Offcanvas

AI / CSO / 경력관리 / 리더십|조직관리 / 머신러닝|딥러닝

“사고 수습으론 부족”··· CISO에게 요구되는 새로운 역할 6가지

2024.06.27 Esther Shein  |  CSO
최고정보보안책임자(CISO)의 역할이 최근 변화하고 있다. 이제 CISO는 보안성을 높이는 것 외에 비즈니스 통찰력을 기반으로 신뢰 시스템을 만드는 과제도 수행해야 한다. 업계 전문가에게 CISO에게 요구되는 새로운 역할에 대해 자세히 들어보았다.
 
ⓒ Getty Images Bank

최근 몇 년간 디지털 혁신에 집중하는 기업이 많아지면서, CISO의 역할도 함께 변화하고 있다. 이미 여러 기업의 CISO(Chief Information Security Officer) 혹은 CSO(Chief Security Officer)가 비즈니스 전략과 연계된 포괄적인 사이버 보안 및 리스크 관리 전략 수립에 깊이 관여하고 있다. 또한 모든 부서에 보안성을 높이기 위해 부서 간 협업을 주도하는 중요한 역할을 수행하고 있다. 이는 과거 방화벽이나 백신 관리 같은 기본적인 보안 업무에 치중하던 때와는 확연히 다른 모습이다.

미국 컨설팅 기업 슬라롬(Slalom)의 CISO인 크리스토퍼 버거는 “2022년 챗GPT 출시 이후 더 큰 변화가 일어났다”라며 “직원이 개인용 그리고 업무용으로 생성형 AI를 폭넓게 사용하면서 CISO가 살펴야 할 리스크와 컴플라이언스 관리 업무가 늘어났다. 자연스레 보안 리더는 조직 보호에 있어 새로운 도전에 직면하고 있다”라고 말했다.

다음은 최근 특히 강조되고 있는 CISO 역할 6가지다.

1. 비즈니스와 긴밀한 통합하기
많은 전문가는 사이버 보안 리더 역할에 변화가 생기는 이유로 ‘진화하는 위협 환경’을 꼽았다. 여행 예약 플랫폼 기업 부킹홀딩스(Booking Holdings)의 CISO 패트리샤 타이터스는 “조직 내 사이버 교육이 확대되고 여러 보안 사고 관련 보고를 들으면서, 경영진도 사이버 보안이 비즈니스에 미치는 영향에 대해 더 폭넓은 시각과 인식을 갖게 됐다”라고 말했다.

타이터스는 “이런 인식 개선 덕분에 조직이 보안을 강화하게 됐다”라며 “과거 경영진은 대규모 공격이 있어야만 적극 조치를 취했지만, 현재는 어떤 상황이든 누구에게나 보안 사고가 일어날 수 있다는 점을 받아들이고 있다”라고 밝혔다.

보안 분야 학계 커뮤니티인 IANS 리서치의 올리비아 로즈 교수는 “결론적으로 CISO와 CSO가 비즈니스에 더 깊이 관여하게 됐다”라며 “이제 CISO는 일상적인 보안 관리를 넘어 전사적 전략과 연계된 접근법을 배우고 적용해야 한다”라고 밝혔다. 로즈는 또한 “보안 리더는 비즈니스 지원과 동시에 보안 실사도 수행해야 한다”고 강조했다.

타이터스도 “CISO는 이제 단순히 사고 수습하는 사람 이상의 역할을 해야 한다”라며 “CISO는 리스크 관리 체계를 넘어 더 전략적인 문제를 논의를 하고 있다”라고 설명했다.

2. 신뢰 구축의 핵심 역할 맡기
슬라롬의 버거에 따르면, CISO가 경영진과 협력하면 보안 중요성을 보다 효과적으로 전사에 알릴 수 있다. 특히 각 회사에 맞는 체계적인 정책을 만들고, 안전하고 책임 있는 AI 사용을 유도할 수 있다. 그뿐만 아니라 직원과 투명하게 소통하며 AI 도입에 대한 신뢰를 쌓을 수 있다

식품 및 반려 동물 케어 제품 업체인 마스(Mars)의 CISO 앤드류 스탠리는 “생성형 AI가 신뢰의 본질을 바꾸고 있다”라고 강조했다. 딥페이크 기술로 인해 허위 콘텐츠 판단이 어려워진 상황인 만큼 보안 리더들은 다양한 방식으로 생성형 AI에 대응해야 한다.

