??? ??? ???? ??? ??? ???? ?? ?? ??? ??? ?? CISO? ??? ???? ??. Credit: PeopleImages.com - Yuri A / Shutterstock 최고정보보안책임자(CISO)는 점점 더 복잡해지는 보안 환경에서 지속적인 성찰과 전략적 실행을 요구받고 있다. 위협 환경이 고도화됨에 따라 보안 리더십의 위상과 책임도 높아졌고, 이에 따라 CISO가 감당해야 할 부담도 커지고 있다. 단순히 조직의 보안 태세를 점검하는 데 그치지 않고, 기업 목표와 정렬된 방식으로 보안 전략을 수립해야 하며, 이 과정에서 리스크 관리에 대한 의사결정과 트레이드오프가 핵심 이슈로 떠오르고 있다. 개인적 법적 책임이 현실적인 우려로 떠오른 지금, CISO는 보안 시스템과 정책은 물론 보안 조직 문화, 비즈니스의 전반적 방향성과 상태, 그리고 조직의 지속 가능성을 보장하는 자신의 역할까지 끊임없이 점검해야 한다. 보안 분야의 다양한 전문가들은 CISO가 전략적 리더로 성장하기 위해 반드시 스스로에게 던져야 할 10가지 핵심 질문을 다음과 같이 제시했다. 1. 나는 비즈니스 추진자인가, 방해자인가? 글로벌 컨설팅 기업 프로티비티(Protiviti)의 전무이사이자 글로벌 보안·프라이버시 리더인 는 보안 부서가 종종 ‘안 된다고만 하는 부서’로 인식된다고 지적하며, CISO라면 자신과 팀이 실제로 그런 평가에 부합하는 행동을 하고 있지는 않은지 되돌아봐야 한다고 말했다. 그는 “CISO는 ‘나는 추진자로 보이는가, 아니면 방해자로 인식되는가?’라는 질문을 스스로에게 던져야 한다”라고 덧붙였다. 안사리는 “임원 동료들이 CISO를 피하거나 프로젝트가 마무리 단계에 이를 때만 참여시키는 경우, 이는 그들이 비즈니스 성공을 돕는 존재가 아니라 목표 달성을 방해하는 존재로 인식되고 있음을 의미한다”라고 설명했다. 그는 또 “기획 단계의 파트너가 아니라, 사내 잡담을 통해 프로젝트를 처음 접하게 되는 CISO 역시 방해자로 여겨지고 있을 가능성이 크다”라고 분석했다. 안사리는 이러한 상황에 처한 CISO라도 충분히 반전을 만들 수 있다고 말했다. 여기에 안사리는 “아이디어를 무조건 거부하지 말고, 상담자처럼 접근해 그들이 하고자 하는 일을 실현할 수 있도록 도와야 한다. 그리고 판단하지 말아야 한다”고 설명했다. 이어 “비즈니스 측에 리스크를 교육하고, 감수할 리스크 수준은 비즈니스가 결정하도록 해야 한다. 만약 그 수준이 조직의 리스크 허용 범위를 넘는다면 ‘이 사안은 상위 논의가 필요하다’고 말하면 된다”라고 설명했다. 2. 우리 조직의 리스크 허용 수준에 맞는 적정 보안 수준은 무엇인가? 회계 및 컨설팅 기업 BPM의 CISO 는 상담자 역할을 제대로 수행하기 위해서도 CISO는 이 질문을 스스로에게 던지고 답할 수 있어야 한다고 말했다. 그는 “내 역할은 비즈니스가 고객을 효과적으로 지원하면서도 안정적으로 운영될 수 있도록 리스크를 최소화하는 것이다. 모든 것을 봉쇄하면 비즈니스에 타격을 주고, 사용자 불만을 초래하며, 민첩성도 잃게 된다. 반대로 보안이 부족하면 침해 사고, 규제 리스크, 평판 훼손에 노출된다”고 말했다. 이어 “적절한 균형을 이루기 위해 우리는 비즈니스 운영 방식, 우선순위, 과제, 그리고 구성원에 대한 이해에 집중한다. 