블로그 | 2024년, CISO에게는 더욱 어려워질 ‘균형 잡기’

조사에 따르면 CISO는 대부분 업무에 만족하고 있지만, 그 스트레스는 점점 더 커지고 있다. 기업 경영진과 이사회는 이 문제를 해결하기 위해 조치를 취할 필요가 있다.
 

필자는 지난해 말, 2024년이 'CISO의 해가 될 것'이라고 의견을 밝힌 바 있다. 이는 CISO를 축하하는 의미가 아니었다. 오히려 법적 문제, 규정 준수 요구 사항, 이사회 차원의 조사, 지속적인 업무 스트레스 인해 2024년이 CISO에게 힘든 한 해가 될 것이라는 의견이었다. 일부 CISO는 ‘더 이상 참을 수 없다’라고 선언한 뒤 보다 평화로운 커리어 경로를 모색하게 될 수도 있다. 

당시 쓴 글에 대한 피드백을 많이 받았는데, 대부분 이러한 관점에 동의하는 CISO들이었다. 어떤 이들은 왜 이런 결론에 도달했는지 더 많은 데이터를 요청하기도 했다. 필자는 CISO 동료들과 일대일로 나눈 일화적인 대화를 바탕으로 글을 작성했지만, ESG와 ISSA(Information Systems Security Association)에서 실시한 ‘사이버 보안 전문가의 삶과 시대 v6’ 조사 결과 데이터도 일부 검토했다.

해당 조사에 따르면 사이버 보안 전문가의 63%는 2년 전보다 오늘날 업무가 더 어려워졌다고 생각하고 있다. CISO도 마찬가지로 62%가 이 의견에 동의했지만, 사이버 보안 전문가로서 일하는 것이 2년 전보다 훨씬 더 어려워졌다고 답한 응답자 중 CISO는 약 3분의 1(32%)이었고 비CISO는 26%에 그쳐 약간의 차이는 있었다. 

CISO를 더 어렵게 만드는 요인은 무엇일까? ESG/ISSA 데이터에 따르면 이사회와의 협력, 규정 준수 감독, 예산 관리 같은 사이버 보안 프로그램 운영의 비즈니스 측면이 주요 원인인 것으로 나타났다. 이는 지난 몇 년 동안 CISO의 역할이 기술 감독자에서 비즈니스 임원으로 진화한 것을 고려하면 당연한 결과다. 동시에 조직은 자동화, 최적화, 고객 서비스, 디지털 트랜스포메이션 등 IT 의존도가 높아졌다. 

종합적으로 볼 때 사이버 위험 관리, 위협 탐지, 사고 대응 등 핵심 업무를 수행하기는 점점 더 어려워지는 반면 비즈니스 전략 및 지원 업무에서 CISO의 역할은 더 커지고 있다. ‘미션 임파서블’까진 아니지만 그 방향으로 흘러가고 있는 셈이다.

업무에 만족하는 경향을 보이는 CISO들
업무는 어려워지고 범위는 늘고 있지만, 대부분의 CISO(82%)가 현재 업무에 만족하고 있는 것으로 나타났다. 이는 CISO가 아닌 응답자(79%)보다 약간 더 높은 수치다. CISO는 다른 보안 전문가보다 고위직에 속하는 경우가 많기 때문에 스트레스, 경력, 직무 기대치를 관리하는 데 있어 비CISO보다 더 능숙하게 대처하는 방법을 배웠을 수 있다.

또한 CISO의 업무 만족 기준은 다른 사이버 보안 전문가들과 차이가 있었다. 이를테면 CISO는 사이버 보안에 대한 비즈니스 경영진의 노력, 비즈니스 부서와 긴밀히 협력하고 높은 연봉을 받을 수 있는 능력에 만족감을 느꼈다. 이와 반대로 비CISO는 조직이 경력 발전의 기회를 제공할 때 업무 만족도가 높아졌다.

이러한 조사 결과는 다시 한번 CISO 역할의 비즈니스 측면을 강조한다. CISO는 비즈니스를 지원하고 보호하는 능력과 강력한 사이버 보안을 위한 비즈니스의 노력에 따라 자신의 성과를 측정한다. 이 2가지 중 어느 하나라도 충족되지 않는다면 CISO는 주저앉거나 떠나게 될 것이다.

CISO의 업무 스트레스
데이터에 따르면 CISO 직책이 건강하지 않은 업무 스트레스를 받는 경우도 많았다. 실제로 CISO의 62%가 업무의 절반 이상에서 스트레스를 받는다고 답했다. CISO가 아닌 이들도 스트레스를 받는다고 답했지만, 업무의 절반 이상에서 스트레스를 받는다고 답한 비율은 51%에 불과했다. 이는 CISO 직책이 받는 뚜렷한 압박감을 더욱 잘 보여준다.