스탠리는 MIT CIO 심포지엄에서 “신뢰는 얻기 어렵지만 깨지기는 쉽다”라며 “경영진으로 할 수 있는 일은 신뢰 메커니즘의 효과를 입증하는 것이다. C레벨 임원이라면 충분히 할 수 있는 일이다. 방어적인 태도를 취하긴 보단 건설적인 비판과 분석을 통해 조직 발전을 도모해야 한다”라고 밝혔다.

스탠리는 조직이 보안 리더에게 ‘의심하는 자세’를 가르쳐야 한다고 주장했다. 스탠리는 “우리는 항상 더 좋고 빠른 것을 만들기 위해 기술을 사용해 왔다. 하지만 딥페이크 같은 기술이 확산되는 시대에선 이런 사고방식을 바꿔야 한다. CSO와 CISO는 많은 시스템과 구조를 ‘단순하게’ 만들어야 한다. 그래야 성공할 수 있다”라고 밝혔다.

스탠리는 많은 기업이 AI 도입에 어려움을 겪는 상황을 지적하며 “빠르게 실패하고 수정하는 것에 만족해선 안 된다. 이제 완전히 다른 패러다임을 추구해야 한다. 비즈니스 리더는 보안 리더에게 체계화를 기대하는 상황이다”라고 말했다.

스탠리는 또한 생성형 AI가 우리가 합의한 가치나 목표를 크게 저해할 수 있다고 경고했다. 또한 스탠리는 “AI 기술의 영향력을 과소평가하고 경솔하게 대처하면 여러 상황에서 통제력을 잃을 수 있다”라고 밝혔다.
 
(왼쪽부터)  IANS 리서치의 올리비아 로즈 교수, ISG의 CISO 데이비드 헐, SAP의 CSO 세바스찬 랭 ⓒ 각 기업


3. 규제 강화에 따른 부담 처리하기
미국 증권거래위원회(SEC)는 2023년 말 새로운 사이버보안 규정을 발표해 영업일 기준 4일 이내에 사이버보안 사고를 공개하도록 의무화했다. 이에 따라 많은 CISO가 보안 사고를 보고하는 임무를 맡게 되었다.

타이터스는 “새로운 규정으로 인해 이제 CISO가 더 전략적인 대화에 참여하고 경영진의 의사결정에 관여해야 한다. CISO의 책임 수준이 완전히 달라진 셈이다”라고 말했다.

리서치 기업 ISG의 CISO 데이비드 헐은 “사이버 보험 가입, 고객·벤더·공급업체를 위한 강력한 보안 태세, 대규모 사고 시 신속한 복구 능력 보장 등 비즈니스 운영 전반에 걸쳐 CISO가 맡아야 일이 많아지고 있다”라고 덧붙였다.

헐은 지난 한 해 동안 금융 및 인프라 산업에 소속된 미국 상장 기업이 신경 써야 할 글로벌 사이버 규제가 크게 늘었다고 표현했다.

헐은 “이런 규제로 인해 사이버 복원력이 CISO의 최우선 과제가 되고 있다. 자연스레 CISO는 규정 준수를 보장하고 지역 정책 및 보안 조치를 적절하게 조정하는 업무를 적극 수행해야 한다”라며 “이제 CISO는 비즈니스와 투자자, 주주에 미치는 잠재적 영향을 고려하고, 경영진 차원에서 사이버 리스크를 이해하며 이를 더 넓은 비즈니스 전략에 통합해야 한다”라고 강조했다.

SAP의 CSO 세바스찬 랭은 “규제 환경의 변화로 CSO와 CISO는 보안 사고 대비뿐 아니라 투명성과 규정 준수 강화를 위해 노력해야 한다. 더불어 조직 전체의 복원력을 높이고, 검증 가능한 거버넌스 구상하는 일을 주도해야 한다”라고 말했다.

감사 솔루션 업체 오딧보드(AuditBoard)가 진행한 설문조사에 따르면, 경영진의 75%가 사이버보안 전문가를 이사회에 두고 있다고 답했다. 최근 규제 변화 상황을 보면 놀라운 일이 아니다. 오딧보드 보고서는 침해 사고의 심각성을 판별해 주는 임원 중 32%가 ‘CISO’ 직책을 맡고 있다고 밝혔다.

