월마트의 제리 가이슬러 부사장 겸 최고정보보안책임자(CISO)는 고위 경영진의 일원이다. 가이슬러는 월마트가 CISO를 경영진에 포함시킴으로써 보안 투자에 대한 강력한 의지를 보여주고 있다고 설명했다. 그는 또한 CISO의 역할이 조직 내에서 지속적으로 진화하고 있음을 강조했다.
가이스러는 “과거에는 보안이 디지털 환경에서 종종 후순위로 밀렸지만, 2024년에는 조직들이 안전한 애플리케이션, 시스템, 서비스를 구축하는 것을 우선순위로 두고 있다. 월마트는 정보 보안에 오래전부터 중점을 두어 보안 분야에서 선구자 역할을 해왔으며, CISO를 부사장급으로 승격시킨 것은 전 세계적으로도 흔치 않은 사례이다”라고 밝혔다. 그는 이어 “이러한 긍정적인 변화는 CISO가 다양한 분야에서 비즈니스 수준의 의사결정을 형성하는 데 중요한 역할을 한다는 점을 시사한다”고 말했다.
Jerry Geisler, EVP and CIO, Walmart
Walmart
다른 인사들도 CISO 역할이 전통적인 기술직에서 고위 전략 임원으로 변화하고 있다는 데 동의했다. 이에 따라 보안 책임자에게 더 많은 책임이 부여될 것으로 예상된다.
GE 버노바의 부사장이자 글로벌 CISO인 테레사 지엘린스키는 “내가 처음 경력을 시작했을 때는 사이버 보안은 IT에 속해 있었고, IT는 여전히 백오피스 기능으로 간주되었다. 사이버 보안은 일종의 보험처럼 여겨졌던 것인데, 이제는 비즈니스를 성장시키는 중요한 요소로 진화하고 있다”라고 “요즘 시기의 CISO 역할은 더욱 진화하고 있다. 이제 사이버뿐만 아니라 리스크와 복원력을 이끄는 전략적 역할까지 CISO가 맡고 있다”라고 설명했다.
더 많은 책임, 더 많은 권한
CISO의 업무는 1990년대 중반 이후 지속적으로 변화해 왔다. 지엘린스키의 경력은 이러한 직책의 발전 과정을 잘 보여준다. 많은 CISO들처럼 그녀도 IT 분야에서 경력을 시작했고, 12년 동안 IT 분야에서 근무했다. 2009년, 보안 사고에 대응하는 팀을 이끌라는 요청을 받으며 사이버 보안 분야로 진출하게 되었다.
지엘린스키는 즉시 사이버 보안이 단순히 나쁜 일을 막는 것이 아니라 비즈니스 목표를 달성하는 데 도움을 줄 수 있다는 사실을 깨달았다. 실제로 사이버 보안이 단순히 기술적인 문제를 해결하는 것에 그치지 않고, 조직의 모든 부서와 연관되어 있다. 그래서 보안 리더는 회사의 전반적인 비즈니스 운영 방식을 이해해야 한다. 그래야만 회사의 업무 절차와 기술 시스템 전반에 걸친 보안 위험을 파악할 수 있기 때문이다. 그녀는 또한 고객 경험과 신뢰에 영향을 미치는 제품 보안을 담당하는 IT와 협력하면서 보안 리더의 역할이 얼마나 중요한지를 실감하기도 했다.
지엘린스키는 “사이버 보안은 모든 부서에서 문제를 해결하고 프로세스를 제대로 작동시키기 위해 세밀하게 조정되어야 한다”라며 “보안에서는 고객이 필요로 하는 것이 무엇인지, 준수해야 할 규정이 무엇인지를 이해하고 이를 바탕으로 다른 임원들을 설득해야 한다. 이제 보안은 단순한 보험 목적으로 도입되지 않는다. 오히려 비즈니스를 활성화하는 선제적 보안의 역할이 커지고 있다”라고 설명했다.