이를 위해 기술적 노출뿐 아니라 실제 운영에 미치는 영향을 평가하기 위해 부서 간 협업을 진행하고 있다”고 설명했다. 이를 위해 하미디의 팀은 비즈니스 리더 및 동료들과 긴밀히 협력하며 보안을 비즈니스 목표와 정렬시키는 동시에, 고객과 조직의 데이터를 충분히 보호하는 데 집중하고 있다. 그는 “보안은 단순히 기술적 보호 조치를 마련하는 것이 아니라, 신뢰를 구축하고 리스크를 비즈니스 언어로 설명하며, 보안을 방해 요소가 아닌 전략적 추진 요소로 만드는 일”이라고 말했다. 금융정보공유분석센터(FS-ISAC)의 CISO 은 “‘보안이 비즈니스를 지원하면서 동시에 고객과 클라이언트를 보호하고 있는가?’라는 질문도 스스로에게 던져야 한다”라고 말했다. 그는 “CISO는 이 두 가지 사이에서 균형을 잡아야 한다”며 “예를 들어, 최근에는 보안을 강화하고 결제 승인을 지연시키기 위해 사용자 경험에 전략적으로 마찰을 더하는 ‘스마트 마찰(smart friction)’이 늘어나고 있다”라고 설명했다. 3. 이사회에 어떤 보안 지표를 제시해야 하는가? 포레스터 리서치의 부사장이자 수석 애널리스트인 는 “CISO는 자신이 어떻게 비즈니스를 지원하고 있는지를 입증해야 하며, 이를 위해 이사회가 중요하게 여길 수 있는 방식으로 성과를 측정할 방법을 찾아야 한다”라고 말했다. 그는 시스템 패치 건수, 평균 대응 시간, 평균 복구 시간 같은 지표는 이사회가 보안을 통해 비즈니스가 진전되고 있다고 느끼게 만들지 못한다고 지적했다. 폴라드는 “이러한 지표 대신, 보안이 비즈니스 목표를 어떻게 뒷받침하고 있는지를 보여줄 수 있는 지표, 그리고 경영진과 이사회가 더 나은 의사결정을 내릴 수 있도록 돕는 지표를 찾아야 한다”라고 말했다. 4. 우리 조직에서 사이버보안은 어떤 의미를 갖는가? 보안 컨설팅 업체 S-RM의 미주 사이버보안 책임자 은 CISO가 조직 내에서 보안 기능이 어떤 위치에 놓여 있는지를 명확히 이해해야 한다고 강조한다. 그래야만 자신이 실제로 필요한 조치를 취할 수 있는 권한을 갖추고 있는지 판단할 수 있다는 설명이다. 캐런은 “CISO가 조직 내 보안 리스크에 대한 대응 책임을 지고 있지만, 정말 그런 도전에 맞설 수 있는 위치에 있는지는 다시 확인해봐야 한다. 필요한 지원과 자원이 충분히 제공되고 있는가? 변화의 중심에 설 수 있도록 경영진의 지지를 받고 있는가? 이러한 질문은 지금의 CISO라면 반드시 스스로에게 던져야 한다”라고 전했다. 그는 이어 “조직이 사이버 사고에 대비하지 못한 경우, CISO는 법적으로 책임을 질 수도 있는 상황”이라며, “따라서 그에 상응하는 권한을 갖추고 있는지가 결정적으로 중요하다”라고 밝혔다. 캐런은 “조직이 리스크 관리를 어떻게 인식하고 있는지, CISO가 의사결정 테이블에서 얼마나 목소리를 내고 있는지를 재평가해야 한다”며, “스스로에게 매우 솔직해야 할 질문”이라고 강조했다. 그는 “권한이 없는 CISO는 가장 최악의 자리에 앉아 있는 셈”이라고 단언했다. 5. 기술적 리스크를 효과적으로 설명하고 있는가? 프로티비티의 안사리는 CISO가 사이버보안 리스크를 비즈니스 관점에서 풀어낼 수 있는지 자문해야 한다고 말했다. 