4. 위상·권한·영향력 높이기
영국 독립 에너지 소매업체 OVO의 기업 보안 및 플랫폼 책임자 사이먼 골드스미스는 “CISO의 역할이 중요해지면서 사이버 보안 리더의 영향력이 커졌을 뿐만 아니라 더 빠른 의사결정이 요구되고 있다”라며 “CISO는 결국 말한 것을 이행하고 올바른 보안 접근 방식을 취하며, 과장된 경고를 하지 않고 협력자가 됨으로써 신뢰를 구축할 수 있”라고 밝혔다.

하지만 골드스미스는 “CSO는 온갖 함정에 빠질 수 있으며, 이론에 갇혀 현실 비즈니스를 반영하지 못한 결정을 내릴 수도 있다”라며 “이를 피하려면 CSO는 회복력을 확보하고 비즈니스 성과를 높이는 데 기여해야 한다. 그러기 위해서는 잠재적인 손실이나 실패의 가능성을 최소화해야 한다”라고 강조했다.

골드스미스는 “투자에 비유하자면, 위험한 투자를 감행하면 예상보다 더 좋은 결과를 얻을 가능성이 높아진다”라며 “기술 책임자는 기술이 주는 혜택과 기회를 극대화하는 데 집중한다면, 보안 책임자는 비즈니스 리더들이 잠재적 위험을 파악하고 이를 최소화하도록 도와야 한다”라고 설명했다.

골드스미스는 2023년 말 노트북/데스크톱, 기업용 소프트웨어, OVO의 전사 IT 지원을 관리하면서 이전보다 더 많은 역할을 맡게됐다. 골드스미스는 “CISO 중 일부는 비즈니스 전반을 잘 이해하고 소통도 잘한다. 최근 CIO 업무가 CISO에게 넘어오는 이유도 이런 능력 때문이라고 생각한다”라고 밝혔다.

부킹홀딩스의 타이터스도 업계 많은 CISO가 인프라 전체를 책임지는 사례를 자주 보고 있다고 전했다. 또한 보안 통제가 내부적으로 잘 작동되면, 보안과 프라이버시가 강화되고, 이를 통해 CIO나 CTO와의 협력 관계도 개선될 수 있다고 설명했다.

결제 플랫폼 기업 (Bill)의 CISO 린키 세티는 “비즈니스 전반에 걸쳐 훨씬 내 영향력이 커지고 경영진과 이사회의 주목을 더 많이 받게 되었다”라며 “이는 강력한 커뮤니케이션 능력, 다른 리더에게 리스크 문제에 대해 교육하고 올바른 조치를 취할 수 있게 유도한 덕분이다”라고 설명했다.

하지만 세티는 위상이 높아진 만큼 CSO/CISO를 위한 안전 장치도 필요하다고 주장했다. 세티는 “CISO의 보고 구조 그리고 임원으로서 CISO가 받을 수 있는 일반적 보호 조치 모두 더욱 발전해야 한다”라고 밝혔다.
 
(왼쪽부터) OVO의 보안 및 플랫폼 책임자 사이먼 골드스미스와 빌의 CISO 린키 세티 ⓒ 각 기업


5. 기술을 비즈니스 전략으로 전환하기
SAP의 랭은 “보안이 점점 더 비즈니스의 필수 요소로 인식됨에 따라 보안 임원은 이사회와 비즈니스 임원들에게 비즈니스 및 재무 관점에서 보안과 규정 준수 위험을 명확히 설명할 수 있어야 한다”라고 강조했다.

랭은 “조직의 비즈니스 전략에 효과적으로 통합할 수 있는 보안 통제 방식을 제안하고 구현하는 것 외에도, CISO는 이러한 보안 통제가 무엇인지 해석하고, 재무적 관점에서 위험과 그 해결의 우선순위를 정해야 할 필요성을 설명할 수 있어야 한다”라고 주장했다. 이를 통해 보안 예산을 효과적으로 사용하고 중요 자산을 보호할 수 있다는 것이다.

로즈는 “CISO가 보안 관점을 넘어 전사 전략에 보다 집중하면 수익 증대, 비용 절감, 성공적인 확장, 고객 만족도 향상, 프로세스 자동화, 리스크 관리 등의 논의에 관여할 수 있다”라고 설명했다.

