‘초대부터 오늘날까지’… CISO 직책의 30년 변화상

초창기 CISO는 대부분 기술 중심의 임원이었다. 위험 관리, 위협 완화, 규정 준수, 데이터 프라이버시 등의 전문가로 발전한 것은 그 이후였다.
 

1995년 스티브 카츠가 최초의 CISO가 됐을 때 세계에서 가장 인기 있는 브라우저는 넷스케이프 네비게이터였다. 마크 저커버그는 중학생이었으며 스마트폰은 10년 후의 일이었고, SSL 2.0은 완전히 새로운 것이었다.

카츠는 씨티은행(Citicorp)이 직전 해의 해킹으로 1,000만 달러 규모의 사기성 국제 자금 이체 피해를 겪은 혼란스러운 상황에서 이전에는 없던 CISO라는 직책을 제안받았다. 사이버 사기범들이 이체한 금액은 씨티은행의 제재로 대부분 회수됐으며, 40만 달러가 탈취되는 데 그쳤다. 카츠는 2021년 작가 토드 피츠제럴드의 CISO 스토리 팟캐스트 인터뷰에서 “무료 전화 서비스를 받을 방법을 찾던 상트페테르부르크의 러시아 아이들 2명이 범인이었다”라고 회상했다. 

공격을 당한 이후 씨티은행은 CISO 직책을 신설하고 카츠에게 그 자리를 제안했다. 카츠는 이 획기적인 직책을 수락했고, JP모건의 정보 보안 책임자 자리를 떠나 사이버 보안 역사의 한 페이지를 장식하게 됐다.

2023년 12월, 카츠가 81세 나이로 세상을 떠났을 때 정보 보안(infosec) 분야의 동료들은 그를 ‘사이버 보안의 아버지’로 추모했다. 밀워키 금융 서비스 기업 노스웨스턴 뮤추얼의 CISO 로라 디너는 그를 관대한 멘토로 기억했다. 디너는 “CISO는 힘든 일을 하고 있다. 그는 특별히 어려움을 겪는 사람이 있으면 기꺼이 전화를 걸어 상담해 줬다. 내게 개인 전화번호뿐만 아니라 아내의 번호까지 알려줬다. 평소에도 매우 긍정적인 사람이었다”라고 말했다.

디너와 다른 CISO들이 카츠의 횃불을 이어받은 지금, 그가 이 역할을 처음 시작한 이래 30년 동안 어떻게 발전해 왔는지 살펴본다.

CISO의 역량이 기술에서 소프트 스킬로 변화
카츠는 1995년 CISO 직책을 수락할 때만 해도 그 업무가 무엇인지 전혀 몰랐다. 씨티은행도 마찬가지였다. 이 당시에 대해 카츠는 “씨티은행에서 백지 수표가 있으니 뭔지 모르겠지만 멋진 것을 만들어 보라고 했다. CEO는 ‘이사회는 아무것도 모르니 그냥 가서 뭐라도 해보라’라고 권했다”라고 회상했다. 씨티은행은 카츠를 고용한 뒤 단 2가지 지시를 내렸다. ‘세계 최고의 사이버 보안 부서를 구축하라’와 ‘피해를 최소화하기 위해 유수의 국제 은행 고객들과 시간을 보내라’였다.

이후 CISO의 업무는 훨씬 더 복잡해졌다. 피츠제럴드의 2019년 저서 ‘CISO 컴패스: 선구자의 인사이트를 통한 사이버 보안 리더십 기술 탐색’에 따르면 카츠의 채용은 1995년부터 2000년까지 CISO가 비밀번호와 로그온 보안에 집중하던 첫 번째 CISO 시대에 해당하며, 이후 시대별로 변화한 역할은 타임라인에 따라 구분됐다.

- 2000~2004년: 규정 준수 CISO
- 2004~2008년: 위험 중심적 CISO
- 2008~2016년: 위협 인식형 사이버 보안 CISO(소셜/모바일/클라우드)
- 2016~2022년: 프라이버시 및 데이터 인식 CISO
- 2022~2027년+: 비즈니스 회복 탄력성을 갖춘 통합형 CISO

피츠제럴드는 CISO가 원래 기술 중심의 직책으로 여겨졌지만 이제는 비즈니스 전략에 더 중점을 두고 있다고 말했다. 그는 “오늘날에는 소프트 스킬, 비즈니스 파트너 되기, 경영진 되기에 더 초점을 맞추고 있다”라고 설명했다.

