Offcanvas

경력관리 / 보안

풍요 속 빈곤··· 제대로 된 ‘CISO’ 일자리 찾으려면?

2021.12.29 Deb Radcliff  |  CSO
때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다. 

CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다.

왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다.

이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)  
 
ⓒGetty Images

C-레벨 지위가 빠져 있는가?
美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다.

지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 일자리를 원한다면 CEO에게 보고하는 것이 이상적이며, 가장 일반적인 경우는 CIO를 거쳐 CEO에게 보고하는 것이다. 

마이크로소프트의 前 사이버 보안 부문 CTO이자 시큐리티커브(SecurityCurve)의 공동 설립자 다이애나 켈리는 “채용 프로세스 중에 상사가 있기 때문에 이사회에 발표할 필요가 없다는 이야기를 들었다면 이는 위험 신호다. 나쁜 소식을 전할 때나 이사회를 볼 수 있다는 의미일 수 있다”라고 말했다.

카츠는 “신뢰를 확보하지 못한 상태에서 어떤 일이 터진다면 쫓겨날 수도 있다”라면서, 몇 년 전 페티야(Petya) 암호화 랜섬웨어 공격이 발생했던 당시 경영진과 신뢰 관계를 맺고 있었던 한 CISO의 사례를 예로 들었다. 그에 따르면 CIO는 일자리를 잃었지만 해당 CISO는 자리를 지켰다. 경영진 및 이사회와 신뢰를 쌓았고 처음부터 매우 투명하게 활동했기 때문이라는 설명이다.

제대로 정의되지 않은 CISO 직무 설명 
직무 설명에서도 숨겨진 의미를 찾을 수 있다. 비거스는 ‘직접(hands-on)’ 대 ‘전략적(strategic)’ 또는 ‘컴플라이언스(compliance)’ 대 ‘리더십(leadership)’ 등의 키워드에 주의하라고 권고했다. 

그는 “‘직접’은 리소스가 제한적이거나 전혀 없으며, 미화된 보안 관리자 역할을 의미할 수 있다. 반면에 ‘전략적’은 더 높은 수준의 역할을 나타낸다. 컴플라이언스에 초점을 맞춘다는 것은 규제당국을 위해 점검만 한다는 뜻일 수 있다”라고 설명했다.

아울러 직무 기술서가 작성되고 구조화된 방식으로도 회사에 관해 많은 것을 알 수 있다. 예를 들면 기업에서 15~20년의 임원급 CISO 경력과 함께 모든 자격증을 요구하는 등 비합리적인 수준의 역량을 원하고 있는가? 

켈리는 “제대로 정의되지 않은 직무 설명은 한 사람이 하기에는 너무 많은 일을 나열하거나 CISO가 하는 일에 대한 이해 부족으로 기대치가 과도하다는 것을 보여줄 수 있다. 또 지원 부족뿐만 아니라 혼란스러운 업무 환경을 나타낼 수 있다”라고 진단했다.

CISO를 채용하는 이유가 무엇인가?
새로운 CISO를 채용하는 이유는 다양하다. 이를테면 데이터 유출 사건 등으로 이전 CISO가 떠나거나 해고됐기 때문이다. 아예 CISO가 없었던 경우도 있다. 기업이 다음 단계로 발전하기 위해 전략적인 파트너로 CISO를 찾는 경우가 이상적이다.  

보안임원 조사 업체 알타 어소시에이츠(Alta Associates)의 설립자 겸 CEO 조이스 브로카글리아는 “많은 고객이 지위를 높이거나 새로운 역할을 창출하면서 알타를 이용하고 있다. CISO가 있었더라도 지금까지의 방식으론 원하는 바를 달성하지 못할 것이라는 사실을 깨닫고 있다”라면서, “일반적으로 이러한 기업들은 비즈니스 부문에서 이해할 수 있는 용어로 보안 및 위험 문제를 전달할 수 있는 C-레벨 수준의 리더를 찾는 경우가 많다. 또 위험에 관한 전체적인 접근방식, 협업적인 리더십, 사이버 보안을 비즈니스 조력자로 보는 사람을 찾길 원한다”라고 설명했다.

