"CISO 없이 사이버보안 가능해?" 기업에 CISO가 필요한 9가지 신호

사이버 공격의 위협으로 인해 많은 CEO가 밤잠을 설치고 있지만, 회사 침대 밑에 디지털 괴물이 있는지 확인할 CISO가 있는 기업은 절반에도 미치지 못한다.

사이버 공격은 컨퍼런스 보드의 2024년 CEO 설문조사에서 지정학적 우려 사항 2위로 꼽혔다. 그러나 가장 최근의 연구인 2021년 네비사이트(Navisite) 설문조사에 따르면 최고 정보 보안 책임자를 보유한 미국 기업은 전체의 45%에 불과했다.

ⓒ Getty Images Bank

이 수치는 많은 기업이 CISO가 없다는 것을 의미한다. 왜 그렇게 많은 기업이 CISO를 두지 않는지, CISO 없이 사이버보안을 어떻게 관리하고 있는지, 그리고 기업에 CISO가 꼭 필요한 이유는 무엇인지를 살펴 보자.

CISO를 두지 않는 기업의 이유

CISO를 고용할 때는 규모가 중요하다. 규모가 작은 기업은 CISO가 필요하지 않거나 현실적으로 유치할 수 없을 수도 있다.

기업에 가상 및 시간제 CISO 서비스를 제공하는 프랙셔널 CISO(Fractional CISO)의 CEO 롭 블랙은 “복잡하지 않은 비즈니스 라인이 하나 있는 200명 규모의 회사라고 가정해 보자. 정말 CISO가 필요할까? CISO는 하루 종일 무슨 일을 할까? 아마 말이 안 될 것이다"라고 말했다. 또한 “CISO도 마찬가지다. 200명의 직원이 있는 위젯 제조업체에서 일하고 싶어 하는 CISO가 있을까? CISO는 흥미로운 일을 원한다"라고 덧붙였다.

즉, 상당한 규모의 인력을 보유한 기업에서도 CISO 자리를 포기하는 경우가 있다. 블랙은 “1,000명 규모의 회사에서도 CISO가 없는 경우가 많으며, 그보다 더 큰 규모의 회사도 그렇다”라고 말했다.

일부 기업에서는 CISO를 고용하고 유지하는 데 드는 비용이 큰 걸림돌이다. 내부에서 누군가를 새로 만든 CISO 직책으로 승진시키는 것조차 비용이 많이 든다. 현재 미국에서 풀타임 CISO의 총 보수는 연간 평균 56만 5,000달러다. 직책을 채우는 데 드는 다른 비용은 포함하지 않았다.

임원 서치펌인 리비에라 파트너(Riviera Partners)의 영국 대표 시슬라 바이시나비는 “더 큰 규모의 기업이라면 (CISO)팀을 고용해야 할 것이다. 아키텍트, SOC, 엔지니어도 필요하다. 그러면 리소스 비용이 늘어난다"라고 말했다.

네비사이트 조사에 따르면 기업은 CISO를 채용하는 데 있어 또 다른 장벽, 즉 끝없는 인재 격차에 직면해 있다. 연구에 따르면 (사이버보안)기술 부족은 ... 최고 수준까지 확대되었다. 기업은 사이버보안 리더십을 중시하고 원하지만, 인재를 찾고 유지하기가 점점 더 어려워지고 있다. 요컨대 전 세계적으로 사이버보안 인재가 부족한 것도 기업이 비용이 많이 드는 CISO 구하기라는 고생길에 오르지 않는 한 이유다.

CISO가 아닌 사이버 옵션

CISO가 없는 기업에서는 누가 사이버보안을 관리하고 있을까? 네비사이트의 설문조사에 따르면 60%의 기업이 IT, 경영진 또는 규정 준수 담당자 같은 다른 부서에 의존해 사이버보안을 관리하고 있는 것으로 나타났다.

아마 대부분의 경우 CIO일 것이다. 사이버보안 벤처스의 2023년 보고서에 따르면 CISO가 없는 기업에서 사이버보안을 관리할 가능성이 가장 높은 직책은 CIO라고 한다. 이 연구에 따르면 풀타임 CIO가 있는 기업 중 약 90%가 풀타임 CISO를 고용하지 않는 것으로 추정된다.

