Offcanvas

CSO / 경력관리 / 리더십|조직관리 / 보안 / 소프트스킬 / 자기계발

CISO 채용이 유독 지지부진한 이유··· '그래도 될 것 같으니까'

2016.05.24 Clint Boulton   |  CIO
여러 임원 중에서도 CISO는 특히 고용하기 쉽지 않은 존재다. 비즈니스와 보안 역량을 모두 갖춘 인재가 드물기도 하지만 보안 임원에 지불해야 할 보수 등에 대해 기업들이 애매한 태도를 보이고 있기 때문이다.



기업을 노리는 사이버 공격이 지속적으로 횡행하고 있다. 여기에 랜섬웨어(Ransomeware)의 등장 및 피싱의 변종인 웨일링(Whaling) 신용 사기의 출현으로 인해 상황이 더욱 악화되고 있다. 하지만 노련한 CISO의 부족, 일관되지 못한 연봉 정책, 적절한 지표의 부재 가운데, 일부 기업들은 최고 보안 책임자를 채용하고 유지하는데 미숙한 태도를 보이고 있다.

CIO닷컴은 최근 기업들이 CISO에 바라는 것이 무엇이며 그들이 고용 및 보유에 있어서 직면하고 있는 장애물은 무엇인지에 관해 여러 임원 채용 담당자들과 대화를 나눴다.

일단 최근 발생하고 있는 CISO 고용 문제 이면에서는 시장이 너무 빨리 변화하고 있다는 현실이 있는 것으로 보인다. KPI, 비용 절감, 기타 지표로 평가 받는 CIO와는 달리 CISO의 성과를 평가할 수 있는 지표가 거의 없으며, 빠르게 변화하고 있는 시장으로 인해 지표를 개발하기도 쉽지 않다. 그 결과, 대부분의 기업들은 CISO의 적절한 연봉을 결정하는데 어려움을 겪고 있다.

H&S(Heidrick & Struggles)의 파트너 매트 아이엘로는 CISO의 연봉이 기업마다 천차만별이라며 대기업에서 CISO들이 중소기업 CISO들보다 수입이 낮은 경우도 빈번하다고 전했다. 이런 CISO 중 일부는 다른 곳에서 더 나은 보수를 받을 수 있기 때문에 회사를 떠난다.

아이엘로는 이어 디지털 변혁 트렌드가 발생하고 있는 가운데 보안 책임자가 기업의 경쟁력에 일조해야 하지만 이런 일은 거의 일어나고 있지 않다고 말했다. 그는 "아직 살피는 단계일 뿐이다. 여전히 방어에 치중하고 있다"라고 말했다.

여전히 사이버 보안에 투자가 부족
대다수 기업에서는 여전히 보안 분야에 투자가 부족한 상태라고 RRA(Russell Reynolds Associates)의 국제 사이버 보안 활동 책임자 매트 코민스가 말했다.

코민스는 "많은 기업들은 어깨를 으쓱이며 '여기에 더 큰 관심을 갖고 있으며, 우리는 과거보다 이에 관해 더욱 잘 알고 있다'고 말하고 있다. 이사회가 이에 관해 이야기하며 임원들도 이에 관해 이야기한다. 그러나 보안에 대한 변화는 더디게 진행되고 있다. 문제는 '위협 환경이 더욱 빠르게 악화되고 있다는 점이다. 점진적인 변화가 좋은 것인지 잘 모르겠다”라고 말했다.

버라이존(Verizon)의 2016 유출 보고서에 따르면 올해 피싱 이메일을 열어 본 비율이 작년의 23%에 크게 증가한 30%에 육박했다고 한다. 또한 유출 시간과 발견 시간 사이의 공백 시간 퍼센티지가 지난 해의 62%에서 올 해는 84%로 높아졌다. 하지만 대부분의 기업들은 허리띠를 졸라매고 있으며 스스로는 유출로부터 안전할 것이라 믿고 있는 실정이라고 코민스는 지적했다.

코민스는 일반적인 고용 탐색 과정에 대해 다음과 같이 설명했다. “일부 임원들은 10가지 요건을 충족하는 CISO가 필요하다고 말한다. 그들은 그러나 100만 달러가 넘는 연봉 수준에 관해 알게 되면 ‘우리는 바주카포가 아니라 활과 화살로 싸우니까 너무 강력한 사람은 필요 없다. 우리의 변화 속도에 만족하지 못하는 사람에게 실망감을 안겨 주고 싶지는 않다’라고 말하곤 한다.”

적절한 인재 찾기
기업들은 비즈니스 책임자와 위험 평가자 사이의 균형을 유지하는 CISO를 고용할 필요가 있다고 에곤 젠더(Egon Zenhder)의 국제 CIO 활동 책임자 크리스 패트릭이 말했다. 누군가 포괄적인 보안 아키텍처를 구성하고 요청 시 이사회에 명확한 설명을 제공할 수 있는 사람이 필요하다. 그리고 임원들 사이의 의사소통, 일반 상담, 홍보, 기타 사이버 사건에 대응하기 위해 필요한 것들을 조율할 수 있는 사람이 필요하다고 그는 설명했다.

에곤 젠더의 컨설턴트 칼 비티안다는 CISO가 반드시 최신 감지 분석과 기타 신규 기술 등과 익숙한 가장 기술에 능한 책임자여야 하는 것은 아니라고 말했다. 적절한 CISO의 선택에는 오히려 문화적 적합성이 중요할 수 있다는 의견이다.

패트릭은 “이로 인해 기업들이 사이버 보안 책임자를 자체적으로 육성하려는 움직임도 나타나고 있다”라고 말했다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.