지엘린스키에 따르면, 이러한 인식은 많은 기업으로 확산되고 있다. 이미 많은 조직이 ‘보안 우선 사고방식’ 다시 말해 디지털 제품 개발 시 처음부터 보안을 필수 요소로 고려하고 있다고 한다. 자동차 개발 과정에서 안전성이 우선 고려되는 것과 비슷한 맥락이다.
Teresa Zielinski, VP and global CISO, GE Vernova
GE Vernova
지엘린스키는 “아무도 안전 기능이 없는 자동차를 사지 않는 것처럼, 디지털 제품에서도 안전요소가 중요해지고 있다. 특히 AI와 생성형 AI 서비스에서 더욱 그렇다”라고 밝혔다.
또한 그녀는 앞으로 더 많은 CISO가 광범위한 책임을 맡고 기업 리더십의 최고위층으로 이동할 것으로 전망했다. 구체적으로, 사이버 보안 업무가 위험 및 복원력 관리와 통합될 것으로 내다봤다. 사이버 보안, 리스크, 복원력은 모두 조직이 사고를 겪더라도 생존할 수 있을 뿐만 아니라 오히려 리스크를 극복하며 성장할 수 있도록 하는 데 초점을 맞추고 있기 때문이다.
지엘린스키는 “CISO와 최고 리스크 책임자는 더욱 밀접하게 협력하거나, 두 역할이 하나로 합쳐져 사이버 보안, 리스크, 복원력을 모두 이끄는 역할이 될 가능성이 크다”라고 설명했다.
캐나다 내셔널 철도(Canadian National Railroad)의 CISO인 본 헤이즌도 CISO가 과거보다 리스크 관리에 대한 책임이 커질 것으로 예상했다. 헤이즌은 “CISO의 핵심 업무는 리스크 관리다”라며 “보안 규제가 증가함에 따라, CISO가 준법 요소까지도 관리하도록 요구받고 있다”라고 덧붙였다. 헤이즌은 오늘날 많은 CISO가 데이터 프라이버시 관리 책임을 맡고 있으며, 더 많은 CISO가 서드파티 리스크와 공급망 리스크를 관리하는 추세라고 밝혔다.
이러한 경향은 CISO에게 더 많은 압박을 가하고 있으며, 그들이 감당해야 할 책임 수준도 높이고 있다고 그는 전했다. 헤이즌은 “CISO는 어떤 위험에 노출되어 있는지, 그 위험이 비즈니스에 미칠 수 있는 잠재적 영향을 이해해야 한다. 또한, 자신이 도입한 정책, 프로세스, 기술이 리스크와 조직 전체에 어떤 영향을 미치는지를 파악해야 한다”라며 “그리고 자신의 결정을 방어할 수 있어야 한다. 가령 ‘이 결정을 법정에서 변호해야 한다면, 나는 이 결정을 옳다고 느낄 수 있을까?’라는 질문에 CISO 스스로 ‘그렇다’고 대답할 수 있어야 한다”라고 조언했다.
Vaughn Hazen, CISO, Canadian National Railroad
Canadian National Railroad
최고 사이버 및 리스크 책임자의 부상
소프트뱅크 인베스트먼트 어드바이저스(Softbank Investment Advisers)의 CISO인 게리 헤이슬립도 비슷한 미래를 예상하고 있다. 헤이슬립은 “나는 현재 CISO 역할이 기술, 사람, 프로세스를 활용해 리스크를 관리하는 것으로 변모하고 있다고 본다”라며 “최고 보안 책임자 직책이 성숙해가는 과정의 일부”라고 표현했다.
이는 CISO의 업무를 재편하고, 많은 조직에서 역할의 본질을 바꾸고 있다고 설명했다. 그는 거버넌스, 리스크, 컴플라이언스(GRC)를 관리하는 CISO 직책이나 리스크와 네트워크 인프라를 총괄하는 CISO 직책을 알고 있으며, 리스크와 IT를 통합한 CISO도 존재한다고 말했다. 그는 미래에 CISO라는 직책이 최고 사이버 및 리스크 책임자 또는 최고 사이버 및 프라이버시 책임자로 변화할 것으로 예상했다. 이미 일부 조직에서 이러한 변화가 일어나고 있다는 것이다.