미국 전략 자문 업체 인포-테크 리서치 그룹(Info-Tech Research Group)의 사이버보안 및 데이터 프라이버시 자문 책임자 카메론 스미스는 일부 CIO에게 원래 업무에 더해 사이버보안까지 담당하는 것은 까다로운 균형 잡기라고 말했다.

스미스는 “CIO는 보안과 관련이 없는 많은 목적이나 목표를 가지고 있으며, 때로는 이러한 목표가 서로 충돌하기도 한다. 보안은 종종 특정 생산성 목표와 상충될 수 있다. 하지만 이 두 가지(역할) 모두 기업의 성공을 목표로 해야 한다"라고 설명했다.

사이버보안을 기업의 다른 사람(CIO, CTO, IT 디렉터, 규정 준수 관리자)에게 위임하는 것이 CISO를 고용하는 것보다 빠르고 저렴하지만, 바이시나비는 이러한 임시방편적인 접근 방식에 잠재적인 단점이 있다고 경고한다.

• CIO나 CTO는 CISO가 가져올 수 있는 사이버보안 인증과 전문성을 갖추지 못할 수 있다.
• 이미 과부하가 걸린 업무에 사이버보안을 추가하는 CIO와 CTO는 “너무 많은 일을 떠맡게 될” 위험이 있다.
• 사이버보안은 이사회 테이블에서 별도의 영향력 있는 자리를 차지하지 못할 수도 있다.

이사회 테이블에 CISO가 없으면 위험

침해나 해킹이 발생할 때 이사회에 직접 접근하지 못하면 큰 재앙으로 번질 수 있다.

바이시나비는 “비즈니스를 보호하기 위한 결정을 내릴 때 실제로 승인 또는 불승인을 내릴 수 있는 사람에게 가는 것이 낫지, 여러 계층의 지휘를 거치고 싶지는 않을 것이다. 의사 결정 시간도 (CISO가 있으면) 크게 단축된다"라고 말했다.

가상 CISO (부분 CISO 또는 서비스형 CISO라고도 함)는 풀타임 CISO 없이 사이버보안을 강화하고자 하는 기업의 선택지다. 블랙은 이 접근 방식이 과중한 업무에 시달리는 CIO나 CTO의 부담을 덜어주려는 기업, 그리고 상근 CISO를 둘 만큼 규모나 예산, 복잡성이 부족한 기업에게 적합할 수 있다고 말했다. 대부분의 가상 또는 부분 CISO는 다음과 같다.

• 경험이 풍부한 전직 CISO이다.
• 원격 또는 하이브리드 근무.
• 다양한 고객을 위해 동시에 파트타임으로 일한다.
• 임시 또는 갱신 가능한 계약으로 일한다.

일부에서는 '가상 CISO'를 원격 근무만 하는 사람으로, '부분 CISO'를 현장 근무만 하는 사람으로 정의하지만, 프랙셔널 CISO에서는는 이 두 용어를 같은 의미로 사용한다. 프랙셔널 CISO가 풀타임 최고 정보 보안 책임자가 없는 기업을 지원하는 방법은 다음과 같다.

• 각 고객사에는 가상 CISO와 사이버보안 애널리스트가 한 명씩 배치된다.
• 부분 CISO는 이사회 대면 업무(사이버보안 로드맵 작성, 고위 경영진과의 커뮤니케이션)를 수행한다.
• 애널리스트는 위험 평가 및 격차 평가를 수행하고, 공급업체 검토를 수행하고, 보안 정책을 편집한다.

특히 각 고객사가 파트타임 CISO와 애널리스트의 도움을 받을 수 있기 때문에 비용은 풀타임 CISO보다 훨씬 저렴할 것이다. 블랙은 “고객사의 범위가 상당히 넓지만, 평균 연간 지출은 10만 달러가 조금 넘는 정도”라고 말했다.

여전히 다른 선택지를 찾고 있는가? 실제로 풀타임 CISO가 필요하다는 신호는 무엇일까?

CISO가 필요하다는 9가지 징후

규제가 심한 산업
바이시나비는 “금융 서비스, 의료, 의료, 법률 등 이러한 비즈니스에는 항상 CISO가 필요하다."라고 말했다.

블랙은 CISO가 필요한 범위를 더 넓혀 설명한다. “연방 정부와 함께 협력하거나 공기업이라면 이러한 상황은 모두 타당하다.”