CISO 코칭 및 컨설팅 기업 야스파트너스의 CEO 야엘 나글러는 CISO의 업무가 시간이 흐르면서 말 그대로 회사 IT 네트워크의 핵심을 이해하는 것에서 사이버 보안 위기의 대처 방법을 이해하는 것으로 변화했다고 언급했다. 그는 오늘날 CISO가 조직 내에서 전략적 파트너로서 역할을 해야 한다고 덧붙였다.

나글러는 “역할이 진화하면서 실제로 키보드에서 더 멀리 떨어진 임원 회의실로 이동했다. 즉 CISO의 기술도 발전했지만 상호 작용 방식도 크게 달라졌다”라며 이러한 상호 작용에 기술, 재무, 감사, 법무, 규정 준수 등 부서와의 협업이 포함된다고 말했다. 가트너 리서치에 따르면, IT 영역을 넘어서는 다양한 협업은 현대의 CISO에게 매우 중요해졌다. 가트너는 2020년부터 2023년까지 CISO 227명의 성과를 분석하고 ‘가장 영향력 있는 CISO’가 핵심 IT 이해관계자보다 영업 책임자, 마케팅 책임자, 사업부 리더 등 비IT 이해관계자를 3배 더 많이 만난다고 결론지었다.

비즈니스 용어로 위험을 전달하는 법을 배운 CISO
이런 협업에서 오늘날의 CISO는 실무 부서가 즉시 이해할 수 있는 용어로 사이버 위협을 전달할 수 있어야 한다. 피츠제럴드는 “조직의 비즈니스 프로세스와 관련된 방식으로 위험을 명확히 표현할 수 있어야 한다. 비즈니스 운영을 할 수 없다는 뜻인가? 랜섬웨어의 공격을 받아 병원에서 환자를 치료할 수 없다는 뜻인가? CISO는 위험이 무엇을 의미하는지 번역할 수 있어야 한다”라고 말했다.

디너는 CISO의 역할이 비즈니스 연속성 계획 또는 재해 복구 테스트 구현 같은 핵심 인포섹 이니셔티브에서 분명하다면서, 디지털 트랜스포메이션이 조직의 구조 전반에 걸쳐 기술을 엮기 때문에 CISO는 사이버 보안을 전통적인 기술 사일로에서 벗어나게 해야 한다고 언급했다. 그녀는 “보안이 회사 문화의 큰 부분을 차지하도록 하고 톱다운 방식으로 보안에 대한 이야기를 듣는 것이 중요하다”라고 설명했다.

업무 과부하, 스트레스, 불안으로 가득 찬 오늘날의 CISO
사이버시큐리티 벤처의 2023년 연구에 따르면 현재 전 세계 CISO의 수는 약 32,000명으로 추정된다. 그러나 증가하는 CISO의 수만큼 집단적 불안감도 커지고 있다. 2024년 1월 캐나다와 미국의 CISO 663명을 대상으로 한 IANS/아티코의 공동 설문조사에 따르면 75%가 이직에 열려 있다고 답해 전년의 64% 대비 크게 증가했으며, 같은 기간 동안 자신의 직무와 회사에 만족하는 CISO는 74%에서 64%로 감소했다.

이 연구는 “사이버 보안 지출 감소, 사이버 침해 증가, 생성형 AI 도구의 부상, 공개 요건을 강조하는 엄격한 사이버 보안 규정 등으로 인해 CISO가 불안과 기회라는 이중고를 겪고 있다”라고 설명했다.

피츠제럴드 역시 오늘날 CISO의 불안한 심리에 대해 언급했다. 그는 이전 시대의 CISO에게 요구되던 핵심 책임 중에서 덜 중요해진 것은 하나도 없다고 지적했다. 대신 이제 CISO는 위험 관리, 새로운 위협에 대한 대응, 규정 준수, 데이터 프라이버시, 조직 문화와 운영 전반에 사이버 보안을 통합해 비즈니스 회복 탄력성을 구축하는 것 등 많은 부분을 해결해야 한다. 피츠제럴드는 “이전 단계의 업무 중 어느 것도 사라지지 않았다. 대체된 게 아니라 추가됐을 뿐이다”라고 지적했다.

