Offcanvas

CIO / CSO / HR / 경력관리 / 보안 / 인문학|교양

CISO들이 지쳐 나가떨어지고 있다

2022.02.09 Mary K. Pratt  |  CSO
한 CISO가 보낸 문자 메시지는 간단했다. “나는 다시는 보안 운영 업무를 맡지 않을 겁니다.” 보안팀들이 Log4j에 대응하느라 분투했던 12월, 제프 폴라드의 스마트폰에 도착한 문자 메시지였다.

포레스터 리서치의 부사장 겸 수석 분석가 폴라드는 “그는 오랫동안 재직한 능력 있는 CISO였다. 그는 보안팀이 해야만 하는 엄청나게 힘든 작업에 관해 이야기하고 있었다. 마치 ‘나는 여기까지다’라고 말하는 것처럼 보였다”라고 말했다.
 
대부분의 임직원은 한 번쯤 ‘나는 여기까지이다’라는 느낌(I’m done feeling)을 받은 적이 있다. 연구에 따르면 많은 사람들이 팬데믹과 이로 인한 혼란 때문에 압도감과 피로감을 느끼고 있다.

CISO들도 이런 압박을 느끼고 있다. 보안 소프트웨어 기업 테시안(Tessian)의 ‘잃어버린 시간’ 보고서를 살펴본다. 미국과 영국에 있는 300명의 CISO들을 대상으로 조사한 결과를 담은 이 보고서에 따르면 CISO들이 매주 평균적으로 계약한 것보다 11시간 이상을 근무하고 있으며 10%는 주당 20~24시간을 추가적으로 근무하고 있는 것으로 나타났다. 

또한 42%는 추수감사절 또는 크리스마스 등의 공휴일에도 일했고, 40%는 일 때문에 가족 휴가를 가지 못했으며, CISO 중 59%는 업무 시간이 끝난 후 업무 생각을 떨쳐 버리기 위해 분투하고 있다고 말했다.

IT자문 및 서비스 제공기업 데프트(Deft)의 CISO 토마스 존슨은 “CISO 번아웃은 분명 문제이다. 우리는 인재 부족, 재택근무, 국내뿐만이 아니라 국제적인 위협의 증가 등이 발생하고 있는 전례 없는 시대에 살고 있기 때문에 과거보다 더 큰 문제가 되고 있다. 이 모든 것이 보안 영역이 기학급수적으로 확대되고 있다는 점과 연관되어 있다”라고 말했다.

번아웃 수준에 도달한 (CISO를 포함한) 임직원에게는 개인적인 수준에서 문제가 발생할 수 있다. CISO로서는 다른 사람의 웰빙에도 관심을 가져야할 책무가 부과되어 있다.

번아웃을 경험하는 직원은 성과를 내지 못한다. 테시안의 CISO 조쉬 야보르는 “CISO가 이런 수준의 번아웃을 경험하고 있는 경우 조직에 미치는 영향과 그들이 협력하고 있는 다른 사람들에게 미치는 영향은 무엇인지 검토해야 한다”라고 주문했다.

그는 “CISO 역할에 있는 사람들에게 미안함을 느끼라는 이야기가 아니다. 우리가 보안 프로그램을 실행하는 방식과 우리가 번아웃이 만연한 상황에서 발생하도록 허용하고 있는 상황에 대해 인지하고 있는지 여부를 제대로 살펴보아야 한다”라고 덧붙였다.
 
Image Credit : Getty Images Bank

위태로운 상황
CISO 번아웃은 조직에 다양한 방식으로 영향을 미칠 수 있다고 시스코 기업 켄나 시큐리티(Kenna Security)의 공동 설립자 겸 CTO 에드 벨리스가 말했다. 그는 CISO 출신이며 2020년에 ‘나는 6년 동안 CISO였다. 번아웃이 중요한 문제인 이유’라는 제목의 글을 작성했다.

벨리스는 “CISO들은 특별한 눈송이가 아니다. 해당 직위에 보고하는 사람들을 포함하여 많은 사람들이 번아웃을 겪고 있으며, 이것도 하나의 문제이다. 그러나 CISO는 번아웃의 영향이 다르다”라고 말했다.

테시안의 보고서에는 CISO의 부담이 과할 때 발생하는 다른 결과가 나열되어 있었다. CISO에게 충분한 시간을 할애하지 못하고 있는 대상에 대해 질문했을 때 이렇게 말했다.

•    인재 고용(36%),
•    부서 외 회의 참석(38%),
•    고객과 소통(35%),
•    새로운 산업 업데이트 및 트렌드 조사(36%),
•    스스로의 경력 개발(38%).

소프트웨어 개발자 1패스워드(1Password)의 ‘번아웃 위반’이라는 제목의 ‘2021년 액세스 실태 보고서’에서도 보안 인력의 번아웃에 대한 문제를 확인했다. 다음과 같은 사실이 확인되었다.

•    조사에 참여한 보안 전문가 중 84%는 번아웃을 느끼고 있다고 말했다.
•    보안 전문가 중 10%는 번아웃 때문에 “완전히 지쳤고 최소한의 업무만 수행하고 있다”라고 말했다.
•    번아웃이 심각한 보안 전문가 중 44%와 번아웃이 심각하지 않은 사람 중 19%는 보안 규칙과 정책이 “어려움을 극복하고 추구할 만한 가치가 없다”라고 말했다.