“이러한 통합은 표준이 될 것이다”고 헤이슬립은 덧붙였다.
PNC 은행(PNC Bank)의 부사장이자 CISO인 수잔 코스키도 CISO가 더 많은 책임을 맡고 있다고 본다.
“CISO는 광범위한 임무를 맡고 있으며, 기술에서 법률, 마케팅, 커뮤니케이션, 관계 관리, 재무까지 다양한 분야로 확장해야 한다”고 그녀는 설명했다. “이는 CISO가 더 큰 역할을 맡도록 요구받는 상황을 만들고 있으며, 일부는 최고 정보 책임자(CIO)로 진출하기도 한다. 또한, 물리적 보안과 사기 방지 기능을 결합해 최적의 결과를 도출하는 자연스러운 흐름이 있다. 이 역할은 계속해서 진화할 것이며, 특히 고객과 직원의 신원을 적절하게 검증하고 피싱 공격에 취약한 자격 증명에 대한 의존도를 줄이는 데 중점을 둘 것이다.”
그러나 2024년 명예의 전당에 오른 이들은 CISO가 기술적 역량과 사이버 보안 운영의 기본 사항을 여전히 잘 이해하고 있어야 한다고 강조했다.
“사이버 보안은 여전히 사이버 보안이다. 기본적인 사이버 위생은 여전히 필요하다”고 헤이슬립은 말했다.
진화의 원동력
CISO 역할의 진화에는 여러 요인이 작용해 왔으며, 앞으로도 계속 작용할 것이다. 그중 가장 큰 요인은 지난 20년간 이루어진 디지털 전환이다.
“오늘날의 비즈니스 환경에서 보안은 운영과 더욱 밀접하게 연결되어 있으며, 보안이 제대로 이루어지지 않으면 비즈니스에 미치는 영향이 과거보다 훨씬 크다”고 헤이슬립은 말했다.
미래를 내다보며, 가이스러는 변화하는 기술 환경이 CISO 역할의 지속적인 진화를 촉진할 것이라고 보았다.
“기술 환경이 빠르게 변화하는 가운데, CISO 역할은 앞으로도 중요한 역할을 할 것이다. CISO는 자동화에서 생성형 AI에 이르기까지 기술 발전을 선도하고 있다”라고 그는 말했다. “현재는 AI가 주목받고 있지만, 5~7년 내에 양자 컴퓨팅이 생성형 AI 못지않게 중요한 이슈로 떠오를 것이다. 방대한 데이터 양, 처리 요구 사항, 속도는 많은 CISO에게 중요한 과제가 될 것이다.”
다른 명예의 전당에 오른 이들도 AI와 양자 컴퓨팅이 앞으로 CISO의 업무에 영향을 미칠 것이라고 보고 있다. 이로 인해 보안이 비즈니스 프로세스와 제품에 더욱 통합될 것이다.
그들은 또한 보안과 관련된 규제, 데이터 프라이버시법 및 기준과 같은 보안 관련 요구 사항이 CISO의 업무를 더욱 확장시키고 역할의 중요성을 높일 것이라고 예상했다.
또한, CISO가 보안 실패에 대해 직면하는 개인적, 직업적 책임이 증가함에 따라 CISO 역할에도 변화가 일어나고 있다고 보고 있다.
이러한 책임 증가는 CISO에게 임원 회의와 이사회 회의에서 목소리를 낼 기회를 제공하고 있으며, 앞으로도 더 많은 CISO가 이러한 기회를 얻게 될 것이다. 이는 또한 CISO에게 보안 조치를 강제할 수 있는 더 큰 권한을 부여하고 있다.
“이제 CISO는 당연히 임원으로 대우받아야 할 역할로 인식되고 있다”고 헤이슬립은 말했다.
[email protected]