그는 많은 CISO가 리스크를 지나치게 기술적으로 설명하는 경향이 있으며, 예컨대 클라우드 컨테이너 보안 부재나 구성 오류에 대해 얘기하는 것이 비기술 임원들에게는 전혀 와닿지 않는다고 지적했다. “그런 설명은 귀에 들어오지도 않는다. 사이버보안에 익숙한 이사회 구성원이 늘었다고 해도 여전히 ‘그게 무슨 의미냐’는 질문이 나올 수밖에 없다”고 안사리는 말했다. 그는 CISO가 자신이 말하는 보안과 리스크 이야기가 비즈니스 측면에서 얼마나 이해되고 있는지 확인하고, 이를 위해 보안팀 내부와 외부의 신뢰할 수 있는 동료들에게 피드백을 구하라고 조언했다. 이러한 노력이 중요한 이유는, 더 잘 설명하는 CISO가 더 많은 권한과 자원을 확보하며 비즈니스 목표와의 정렬도 이뤄낼 수 있기 때문이다. 6. 내 팀은 내 결정을 자유롭게 이의 제기할 수 있는가? CISO도 완벽할 수 없다. 따라서 보안 리더는 자신의 프로그램이 부족한 부분에 대해 팀원들의 지적을 기꺼이 받아들일 수 있어야 한다. 안사리는 “CISO는 ‘내 팀이 내 결정에 반론을 제기할 수 있다고 느끼는가? 내가 이견 제시를 장려하고 있는가?’라는 질문을 스스로에게 던져야 한다”라고 말했다. 그는 팀이 자유롭게 의견을 낼 수 없는 분위기라면, 토론을 장려하고 도전적인 의견에도 긍정적으로 반응하며 다양한 관점을 수렴하는 문화를 만들어야 한다고 조언했다. 특히 “이 사안에 대해 다른 시각이 필요하다”고 솔직히 말하는 것만으로도 변화를 이끌 수 있다고 전했다. 7. 고객은 우리가 어떤 보안 조치를 취하길 원하는가? 포레스터 리서치의 폴라드는 최근 몇 년 사이 급증한 제3자 보안 평가 설문지를 통해 고객이 보안 측면에서 조직에 기대하는 바가 무엇인지 파악할 수 있다고 설명했다 이러한 질문을 통해 CISO는 고객이 진정으로 중요하게 여기는 보안 항목이 무엇인지, 조직에 어떤 보안 조치를 요구하고 있는지를 파악할 수 있다. 폴라드는 “이해만 하면, 보안을 위한 투자에 대한 타당성을 확보할 수 있다”라고 말했다. 고객이 요구하는 보안 조치에 드는 비용과 그 고객이 조직에 가져다주는 수익을 연계해, 보안 활동의 가치를 수치화할 수 있다는 것이다. 그는 또한 “CISO는 몇 명의 고객이 같은 요구를 하고 있는지, 그 고객이 가져다주는 매출은 얼마인지까지 매핑해볼 필요가 있다”라고 조언했다. 8. 우리 조직의 모든 데이터는 실제 어디에 존재하는가? 프라이버시 인프라 플랫폼 기업 트랜센드(Transcend)의 자문 CISO이자 유나이티드헬스그룹(UnitedHealth Group) 전 CISO인 은 이 질문을 꼭 해야 하는 이유를 누구보다 잘 알고 있다. “가장 고통스럽게 배운 교훈 중 하나는 데이터가 내가 인지하지 못한 곳에 있다는 사실이었다”는 그녀의 말처럼, 카드웰은 과거 인보이스 폴더나 과거 프로젝트에서 남은 서버, 데이터베이스 등에 민감 정보가 숨어 있는 사례를 직접 확인한 바 있다. 기업 인수·합병 이후 예상치 못한 위치에 데이터가 존재할 수 있다는 점도 지적했다. 여기에 AI 기술이 더해질 경우, 자신도 모르는 사이에 데이터 유출이 발생할 가능성도 배제할 수 없다. 메리빌대학교(Maryville University) 존 E. 