CISO가 아닌 동료들과 마찬가지로 CISO는 특히 과도한 업무량, 무관심한 비즈니스 관리자와의 협업, 새로운 비즈니스 이니셔티브의 보안 요구 사항을 따라잡는 작업 등으로 인해 스트레스를 받았다. 또한 조직과 거래하는 제3자(공급업체, 비즈니스 파트너, 고객)의 보안 상태를 모니터링하는 일로 스트레스를 받는다고 답한 비율이 26%로 비CISO의 12%보다 높았다는 점도 주목할 만하다.

제3자와의 관계는 종종 비즈니스 프로세스(공급업체, 계약업체, 아웃소싱 파트너 등)와 연관돼 있기 때문에 비즈니스 부서와 밀접하게 얽혀 있다. 안타깝게도 보안 팀은 이러한 기업의 일상적인 보안 성과에 대해 심층적인 가시성을 확보하지 못할 가능성이 높다. 이러한 비즈니스 중요도와 감독 부족이 혼합돼 CISO를 불안하게 만드는 요인으로 작용한다고 볼 수 있다.

압도적인 업무량, 업무 스트레스, 책임 확대가 피할 수 없는 결과로 이어지기도 했다. CISO의 36%는 1년 이내에 현재 직장을 떠날 가능성이 매우 높거나 높다고 답했다. 이는 비CISO(26%)보다 10%가량 높은 수치였다. 물론 다른 직장을 구하는 CISO도 있겠지만, 거의 절반(46%)이 사이버 보안 분야를 완전히 떠날 것까지 고려하고 있다고 답했다. 반면 비CISO의 같은 응답 비율은 28%에 불과했다. CISO가 사이버 보안 분야를 떠나는 이유는 무엇일까? 이전 글에서 언급했듯 65%는 사이버 보안 업무의 높은 스트레스 때문에 이직을 고려했다고 답했고, 43%는 조직에서 사이버 보안을 중요하게 생각하지 않아 좌절감을 느꼈다고 답했다. 39%는 정년이 가까워서 은퇴 후 사이버 보안 분야를 떠날 것이라고 언급했다.

CEO와 이사회는 이 점에 주목해야 한다. CISO의 이탈은 매우 큰 혼란을 야기할 수 있으며, 새로운 후보자를 찾기 위한 경쟁과 장기간의 공석으로 이어질 수 있다. 새 CISO가 채용되면 보안 상태를 평가하고 새로운 보안 프로그램을 개발해야 한다. 오늘날과 같은 불확실성의 시기에는 사이버 리스크가 확대되는 경향이 있으며, 방향을 잃은 사이버 보안 팀은 조직으로부터 권리를 박탈당하고 환멸을 느낄 수도 있다.

점점 더 어려워지는 CISO의 균형 잡기
ESG/ISSA의 조사에 따르면 CISO가 비즈니스 운영, 규정 준수, 조직의 안전 유지 사이에서 줄타기하면서 균형을 잡는 일이 점점 더 어려워지는 것으로 나타났다. 직업적, 정서적 어려움은 있지만 대부분의 CISO는 자신의 경력에 만족하고 있으며, 이는 사이버 보안 사명에 대한 확고한 의지를 나타내는 지표다.

연구 결과에서 나타나듯 CISO의 헌신은 뚜렷하지만, 경영진과 이사회는 이러한 헌신을 당연시해서는 안 된다. 이 연구는 CISO 직책이 상당한 스트레스를 유발하며, 이로 인해 많은 보안 임원이 이직하거나 직업을 그만둘 수 있다고 지적했다. 많은 CISO가 비즈니스에 더 가까이 다가가기 위해 노력하지만, 여전히 경영진과 이사회로부터 질책을 받거나 미미한 지원을 받고 있다. 설문조사에 참여한 CISO의 절반 이상이 20년 이상 사이버 보안 전문가로 일해 왔으며 은퇴가 가까워지고 있다는 점도 다시 한번 강조할 필요가 있다. 

경영진과 이사회 구성원은 성과 지표만을 고려하는 태도에서 벗어나 관계, 보고 구조, 리소스, 업무량, CISO의 정신 건강 등을 평가해 CISO 직책에 대한 인식을 재평가해야 한다. ESG/ISSA의 연구 결과를 고려할 때 앞으로 새로운 CISO는 희귀하고 값비싼 인력이 될 가능성이 높다. 따라서 2~3년마다 새 CISO를 영입하기보다 현재 CISO의 효율성을 최적화하는 것이 더 나은 선택일 것이다.

* Jon Oltsik은 ESG의 사이버 보안 서비스 창립자 겸 분석가다. 그는 기술 업계에서 35년 이상의 경력을 쌓았으며, 사이버 위험 관리, 보안 운영 및 CISO와 관련된 모든 분야에 중점을 두고 있다. ciokr@idg.co.kr