가 있는 ‘과도기’에 있다는 걸 알 수 있다. 여전히 기술 업무 중심의 실무자처럼 취급되는 경우가 많아, 더 큰 책임과 전략적 역할을 수행하는 데 제약을 받고 있다”라고 분석했다.

그러나 조직이 성장함에 따라 경영 구조와 비즈니스 요구가 점점 더 복잡해지는 만큼, 중소기업 규모의 CISO는 향후 전략적 리더십을 발휘할 수 있도록 사고의 전환이 필요하다고 카콜로우스키는 조언했다. 다만 그는 모든 조직이 동일한 시점에 이런 전환을 요구하는 것은 아니라며, 일부 기업은 CISO의 역할 확대를 준비하지 못했을 수도 있다고 덧붙였다. 이 때문에 고위 경영진과의 관계 구축이 더욱 중요하다고 설명했다.

전략적 리더로 도약하기 위한 조언

카콜로우스키는 “대기업 CISO로 성장하고자 하는 사람이라면, 보안 부서가 직접 운영하지 않더라도 보안과 관련 있는 교차부서 프로젝트나 이니셔티브에 참여해 조직 내에서 자신의 역량과 기여 가치를 입증해야 한다”고 조언했다. 이렇게 준비해두면 조직이 성장해 CISO에게 경영 책임을 맡길 준비가 됐을 때, 이미 검증된 인재로 인식될 수 있다는 설명이다.

보고서는 CISO를 위한 구체적인 경력 성장 전략도 세 가지 제안하고 있다.

첫째, 디지털 리스크 및 컴플라이언스, 서드파티 리스크 관리 등 보안 외 영역까지 업무 범위를 확대할 가능성을 신중히 검토해야 한다고 조언했다. 보고서는 “업무 범위를 넓히면 핵심 리더로 자리 잡을 수 있는 기회가 될 수 있다”라며 “하지만 동시에 본연의 사이버보안 책임에서 벗어나는 위험도 있기 때문에, 책임 한계를 명확히 설정하고 필요한 자원과 지원을 확보한 상태에서 역할을 넓혀야 한다. 직무 범위가 실질적으로 확대되면 보상과 직급에서도 개선을 요구할 수 있다”고 설명했다.

둘째, 기술 관리자에서 임원으로의 전환을 준비하는 과정에서, 커뮤니케이션, 영향력 행사, 자기 PR 등 소프트 스킬을 개발하는 것이 중요하다고 언급했다.

셋째, 직함이나 단기 보상만으로 새로운 역할을 판단하지 말고, 장기적인 경력 목표와 기업 내 영향력 확대 가능성에 따라 신중히 선택할 것을 권고했다. 보고서는 “중간 단계를 밟아야 할 수도 있다. 예를 들어, 더 큰 조직에서 고도화된 보안 위협에 대응하는 2차 보안 역할로 옮기거나 산업 분야를 바꿔가며 장기적인 경력을 축적해 가는 방식도 고려해 볼 만하다”고 제안했다.
dl-ciokorea@foundryco.com