벨리스와 다른 사람들은 이와 관련해 환경을 강조했다. 일부 CISO는 보안 높은 스트레스 및 일상적인 문제가 발생하는 시기에도 높은 수준의 성과를 유지하고 있다. 좀 더 직설적으로 말해보자. 분명 모든 CISO가 어려운 업무에도 불구하고 번아웃 수준에 있거나 번아웃이 진행되고 있지 않다.

그러나 이러한 이들 중 다수는 다른 직위로 이동할 필요성을 인식하는 경우가 많다.

웹 기반 사이버 보안 정보 허브 CxO 인사이트(CxO InSyte)의 회장 겸 설립자이자 하만(Harman)의 CISO 출신인 모리스 스테빌라는 “CISO 직위와 관련된 스트레스의 양 때문에 전례 없이 높은 이직률이 발생하여 많은 CISO들이 기업 직위를 떠나 스트레스가 덜한 가상 CISO 및 컨설팅 역할로 이동하고 있다”라고 말했다.

번아웃에 대비하기
임원 조사 기업 H&S(Heidrick & Struggles)의 파트너이자 글로벌 사이버 보안 활동 책임자 매트 아일레오는 조직의 장기적인 유출 후 복구를 주도하거나 여러 연속적인 역할에서 전환 프로그램을 주도한 후 등의 특정 상황에서 CISO가 서서히 번아웃을 경험하게 된다고 말했다.

아일레오는 “그리고 ‘나는 다른 일을 하고 싶다’고 말하지만, 그렇다 하더라도 그것을 반아웃이라고 할 수 있는지는 모르겠다”라고 말했다.

벨리스와 다른 사람들도 이런 의견에 반대하지는 않지만 여전히 일부 보안 리더들은 비현실적인 기대치, 자원 부족, 지속적인 문제 및 휴식 부족에 직면하는 등 앞으로 전진할 수 없는 상황에 놓여 있다고 생각한다.

베테랑 CISO 레베카 윈은 조직들이 보안 리더에게 바라는 요건이 “인간적으로 가능한 수준을 넘어서며, 그 누구도 기대치를 충족할 수 없다”라고 말했다.

IT거버넌스 전문 협회 ISACA의 전문 활동 및 혁신 책임자이자 2022년 1월 게시물 ‘혼란 속에서 차분함 찾기: 워라밸 개선하기’의 작성자 조나단 브랜트는 “[CISO들은] 강물을 거슬러 수영하고 있고, 견인력을 얻지 못하고 있으며, 조직으로부터 지원을 받지 못하고 있다고 느끼고 있다”라고 말했다.

이와 동시에 조직들은 성공이 보안 덕분이라고 생각하지 않으며 CISO에게 역할에 부여된 책임성 수준이 동반되어야 하는 완전한 임원 권한을 제공하고 있지도 않는 경향을 가진다.

시작하기 전에 멈추라
번아웃을 향해 가고 있는 CISO는 실제로 다른 곳에서의 새로운 직위가 이 상황에 대한 최선의 해결책이라고 생각할 수 있다고 윈이 말했다. 현재 그녀는 클릭 솔루션 그룹(Click Solutions Group)에서 사이버 보안 전략가, 가상 CISO, 고객을 위한 프라이버시 자문가로 근무하고 있다.

물론 CISO, 팀, 궁극적으로 조직이 보안 직위에서 번아웃을 자주 유발하는 시나리오를 해결하고 더욱 지속 가능한 구조를 생성할 수도 있다. 즉, 보안 프로그램, 리더십 및 문화의 무엇이 효과가 없는지 확인하고 이를 해결하는 방법을 찾아야 한다.

야보르는 이를 위해 CISO는 임원 동료 및 이사회가 할당한 리소스에 기초하여 현실적으로 제공할 수 있는 역할과 이런 요소가 조직의 위험 프로필 및 태도와 연계될 수 있는 방식을 이해할 수 있도록 도와야 한다고 말했다.

그는 “조직의 나머지 부분과 적절한 보안 기대치를 설정하고 ‘우리가 운영하는 리소스와 제한 때문에 이런 것들을 수행할 수 없으며 성공하고 지속 가능할 수도 없다’고 말하는 것이다”라고 말했다.

조직이 리소스-위험 비율을 승인할 수 없는 경우 CISO는 이를 거부하고 자신과 팀이 제공할 수 있는 것의 한계를 논의하며 보안 직위의 그 누구도 한계까지 몰아붙이지 않고 조직적으로 수용할 수 있는 수준까지 위험을 낮추기 위해 필요한 리소스에 관해서도 논의할 수 있는 권한이 있다는 느낌을 받아야 한다.

폴라드는 CISO가 그 어느 때보다 이런 대화를 더욱 잘 진행할 수 있는 입장에 있다고 말했다. 그는 “과거 몇 년 동안 보안의 중요성과 그 중요성에 대한 인식이 높아졌다. 그 결과, 보안 리더는 많은 신뢰를 얻고 있으며 원하는 것을 더 많이 얻고 있다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.