사이버보안 업체 포트녹스(Portnox)의 조사에 따르면, 77%의 CISO가 다음 대형 침해 사고가 발생할 경우 실직할 것에 대해 “매우” 또는 “극도로” 우려한다고 응답했다. 이 결과는 CISO가 C-레벨 경영진 자리에서 자신의 가치를 어떻게 인식해야 하는지에 대한 의문을 불러일으켰다. 통제할 수 없는 문제에 대해 처벌을 받게 될까? 만약 침해가 발생한 원인이 CFO가 거절한 예산과 연결된다면 어떻게 대응해야 할까?
무어 인사이트 앤 스트래티지(Moor Insights and Strategy)의 부사장이자 수석 애널리스트인 윌 타운젠드는 포트녹스의 조사 결과가 CISO 대부분이 느끼는 불안감을 잘 보여준다고 말했다. 타운젠드는 “다음 침해 사고로 인해 CISO를 해고할지 여부는 사실 부차적인 문제다. CISO가 불가피한 해고를 걱정하는 한, 이런 걱정은 CISO의 행동에 영향을 미칠 것이다. 기업이 원하는 것이 조심스럽고 주저하는 CISO인가?”라고 지적했다.
이어 “기업은 언젠가는 침해 사고를 당하게 될 것이다. CISO를 고용하는 이유는 문제 발생 시 책임을 물을 한 사람이 필요하다는 인식 때문”이라고 타운젠드는 설명했다. “CISO가 최종 책임자라는 점이 문서화되어 있으며, 이는 대규모 침해 사고가 발생할 경우 실직 위험이 높다는 것을 의미한다”라고 덧붙였다.
그러나 기업 문화와 고위 경영진은 사이버보안 책임에 대해 공정하고 현실적인 태도를 보여야 CISO가 직무를 제대로 수행할 수 있다. 타운젠드는 “CISO는 종종 CIO에게 보고하고 CFO에게 점선 보고를 하는 경우가 많은데, 이들도 결국 책임을 져야 한다”라고 강조했다.
예를 들어 타운젠드는 “CISO가 신원 접근 시스템의 취약점을 발견하고 이를 보완할 예산을 요청했으나 거절당했다면, 이는 공동의 책임이다. C-레벨 경영진 전체가 책임을 함께 져야 한다. CISO에게만 손가락질을 하는 것은 바뀌어야 할 사고방식”이라고 지적했다.
또한 “C-레벨 전체가 함께 위험을 감수해야 한다. 많은 문제의 핵심이 예산으로 귀결된다. HR 책임자, CFO, CISO 모두 적절한 보안 통제를 보장하기 위해 동등한 역할을 수행해야 한다. C-레벨 경영진의 보상이 적절한 보안 통제와 연계되어야 한다”라고도 덧붙였다.
포레스터의 수석 애널리스트 제스 번은 더욱 엄격한 견해를 내놨다. “CISO가 다음 대형 침해 사고가 발생할 경우 실직할 것에 진정으로 두려움을 느낀다면, 더 이상 그곳에서 일하지 말아야 한다”라고 말했다.
번은 대형 침해 사고 이후 문제를 관리하는 유능한 CISO는 채용 시장에서 매우 가치 있는 자원이 된다고 설명했다. 그 책임자를 해고하는 것은 결국 경쟁사로 보내는 것과 다름없다. “침해 사건을 극복한 사람에게는 큰 시장 기회가 있다. 대형 침해 사건 이후 이를 잘 관리한 CISO는 수요가 높다. 다른 회사는 반드시 그런 경험을 원할 것이다”라고 설명했다.
CISO가 자신의 입지를 강화하는 가장 좋은 방법은 수익, 순이익, 시장 점유율에 집중하는 것이다. 번은 “보안 통제를 리스크 관리 프로세스와 연결해야 한다. C-레벨의 언어는 돈과 수익이다. 고객의 서드파티 리스크 평가가 점점 까다로워지고 있다는 점을 상기시켜야 한다”라고 말했다. 즉, 이런 평가에서 좋은 결과를 얻는 것이 고객 수익을 확보하는 직접적인 방법이며, 반대로 실패하면 잠재 고객을 잃는다는 뜻이다.
[email protected]