새로운 고민거리로 떠오른 책임 문제
여기에 EU를 비롯한 전 세계적인 규제 환경 강화도 부담으로 작용하고 있다. 지난해 미국에서는 데이터 유출 사실을 공개하지 않은 혐의로 전 우버(Uber) CISO 조 설리반이 유죄 판결을 받았고, 같은 해 증권거래위원회는 2020년 사이버 공격과 관련해 솔라윈즈의 CISO 티모시 G. 브라운을 기소했다.

디너는 “CISO 업계에서 책임에 대한 이야기가 오고 간다. 모두 이에 대해 우려하고 있다. 규정이 존재할 나름의 이유가 있기 때문에 사람들은 규정의 변화를 매우 심각하게 받아들이고 있다”라고 말했다.

나글러는 보다 명확한 규제 파라미터가 실제로 CISO에게 ‘최고의 선물’이 될 수 있다고 말했다. 그녀는 “리더들은 이를 인지하고 있으며, 이를 통해 조직에서 보다 신중한 조치와 책임감 있는 사이버 보안 프로그램 개발을 이끌 수 있기를 바란다. 규제 파라미터는 CISO가 단순한 기술을 넘어 자신의 역할과 가치를 전략적 파트너로 발전시킬 수 있는 좋은 기회다”라고 언급했다.

이를 위해서는 최고 경영진과 더 자주, 그리고 의미 있는 대면 시간을 보내야 할 수도 있다. 하지만 IANS/아티코 연구 결과에 따르면 현황은 이렇다.

- CISO의 20%만이 조직에서 최고 경영진으로 간주된다.
- CISO의 50%만이 분기별로 이사회와 소통한다.
- 85%는 이사회로부터 위험 허용 범위의 명확한 지침을 원하지만, 36%만이 이를 얻는다.

피츠제럴드는 “많은 경우 CISO는 여전히 조직의 기술 책임자인 CIO 또는 CTO에게 보고하고 있다. CEO에게 보고해야 함에도 불구하고 여전히 그렇지 않은 상황이다”라고 지적했다.

미래를 위한 CISO의 역할 재정립
끊임없이 등장하는 사이버 위협, 하루아침에 일어나는 듯한 AI의 발전, 변화하는 입법 환경에 직면한 오늘날 CISO는 무엇을 해야 할까? 2022년 연구 노트에서 가트너의 샘 오야이는 CISO가 단순히 ‘소진’됐다고 선언하면서, 침해 방지를 담당하는 유일한 골키퍼가 아니라 공유 위험 관리의 리더로서 역할을 완전히 재구성해야 한다고 주장했다. 가트너의 사이버 보안 자문 부사장인 오야이는 “사이버 위험을 처리하는 사실상의 책임자에서 비즈니스 리더가 정보에 입각한 고품질 정보 위험을 내릴 수 있도록 역량과 지식을 보장하는 책임자로 거듭나야 한다”라고 말했다.

나글러 역시 위험 관리와 비즈니스 성장 지원이라는 미묘한 이중성 사이에서 균형을 잡는 것이 오늘날 CISO만의 책임이 아님을 인식해야 한다고 촉구했다. 오히려 “리더십 팀이 어려운 일을 헤쳐나가고, 설명하고, 예상하고, 그것이 어디로 가고 있는지 이해해 균형을 유지할 수 있도록 하는 일이 CISO의 임무”라고 나글러는 말했다. 

피츠제럴드는 현재의 CISO들에게 “기술적인 부분뿐만 아니라 올바른 일이 이뤄지고 있는지, 조직 전체의 보안에 대한 주인의식이 실현되고 있는지 확인하는” 전략과 거버넌스에 집중해야 한다고 조언했다.

마지막 이야기는 초대 CISO로 돌아간다. 2021년 스티브 카츠는 씨티은행에서 선구적인 역할을 했던 자신의 직무를 회고하면서 당시의 접근 방식을 서로 유사한 용어로 설명했다. 그는 “IT는 문제의 가장 작은 부분이었다. 첫날부터 기본 철학은 정보 보안이 비즈니스 위험 문제이자 비즈니스 위험 ‘관리’ 문제라는 것이었다”라고 말했다. ciokr@idg.co.kr