누구를 대체하는지 아는 것도 중요하다. CISO를 대체하는가? 아니면 CISO가 처음인가? 그렇지 않다면 현실적인 예산과 보안 부서가 있는가? 회전문이 돌아가듯 CISO를 계속 대체하고 있는 것이라면 해당 기업이 일하기 까다롭고 비합리적인 기대치를 가지고 있다는 의미일 수 있다고 켈리는 지적했다. 아니면 해당 기업이 아직 미성숙하고 CISO 역할의 특성을 이해하지 못한다는 의미일 수도 있다고 그는 덧붙였다.

한편 비거스는 다음 단계로 나아가기 위해 경영 역량을 갖춘 CISO를 찾는 것이 오히려 조심해야 할 위험 신호일 수도 있다고 언급했다. 우선 좋은 인재를 간과하고 있거나 조직 내에 승진시킬 관리자 또는 이사가 없다는 뜻이고, 이는 해당 역할에 대한 지원이 부재하다는 의미일 수 있다는 게 그의 설명이다.

보안팀에 누가 있는가?
비거스는 CISO가 CIO에게 보고한다면 CIO의 성과를 살펴보고 조직 적합성이 맞는지 그리고 CIO가 CISO를 전략적 파트너로 보고 있는지 확인하라고 조언했다. 그리고 보안팀 규모를 파악해 기업의 규모 및 미션과 비교하여 성장 여지가 있는지 검토하라고 덧붙였다. 

한편 브로카글리아는 조직 부적합성을 언급하지 않는 경우가 많지만 새로운 일자리를 찾을 때 이는 중요한 부분이라고 강조했다. 그는 “서류상으론 대부분의 직무 설명이 비슷해 보이지만 모든 기업의 문화는 다르다. 기대치가 다르고, 경영진의 요구가 다르며, 협업 수준도 다르다. 스킬은 찾기 쉽다. 조직 적합성이 어렵다”라고 전했다. 

인터뷰 프로세스는 조직 적합성(또는 부적합)을 알 수 있는 적절한 지표다. 켈리는 예를 들면 6명의 사람이 각자 6가지 방식으로 직무를 설명했던 인터뷰를 언급했다. 이렇게 되면 CISO가 모든 것을 책임진다는 구세주 콤플렉스를 가지고 있거나 HR이 체계적이지 않고 혼란스러워 보일 수 있다. 그는 “HR이 엉망인 경우 회사도 그런 경우가 많다”라고 덧붙였다. 

급여는 어떠한가?
카츠는 직업 만족도를 ‘6C(도전, 헌신, 화합, 문화, 명확성, 통근)’로 설명했다. 이 이것들이 맞춰지면 보상이 따라온다는 설명이다. 이어서 그는 진정한 임원급 C ISO의 연봉 범위가 기업 규모, 성숙도, 복잡성 그리고 포함된 옵션에 따라 최소 미화 25만 달러부터 최대 200만 달러까지 다양하다고 말했다.

켈리는 보상이 어떻게 구성돼 있는지 확인하라고 조언했다. 예를 들면 보너스와 스톡옵션은 많지만 월급이 적은가? 보너스 성과 요건이 달성 가능한 수준인가? 

또한 계약서에서 데이터 유출이 발생하거나 또는 사내 정치에서 실수하더라도 이러한 인센티브가 사라지지 않는다는 조항을 넣을 수 있는지 확인하라고 그는 덧붙였다. 켈리는 “이를테면 기업에서 데이터 유출 사건이 발생했을 때 기업이 CISO를 희생양으로 삼아 (CISO가) 일자리를 잃을 수 있다. 이는 해당 기업에서 자신의 미래를 엿볼 수 있는 잠재적인 기회다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.