‘업무 만족 하락, 4명 중 3명 이직 준비’… IANS·아티코, CISO 현황 조사 결과

IANS/아티코(Artico)가 공개한 보고서에 따르면 지난 12개월 동안 직무에 만족하는 CISO의 비율이 10% 하락했다.
 

지난 17일 IANS 리서치와 아티코 서치가 공개한 ‘2023-2024 CISO 현황 보고서’에 따르면, 새롭고 늘어나는 요구 사항에 대한 직무 불안감이 커지면서 많은 CISO가 이직을 고려하고 있는 것으로 나타났다. 응답 CISO의 75%가 이직 의향이 있다고 답했다. 이는 이전 조사 기간에 비해 8% 증가한 수치다.

이번 조사는 미국과 캐나다의 여러 산업 및 기업 유형에 종사하는 663명의 CISO를 대상으로 진행됐으며, 100명 이상의 비정규 인터뷰를 바탕으로 작성됐다. 이 기간 동안 자신의 직무와 회사에 만족한다고 답한 CISO는 10% 감소한 64%에 그쳤다.

IANS의 리서치 디렉터 닉 카콜로프스키는 “지난 몇 년 동안 만족도는 꾸준히 상승해 왔으나 지난해는 하락했다. 새로운 SEC 규정과 보안 침해에 대한 CISO의 개인적 책임이 강화되면서 압박이 매우 커졌다”라고 말했다.

지난해 7월 SEC(미국 증권거래위원회)는 상장 기업이 중대한 영향을 미치는 보안 침해 사고를 발견하면 영업일 기준 4일 이내에 이를 공개하도록 의무화한다고 발표했다. 제로 트러스트 웹 보안 기업 멘로 시큐리티(Menlo Security)의 CISO인 데빈 에르텔은 “SEC의 규정 공개로 여러 업계의 사이버 보안 리더가 동요하고 있다. 판결의 비교적 모호한 표현을 감안하면, 침해의 전체 영향이 엄격한 조사 후에 알려지기까지 몇 년은 아니더라도 몇 달이 걸릴 수 있다는 것이 상식이기 때문에 CISO는 이러한 규정이 어떻게 업무에 영향을 미치고 어떤 업무가 잠재적으로 기소될 여지가 있는지 촉각을 곤두세우고 있다”라고 설명했다.

CISO 포럼의 암울한 분위기
카콜로프스키는 CISO에 대한 압박이 커졌으나 보상은 그에 미치지 못한다고 설명했다. 그는 “기업들은 여전히 비즈니스에서 CISO의 위상을 높이고 그에 걸맞은 보상을 제공할 방법을 찾지 못하고 있다. 업무는 점점 더 어려워지는데 보상은 따르지 않고 있다”라고 말했다.

위협 정보 기반 방어표면 관리 플랫폼 기업 인터프레스의 최고 전략 책임자 패트릭 아비슨은 “현재 CISO를 둘러싼 환경은 극도로 혼란스럽고 개인이 소송에 노출될 위험도 사상 최고 수준이다. CISO는 자신이 통제할 수 없는 일로 인해 기소되거나 소송을 당할 위험에 직면해 있다”라고 진단했다.

자동화된 규정 준수 및 위험 관리 플랫폼 기업 사이버세인(Cybersain)의 설립자 겸 최고 혁신 책임자 파드라익 오라일리는 IANS의 설문조사에서 현재 역학 관계가 CISO에게 유리하지 않다는 점이 분명히 드러났다고 언급했다. 그는 “낮은 예산과 높은 책임은 좋지 못한 공식이다. 모든 참여자 간의 인센티브는 과거에도 그랬고 지금도 잘못 조정돼 있다. CISO는 법무팀이나 최고 재무 책임자와의 접촉이 너무 적고, 이사회에 간헐적으로 노출되며, 정해진 방식이 아닌 일종의 ‘경영난’에 빠져 있다. CISO 포럼에 들어가 보면 암울한 분위기가 가득하다. 보고서에 따르면 많은 사람들이 떠날 준비를 하고 있다”라고 설명했다.

디지털 리스크를 관리해야 하는 CISO
이 보고서는 또한 CISO가 C레벨의 직무임에도 불구하고 조직 내에서 그만한 인정을 받는 데 어려움을 겪는다고 지적했다. 보고서에 따르면 전체 CISO의 20%, 상장 기업 CISO의 15%만이 C레벨 임원으로 인정받고 있으며, 50%만이 분기별 이사회에 참여하는 것으로 나타났다. 카콜로프스키는 “디지털 리스크를 관리해야 한다는 CISO의 요구 사항은 증가하고 있다. 비즈니스는 이를 필요로 하고 있으며, CISO에게 그 역할을 맡을 것을 요구하고 있다. 하지만 CISO가 이 역할을 수행하려면 더 넓은 범위의 비즈니스 부서와 접촉하고 이사회 수준에서 인정받아야 한다”라고 말했다.

글로벌 데이터 보안 및 백업 소프트웨어 기업 루브릭(Rubrik)의 CISO인 마이클 메스트로비치는 “CISO는 회사 비즈니스 전략의 일부로 사이버의 역할을 명확히 설명할 수 있어야 한다. 다른 부서를 거쳐 보고해야 하는 경우 실제 메시지가 필터링되거나 축소될 수 있다”라고 덧붙였다.

CISO와 이사회는 서로의 언어로 대화하는 방법을 파악
이 보고서에서 드러난 또 다른 사항은 CISO가 이사회와 충분한 대면 시간을 갖지 못하고 있다는 점이다. 설문조사에 참여한 CISO의 85%는 이사회가 조직의 위험 허용 범위에 대해 명확한 지침을 제공해야 CISO가 행동에 옮길 수 있다고 답했지만, 36%만이 그렇게 하고 있다고 전했다. 카콜로프스키는 “일부 이사회는 이 문제를 파악하고 효과적으로 대처하고 있다. 하지만 전반적으로는 이사회 차원의 가시성이 부족하거나(CISO가 이사회에 일관되게 보고하지 않아서), CISO와 이사회가 서로의 언어를 사용하는 방법을 파악하지 못한 것으로 보인다”라고 설명했다.

가이드포인트 시큐리티의 브라이언 베터튼은 CISO이자 현재 컨설턴트로 활동 중인 경험을 바탕으로 CISO가 이사회로부터 충분한 지침을 받지 못한다고 주장했다. 그는 “리스크를 정의하는 리스크 거버넌스 프레임워크 내에서 위험을 이해하고 관리하는 성숙한 조직이 아니라면, CISO는 이러한 논의를 시작하기 위해 매우 적극적으로 나서야 할 수도 있다”라고 말했다. ciokr@idg.co.kr