Offcanvas

CSO / 리더십|조직관리 / 보안 / 비즈니스|경제

계속되는 CISO의 직무 불만족… 원인과 해결 방법은?

2024.04.25 Mary Pratt  |  CSO

좌절감, 스트레스, 책임 증가 등 CISO를 위축시키는 상황이 이어지고 있다. 하지만 전문가들은 꼭 위축될 필요는 없다고 말했다.

ⓒ Getty Images Bank

연구에 따르면 최근 보안 책임자 중 상당수(75%)는 이직에 관심이 있는 것으로 나타났다. 다시 말해 그 어느 때보다 많은 CISO가 현재 자신의 역할에 불만족하고 있다.

그 이유는 무엇일까? 연구원, 자문 위원, CISO들은 경영진의 지원 부족부터 미국 증권거래위원회(SEC)의 보안 규정처럼 높아진 책임 수준까지 다양한 이유로 불만을 토로하고 있다.

최근 발생한 여러 보안 사건에서는 침해 사고의 처리 및 보고에 대한 법적 책임이 CISO에게 있다고 판결되기도 했다. 여기에는 2016년 발생한 데이터 유출 사고를 보고하지 않았다는 이유에서 중범죄 은닉 및 위계에 의한 업무 방해죄로 집행 유예 3년을 선고받은 전 우버(Uber) CISO 조 설리반의 사례도 있다.

25년 간 사이버 보안, IT, 데이터 프라이버시 및 위험 관리 분야에서 일하며 사이버 보안 컨설팅 및 자문 서비스를 제공하고 있는 닉 셰벨료프는 "오늘날의 역할 범위가 실패할 수밖에 없는 구조로 돼 있다"라고 지적했다.

하지만 셰벨료프를 포함해 전문가들은 꼭 위축될 필요는 없다고 말했다. 임원, 이사, CISO가 직접 역할의 범위를 개선해 성공을 위한 기반을 마련한다면 이는 결국 직무 만족도 향상뿐만 아니라 더 안전한 조직을 만드는 데 도움이 될 수 있다.

리쿠르팅 기업 아티코 서치의 임원인 스티븐 마르타노는 "지금은 CISO에게 도전 시기인 동시에 기회의 시기다"라고 말했다.

불만족, 번아웃, 그리고 이것이 CISO에게 미치는 영향
IANS 리서치와 아티코 서치의 '2023-24 CISO 현황 보고서'에 따르면 CISO의 직무 만족도는 64%로 2022년 74%, 2021년 69%에서 더 하락했다. 이직할 의향이 있다는 CISO의 비율도 75%에 달했다. 보안 소프트웨어 기업 프루프포인트의 '2023년 CISO 보이스' 보고서는 미국 CISO의 73%가 그 이전 해에 번아웃을 경험한 것으로 나타났다고 지적했다.

한편 보안 소프트웨어 업체 디보 테크놀로지의 의뢰로 웨이크필드 리서치가 실시한 '사이버 보안 번아웃 설문조사'에 따르면 보안 전문가 응답자 중 83%가 보인 또는 소속 부서의 누군가가 번아웃으로 인해 보안 사고 실수를 일으킨 적이 있다고 답했다. 77%는 직장에서의 스트레스가 개인 고객 데이터를 안전하게 보호하는 업무에 직접적인 영향을 미쳤다고 응답했다. 또한 85%는 번아웃으로 인해 향후 1년 내에 역할을 바꾸거나 회사를 그만두거나 이직할 의향이 있다고 밝혔다.

전문가들은 이런 상황이 CISO의 이탈로 이어지고 있다고 말했다. 사이버 보안 벤처의 2023년 CISO 인력 보고서에 따르면 CISO의 평균 재직 기간은 18~26개월에 불과한 것으로 나타났다. 이는 일반적인 최고 경영진의 재직 기간인 4.9년에 훨씬 못 미치는 수치다.

또한 가트너는 2025년까지 사이버 보안 리더의 거의 절반이 역할을 변경하고 25%는 업무 관련 스트레스 요인으로 인해 다른 직책으로 전환할 것으로 예상했다.