사이버 사고에 대한 경영진과 기업의 책임에 대한 법적 환경이 강화되면서 규제를 받지 않는 분야의 기업도 CISO 채용을 고려하고 있다.

바이시나비는 “EU와 영국에서 GDPR이 도입되면서 전반적인 보안 대응 방식이 바뀌었다. 이러한 변화는 채용 트렌드에 매우 직접적인 영향을 미친다"라고 말했다.

기업 공개 계획
VC 회사인 안드레센 호로위츠는 웹사이트에서 “기업 공개를 준비하는 모든 기업은 사베인스-옥슬리 법에 따라 올바른 IT 제어, 위험 평가, 규정 준수 테스트, 감사 추적 및 보고 기능을 구현할 수 있는 CISO를 지정할 것”을 권고하고 있다.

사이버 사고가 발생한 경우
스미스는 “근본적 원인 분석의 일환으로 '왜 이런 일이 발생했는가'를 파악할 수 있다. 그러면 보안 역할에 전념해야 할 때라는 것을 알 수 있다"라고 조언했다.

블랙은 “누군가를 진정한 신봉자로 만들 수도 있다. 끔찍한 침해나 사고가 발생했을 때 '방금 천만 달러의 비용이 들었다. 매년 그 비용의 일부만 CISO에게 썼다면 훨씬 더 나은 결과를 얻었을 것’이라고 말하는 것”이라는 예를 들었다.

동종 업계의 보안 침해
블랙은 “미래 지향적인 기업은 동종 업계에서 문제가 발생한 사례를 보고 타산지석으로 삼는다”라고 말했다.

확장되는 위협 환경을 파악하고 싶을 때
블랙은 “현재 기업이 CISO를 두는 것이 중요한 이유는 무엇일까? 악당이 사기, 사기, 공격으로 수십억 달러를 벌어들이고 있기 때문이다. 이러한 위험을 완화하지 않는 것은 현명하지 못한 일"이라고 조언했다.

회사의 성장
영국 사이버보안 경영진 코칭 업체 더 블루프린트(The Blueprint) 설립자 조 헤드는 “규모가 커질수록 직원 수, 사용자 수, 데이터 보유량, 매출 규모 등 모든 것이 CISO 고용 여부를 결정할 때 큰 영향을 미친다”라고 말했다.

이사회가 원할 때
블랙은 소기업인데도 이사회에서 “지금 당장 CISO를 채용해야 한다”라고 주장하는 사례를 목격했다.

고객과 잠재 고객이 원하는 바
CISO가 없으면 규제 대상 분야에서 사업을 운영하거나 파트너 또는 공급업체에 엄격한 보안 프레임워크를 기대하는 기존 고객 또는 잠재 고객과의 거래에서 손해를 볼 수 있으며, 특정 높은 수준의 프로젝트에 CISO를 요구할 수도 있다.

블랙은 “IT 제품이나 서비스를 판매하려는데 고객사인 대기업이 '귀사의 보안 프로그램이 이걸 준수하거나 이걸 하기에는 충분하지 않다'라고 말한다면, 고객사가 보안을 매우 우려하고 있고 우리 회사의 사이버보안 프로그램이 강력하지 않음을 분명히 알 수 있다"라고 강조했다.

벤처캐피털이나 사모펀드가 원하는 보안 프로그램
바이시나비는 “펀딩 라운드를 진행 중이고 많은 데이터나 개인 정보를 다루는 환경에 있는 경우, 보통 그 시점에 CISO가 합류한다. 보통 시리즈 A 라운드 이상이 그 시기"라고 말했다.

'CISO'는 직함 그 이상

헤드는 벤처캐피털이나 PE 펀드의 제안에 따라 CISO를 영입하는 회사를 몇 군데 보았다. 하지만 CISO는 단순히 자금 조달을 위해 고용된 기술 관리자 이상으로 인식해야 한다.

헤드는 “기업이 보안에 투자하고 사이버보안을 진지하게 받아들일 의지가 있을 때 CISO를 고용해야 한다"라고 말했다. “또 한 명의 비즈니스 리더를 고용한다고 생각해야 한다. CISO를 고용하면서 그 직책에 걸맞은 책임과 복잡성을 부여하지 않는다면 아직 CISO가 될 준비가 되지 않은 것”이라고 강조했다.
dl-itworld@foundryco.com

Christine Wong editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지