‘보안과 ESG 전략을 정렬하기’··· 앞선 CISO의 새로운 과제

ESG(environmental, social, and governance)에 대한 관심이 전방위로 고조되고 있다. CISO 또한 이제 보안 및 위험 전략을 수립함에 있어 ESG를 감안해야 한다. 
 

KPMG의 사이버 서비스 수석 매튜 밀러는 작년에 고객사의 CISO로부터 낯선 요청을 받았다. 그 CISO는 ESG에 대한 자신의 관점을 묻는 한편, 이사회로부터의 ESG 질문에 응답하는 방법에 대한 조언을 원했다. 

CISO가 이러한 질문을 제기한 사례는 처음이었다고 밀러가 말했다. 밀러는 “초기 단계이기는 하지만 이러한 대화가 출현하기 시작했고 없어지지 않을 것이다”라고 말했다.

ESG는 환경, 사회, 정부 문제에 대한 회사의 정책 및 조치를 의미한다. ESG에 대한 관심이 투자자들의 전유물인 적인 있었다. 그들은 회사의 비즈니스를 탐색해 이것들이 잠재적인 미래의 수익을 지원하거나 저해할 수 있는지 판단했다.

하지만 시간이 지남에 따라 ESG에 대한 관심이 확대되었다. 일부 기업들도 비즈니스 파트너와 공급자뿐만이 아니라 인수 대상 등의 다른 기업을 ESG 지표에 기초하여 평가하고 있다. 그리고 이제는 일반 대중 및 직원들도 이를 확ㅇ인하고 있다. 소비자들은 점차 소비 결정을 내릴 때 조직의 ESG 정책을 살펴보고 있으며, 직원들은 회사를 고를 때 이를 고려한다.

수치로 드러나는 동향
통계에 따르면 다양한 이해관계자들의 관심이 높음이 드러난다. 전문 서비스 기업 PwC의 ‘2021년 글로벌 투자자 ESG 설문조사’에 따르면 조사한 투자자 중 79%가 회사가 ESG 위험과 기회를 관리하는 방법을 투자 의사결정의 중요한 요소로 보았다.

한편, PwC의 ‘2021년 ESG에 대한 소비자 정보 시리즈 설문조사’에서는 소비자 중 83%가 기업들이 ESG 모범 사례를 능동적으로 형성해야 한다고 말했으며 직원 중 86%는 자신과 같은 문제에 관심을 갖는 기업에서 근무하는 것을 선호하고 있었다.

이 모든 것들은 CISO에게 영향을 미친다. ESG에 대한 관심이 증가하면서 CISO의 역할이 더욱 확대될 가능성이 높다. 보안 및 위험 전략을 형성하여 조직의 거버넌스 목표와 일치시켜야 할 것이다. 그리고 조직이 필요 시 다른 기업의 ESG 태도에 대한 거버넌스를 평가하도록 도와야 할 것이다.

서던 메소디스트 대학교(Southern Methodist University)의 콕스경영대학원(Cox School of Business) 임원 교육 및 대학원 프로그램 부학장이자 금융학부 교수 쉐인 굿윈은 “거버넌스와 사이버 보안은 이사회에서 중요한 주제이다”라고 말했다.

CISO 역할의 확대
CISO 역할에 ESG 책임이 추가된 것은 그 직위 자체의 지속적인 발전의 일환이라고 굿윈, 임원 자문가, 기업 보안 전문가들이 말했다.

이사회와 임원들은 기업 위험 전략 대화에 보안 책임자들을 더 많이 참여시키고 있으며, 이는 전략적 지원자로서의 사이버 보안으로 전환하는 것과 관계가 있다.

오라클(Oracle Corp.)의 부사장 겸 고객 서비스 CISO이자 거버넌스 협회 ISACA의 이사회 구성원 브레넌 P. 베이벡은 “이것은 CISO의 또 다른 역할이다”라고 말했다. 베이벡은 자신 또한 인수 대상 기업들의 거버넌스 프로그램을 평가한 바 있다고 밝혔다.

이런 책임은 오늘날 사이버 보안의 중요성, CISO의 중요성, 보안, 데이터 프라이버시, 규제 준수, 기타 관련된 문제에 관심을 갖는 이해관계자의 수 증가를 반영한다.

RRA(Russell Reynolds Associates)의 CISO 리더 아메드 자밀은 “거버넌스와 ESG에 관한 대화가 CISO를 통해 이뤄지고 있다. 왜냐하면 그 누구도 중대한 위반 또는 사고가 발생할 기업에 투자하고 싶지 않기 때문이다. 그리고 준비가 되지 않은 [기업] 파트너를 원하는 사람은 없다. 그리고 현재 이루어지고 있는 대화 중 일부가 ESG의 지원 하에 있지는 않지만 CISO에게 같은 질문을 묻고 있다”라고 말했다.

자밀은 ESG에서 CISO의 주된 역할이 임원과 이사회에 회사의 자체적인 사이버 보안 태도, 개선 전략, 회복 역량뿐 아니라 이 모든 것들이 관리되는 방식과 기업 거버넌스에 포함된 다른 규칙, 정책, 컨트롤과 어떻게 일치하는지 명확하게 설명하는 것이라고 진단했다.