로즈는 “CISO는 기술적 통제를 회사 차원의 전략으로 전환해 이해하기 쉽게 만들어야 한다”라며 “예를 들어 경영진과 이사회는 ‘클라우드 관련 권한’이 무엇인지 이해하기 어려울 수 있지만, CISO는 이것을 ‘ID 관련 위험을 감지, 식별, 해결하는 도구다’라고 설명할 수 있어야 한다”라고 표현했다.

로즈는 사이버 보안 통제를 회사 전략으로 전환하는 것이 중요하다고 강조하며, 이를 통해 보안 리더가 ‘현장에서’ 하는 일이 실제로 비즈니스를 지원하고 규제 및 법적 요구사항을 충족하는지 확인할 수 있다고 말했다.

로즈는 “이런 방식은 비기술 분야 임직원의 이해도를 높여 경영진의 지원과 예산 지원에 대한 동의를 얻을 수 있다는 이점을 제공한다. 다시 말해 임직원이 보안 리더의 요청을 이해하고 자신에게 미치는 비즈니스 영향과 연관 지을 수 있다면, 그 필요성에 동의할 가능성이 높아진다”라고 설명했다.

부킹홀딩스의 타이터스도 이에 동의하며, CSO가 비즈니스 경영진과의 간극을 좁히고 법률 고문, CEO 및 기타 주요 역할 담당자와 관계를 구축해 ‘기술 용어가 아닌 일반 언어로 중요 메시지를 전달’해야 한다고 강조했다. 가령 ‘위협 행위자가 누군가의 ID와 비밀번호를 장악하고 다단계 인증을 우회해 우리 시스템을 손상시켰다’는 설명을 ‘네트워크 경계가 침해됐다’라는 말로 단순화할 줄 알아야 한다는 것이다.

6. 현실에 안주하지 않기
슬라롬의 버거는 “CISO가 확장된 역할을 잘 수행하려면, 조직의 중요한 목표와 방향에 대해 고위 경영진과 잘 협력하고 조율해야 한다. 이런 과정을 통해 생성형 AI 기술을 안전하게 사용하고, 그 사용에 따른 책임을 다할 수 있다”라고 말했다.

버거는 “또한 보안 부서가 보안 운영, 지식 관리, 사고 대응을 강화하기 위해 생성형 AI를 조기에 도입하면 CISO의 입지를 탄탄하게 구축할 수 있다. 선제적 접근법은 깊이 있고 신중한 판단을 중심으로 한 리더십을 조직에게 보여줄 수 있다. 동시에 비즈니스 부서와 협력할 수 있는 기반을 만들어 안전한 AI 솔루션을 개발할 수 있다”라고 설명했다.

SAP의 랭은 “CSO/CISO가 점점 더 커지는 위상과 진화하는 역할을 유지하려면 AI와 클라우드 혁신, 고객의 신뢰 기대치 상승, 심화되는 위협 환경 등 점점 많아지는 새로운 기술 변화를 고려해 책임을 확장해야 한다”라 주장했다.

랭은 “변화의 속도에 적응하고 일관된 방어 가능한 보안 태세를 제공하려면 보안 민첩성의 기반이 되는 측정 가능하고 검증 가능한 중앙 제어 프레임워크를 채택해야 한다”라고 덧붙였다.

클라우드 SaaS 제공업체 프레시웍스(Freshworks)의 CISO 제이슨 루미스는 “이제 보안이 비즈니스 운영의 기본 요소가 됐기 때문에 CSO와 CISO는 비즈니스에서 보안을 수행하는 이유와 우선순위를 파악하고 기술을 이에 맞춰 조정해야 한다”라고 강조했다.

루미스는 또한 CISO가 잠재적으로 다른 고위 경영진 역할을 맡을 수 있을 것으로 전망했다. 루미스는 “대부분의 CISO는 책임만 있고 권한은 없지만, 그럼에도 새로운 트렌드를 따라잡는 고급 기술 전문가이면서 조직의 변화에 영향을 미쳐야 한다. 이런 모든 특성으로 인해 CISO는 다른 최고위 직책에 적합한 후보가 될 수 있다”라고 분석했다.
ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.