사이먼 경영대학의 부학장 는 “CISO는 조직의 가장 중요한 데이터가 어디에 있고, 이를 어떻게 보호하고 있는지를 끊임없이 자문해야 한다”고 말했다. 그는 또한 “정보 보호의 핵심 열쇠는 어디에 있는가?”라는 질문도 함께 던질 필요가 있다고 설명했다. 글로벌 컨설팅 기업 SSA & Co.의 응용 솔루션 총괄 도 ““조직 내 비정형 데이터가 어디에 존재하는지 충분히 파악하고 있으며, 그것이 적절히 보호되고 있는지를 CISO가 반드시 점검해야 한다”라고 조언했다. 그는 이를 위해 첨부파일 이메일 전송 대신 보안된 위치에 저장된 문서 링크를 공유하고, 직원 디바이스에 저장된 파일을 해당 위치로 옮긴 뒤 암호화를 적용하는 등의 구체적인 조치를 권장했다. 9. AI는 우리 팀 구성에 어떤 영향을 미칠 것인가? 최근 몇 년간 CISO들은 AI의 안전한 활용을 지원하는 보안팀 훈련에 집중해 왔다. 이제는 보안 부서 자체에서 AI를 본격적으로 활용하기 시작하면서 인력 전략에도 변화를 꾀해야 할 시점이다. 포레스터 리서치의 폴라드는 “AI가 팀 구성에 어떤 영향을 미칠 것인지, 조직은 어떻게 달라질 것인지 고민해야 한다”라고 말했다. CISO는 팀 구성원이 AI 에이전트와 협업할 준비가 돼 있는지, 보안운영센터(SOC) 인력이 어떤 방식으로 재편될지를 고려해야 한다. 폴라드는 “AI가 저연차 직무 수요를 줄이는 대신 중급 분석가 수요는 늘릴 것”이라며, 이는 CISO가 시니어 인재를 어떻게 채용하고 육성할지를 다시 설계해야 함을 의미한다고 설명했다. 10. 나를 놀라게 할 다음 공격은 무엇인가? SSA & Co.의 크레이머는 “다음 위협은 무엇일까?”라는 질문이 지금 CISO에게 가장 시급하다고 강조했다. CISO는 그간 제로데이 취약점에 대한 경계심을 유지해왔지만, 이제는 더욱 복잡해지는 공격 면과 고도화된 해커들의 전략을 감안해, 기존 보안 계획의 허점을 단번에 파고드는 시나리오도 대비해야 한다. 카드웰은 “내가 모르는 것이 가장 두렵다. 어디에서 어떤 일이 터질지 알 수 없는 상황”이라고 말했다. 이를 해결하기 위해, 갠트 부학장은 “내 조직의 공격면은 어디인가?”, “누가, 왜 나를 노리고 있는가?”라는 질문을 던지고 그에 따라 보안 계획을 수립할 것을 제안했다. FS-ISAC의 데닝은 “방어 기술 스택이 현재의 목적에 적합하면서 미래를 대비하고 있는가?”라는 질문을 CISO가 던져야 한다고 강조했다. 데닝은 “신종 공격 도구가 등장하면서 범죄자들은 더욱 정교하게 사기, 랜섬웨어, 디도스 공격을 실행할 수 있게 됐다. 이에 맞설 기술과 인재가 제대로 준비돼 있는지를 점검해야 한다”라고 설명했다. 데닝은 또한 CISO가 양자컴퓨팅 시대에 대비해 조직의 암호화 자산을 점검해야 한다고 덧붙였다. 크레이머는 “CISO는 미래를 예측하는 데 더 많은 노력을 기울여야 한다”며, 최고기술책임자(CTO)처럼 신기술을 연구하는 전담 인력을 두는 것도 방법이라고 조언했다. 크레이머는 “대부분의 CISO는 남들이 먼저 알아내고 알려줄 때까지 기다리기 때문에, 결국 문제는 실제 공격이 발생한 뒤에야 해결된다. 하지만 이제는 실험과 탐색을 통해 선제적으로 다음 공격면을 찾는 자세가 필요하다”라고 조언했다. dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????