CISO의 불만족 원인
조직에서 보호가 필요한 인프라와 데이터의 양이 점차 확장되면서 위협의 양과 속도가 증가하는데, 이런 수치를 보안 업무의 스트레스 특성 탓으로만 돌리기 쉽다.

가트너 부사장이자 애널리스트인 크리스 믹스터는 이것이 지나치게 단순화한 결과라고 지적했다. 일반적인 CISO는 수년간 보안 업계에서 일한 끝에 그 자리에 올랐으며, 압박감, 긴 근무 시간, 밤낮없이 일하는 환경에 익숙하다. 이들은 사명감을 갖고 임무를 수행하며, 책임감이 막중하다는 것을 잘 알고 있다.

믹스터는 오히려 CISO들이 불만족의 원인으로 조직 문제를 가장 자주 지적한다고 언급했다. 여기에는 조직 내 CISO의 위치와 관련된 문제도 있다. 많은 사람들이 아직 전략적 의사 결정 과정에 동등하게 참여하지 못하고 있고, 최고 경영진 및 이사회와의 가시성과 소통이 부족하다며 임원 회의 또는 이사회에 자리를 보장받기 위해 싸우고 있다.

이처럼 많은 CISO가 보안 조치, 위험 완화 노력, 필요한 예산을 제공하는 데 경영진의 지원과 동의를 얻지 못하고 있다. 이로 인해 CISO는 너무 많은 방향으로 끌려다니며 시간과 리소스의 투자 우선순위를 정하기 어려워하고 있다.

최고 경영진의 지원 부족이 실망감 유발
소프트웨어 제품 및 관리형 IT 서비스 제공 업체 아이스퀘어드(ISSQUARED)의 CISO인 니콜라이 체르나프스키는 "불만족의 이유는 경영진의 지원 부족"이라고 지적했다. 그는 필요한 보안 조치와 허용 가능한 위험에 대한 의견이 무시되거나, 이사회와 CEO가 이런 문제에 입장을 명확히 하지 않거나, 위험을 줄이려는 CISO의 노력을 경영진이 인정하지 않을 때, 특히 더 많은 책임과 의무에 직면하게 될 때 CISO가 불만을 토로한다고 말했다.

당연히 CISO는 조직 내에서의 이런 불만을 공개적으로 공유하기를 꺼릴 터다. 그러나 IANS 리서치 보고서는 이 문제를 명시했는데, 이에 따르면 36%의 CISO만이 이사회로부터 위험 허용 범위에 대해 명확한 지침을 받았다고 답했다.

여기에 더해 오늘날 CISO는 미국 증권거래위원회의 사이버 공시 규정과 기타 규제 및 법적 요구 사항에 대한 책임까지 떠안고 있다. 책임 증가는 많은 CISO가 조직의 임원 배상책임 보험(D&O)에 가입돼 있지 않다는 사실과도 맞물려 있다. 많은 기업에서는 직책에 '임원'이라는 단어가 있음에도 불구하고 CISO를 임원으로 간주하지 않고 있다.

책 '사이버 전쟁... 그리고 평화: 역사를 통해 오늘날의 디지털 신뢰 구축하기'의 저자 세벨료프는 이런 역학 관계가 보안 결정에 대한 책임과 그 결정을 실제로 실행할 수 있는 권한 사이의 격차를 벌리고 있다고 지적했다.

오랜 경력의 보안 리더들은 이 역학 관계, 책임과 권한 사이의 격차가 불만과 소진, 시장 이탈을 야기하고 있다고 지적했다. IANS 리서치의 수석 연구 책임자 닉 카콜로프스키는 "핵심 문제는 CISO가 조직으로부터 지원, 특히 의미 있는 지원이 부족하다고 느끼는 것이다. CISO는 마치 외딴 섬에서 일하는 것처럼 느끼지만, 문제가 발생하면 가장 먼저 희생양이 된다"라고 말했다.
 

회원 전용 콘텐츠입니다. 이 기사를 더 읽으시려면 로그인 이 필요합니다. 아직 회원이 아니신 분은 '회원가입' 을 해주십시오.

추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.