밀러는 “CISO들은 자신, 고객, 파트너를 위해 사이버 사고뿐 아니라 명성 위험을 관리하기 위해 성숙한 절차를 마련했다는 것을 보여주어야 한다. 새로운 것은 아니지만 ESG에 대한 관심과 함께 세상의 주목을 받고 있다”라고 말했다.

그는 이어 “CISO들은 과거 20년 동안 위험을 파악하고, 위험에 대해 보고하며, 투명성을 구성하고 이사회와 위험에 관해 대화하는 역량을 구축했다. ESG는 위험에 관한 투명성에 대해 생각하는 소비자 및 투자자에게 중요하다. 여기에 CISO가 신뢰를 기반으로 대화를 시작할 수 있는 기회가 있다”라고 덧붙였다.

고객 신뢰 구축
밀러는 가상의 예를 제시했다. 가령 소매기업의 CISO는 보안 시스템이 위조 신용카드에 대응할 수 있는 방법을 구현한 후 강조하면서 불필요한 거래 거부를 없애고 고객과 신뢰를 쌓을 수 있는 위치에 있다.

CISO는 POS(Point Of Sale)에서 고객의 카드가 위조되었을 가능성이 있다고 표시되는 경우 신용카드 소유자에게 문자 메시지를 전송하고 매출을 확인하도록 요청하는 시스템을 제공할 수 있다.

소유자가 실제로 고객인 경우 고객은 매출 거부 문제를 피하고 원하는 것을 얻으며 매장에서 보호받고 있다는 느낌을 받게 된다. 카드의 소유자가 고객이 아닌 경우 소유자는 해당 매장이 자신을 보호하고 있다고 생각할 것이다.

이 예는 사기 감지, 데이터 프라이버시, 비즈니스 지원, 고객 소통, 신뢰 등 거버넌스에 포함되는 다양한 측면에서 CISO가 어떻게 활동해야 하는지를 보여준다. CISO는 기술적 역량을 제공할 뿐 아니라 부족 위험과 모든 것들이 이해관계자의 기대치를 충족하는 방식을 파악하고 명확히 밝혀야 한다.

하지만 많은 CISO들이 아직 그렇지 못하다. 조직의 ESG 요건에 포함된 CISO들은 보안 활동이 성숙한 사람들이라고 밀러와 다른 전문가들이 말했다.

이러한 CISO들은 이미 이사회에 정보를 제시하고 보안 활동이 거버넌스에 어떻게 적합한지 설명하여 이사회 구성원들이 투자자 및 관심이 있는 다른 이해관계자들과 인사이트를 공유할 수 있다.

쉐인은 “적절한 거버넌스를 갖춘 기업들은 CEO 또는 CIO가 필터로 작용하지 않고 CISO가 이사회에 직접 접근하게 할 것이다”라고 밝혔다.

새로운 표준의 형성
많은 사람들이 앞으로 ESG 요건이 증가하고 CISO가 이 영역에서 책임이 확대될 것이라고 생각한다.

밀러는 “결국 규칙과 규정으로 인해 CISO와 사이버 및 위험 담당자들은 사이버와 관련하여 ESG를 실질적으로 이해하는 지속 가능한 방법을 확보해야 할 것이다”라고 덧붙였다.

2021년 보고서 ‘사이버 보안: 이것 없이는 ESG에 관해 보고하지 말라’에서 KPMG는 ESG 보고의 필수 사항이 ‘산업 전반에 걸쳐 강화되고 있으며’ 기업의 사람들의 데이터를 관리, 사용, 보호하는 방식에 대한 투명성과 신뢰에 대한 요구가 증가하고 있다고 밝혔다.

또한 KPMG는 보고서에서 기업 사이버, 준법감시, 위험 정책도 ESG의 사회 및 환경 측면과 상호작용하며, 이로 인해 CISO가 ESG 활동에 참여할 필요성이 커지고 있다고 밝혔다.

실제로 굿윈은 이런 ESG 과업이 기업 및 CISO에게 있어서 빈도와 중요성이 증가할 것으로 예상하고 있다. 굿윈은 “이것은 단편적인 사건이 아니다. 이것은 패러다임의 변화이다”라고 말했다. 그는 NACD(National Association of Corporate Directors)의 이사회 구성원이자 비영리 초당파 조사기관 TCGE(The Center for Global Enterprise)의 ACGI(Applied Corporate Governance Institute) 책임자이기도 하다.

하지만 이런 변화는 아직 초기 단계인 것이 사실이다. 소수의 CISO만이 ESG 과업과 관련하여 이사회 및 다른 임원들과 협력하고 있다. 이들이 새로운 패러다임을 만들어가고 있다. 

베이벡은 “그들이 별종이라고 생각하지 않는다. 그들이 최전방에 서 있다. 더욱 진보적인 CISO가 위험 확인 및 기업 위험 관리 프로그램에 능동적으로 참여하고 있다. 그들이 앞으로의 모습을 정의하도록 도울 것이다. 이러한 CISO들이 새로운 표준을 정의해가고 있다”라고 말했다. ciokr@idg.co.kr