이사회에 합류하고 싶은 CISO라면 기존 사이버 보안 지식을 보완할 수 있는 새로운 역량이 필요하다. 전문 경영 교육을 받거나 수료증을 획득하거나 새로운 산업으로 경험을 넓히거나 컨설팅 경험을 추가하면서 새로운 기회를 얻을 수 있을 것이다.
최근 많은 이사회는 사이버보안 전문가를 확보하기 위한 노력을 늘리고 있다. 보안 규제는 점점 늘어나고 글로벌 사이버 공격이 늘어나고 있기 때문이다. 자연스럽게 여러 능력을 갖춘 CISO는 이사회 예비 후보 올라갈 기회를 만들 수 있다.
하지만 같은 CISO라서 이력서의 내용은 천차만별이다. 이사회 경험이 많지 않은 신입 CISO는 이사직을 맡기 전에 리스크 관리 경험과 소통 능력을 강화하는 데 시간이 필요할 수 있다. 경험이 많은 보안 임원도 이사직의 요구 사항을 충족하기 위해서는 추가적인 기술과 기업 거버넌스 전문 지식을 준비해 놓아야 한다.
즉 이사회에 합류하고 싶은 CISO는 전문성 개발을 위해 전략적인 접근 방식을 취해야 한다. 새로운 경험, 거버넌스 교육, 인적 네트워크를 적절히 확장하며 평판을 다양하게 높이면 좋다. 그래야 새로운 후보를 찾는 이사회의 관심을 끌 수 있다.
USC 마샬 경영대학원의 교수이자 기업의 디지털 및 사이버 리스크 거버넌스 개선을 지원하는 디지털 디렉터스 네트워크(DDN)의 CEO인 밥 주키스는 “이사회 자리를 흘린 땀으로 열리는 것이다”라며 “이사회로 가는 지름길은 없다”라고 설명했다.
사이버 보안 경험 그 이상이 필요하다
지난 10여 년간 CISO는 이사진에 합류하기는커녕 이사회에게 의견을 전하는 것조차 어려웠다. 그러나 점점 더 많은 보안 리더들이 리스크 조언자로서 가치를 높이고, 디지털 전환의 사이버 리스크를 검토하는 데 적극 도와주면서 기업 내 CISO의 위상은 더 높아지고 있다.
보안 컨설팅 업체인 콜파이어가 펴낸 ‘CISO 영향력 현황 2023’ 보고서에 따르면, 현재 절반 이상의 CISO가 이사회에 최소한 분기별로 실적 업데이트를 제공하고 있다. 해당 보고서는 지난 2년 동안 이사회에 매달 보고하는 CISO의 비율이 보안 리더 중 18%에서 28%로 눈에 띄게 증가했음을 보여줬다.
그러나 거버넌스 전문가와 규제 당국은 보안 분야 임원이 정기적으로 이사회에 사이버 위험 관련 보고를 해도 실제 발생하는 사고를 막는데 충분하지 않다고 지적한다. 그러다 보니 전 세계 대형 기업에서 사이버 보안 전문 지식을 갖춘 이사를 채용하려는 시도가 증가하는 것이다. 실제 최근의 이사회에서는 다양한 기술 전문 지식을 갖춘 인재를 찾는 경향이 높다. 가령 리더십 컨설팅 회사인 스펜서 스튜어트의 최근 연구에 따르면 50세 이하의 ‘차세대’ 이사 중 약 3분의 1이 기술 관련 경력을 보유하고 있는 것으로 나타났다.
사이버 보안 전문가이자 벤처 투자가인 천시 왕도 그러한 변화를 직접 겪었다. 그녀는 2019년에 미국의 에너지 및 건설 자재 회사인 MDU 리소스 그룹의 이사로 영입되었다. 왕에 따르면 당시 MDU 리소스 그룹은 왕의 사이버 보안 통찰력과 전반적인 신기술 개발 경험을 주목했다고 한다.
왕은 CSO와의 인터뷰를 통해 “MDU 리소스 그룹은 역사가 오래된 전통 있는 회사로서, 그들은 실제로 이사회에 다양한 사고방식과 배경을 가져오는 데 여러 노력을 기울였다. 이사진은 실리콘밸리의 첨단 기술을 경험한 누군가가 중서부에 위치한 MDU 리소스 그룹이 무엇을 준비해야 하는지 혹은 무엇을 무시해도 되는지 이야기하기를 원했다”라고 밝혔다.
CISO 출신 이사를 채용하려는 움직임은 자연스럽게 늘어나고 있지만, 미국 증권거래위원회(SEC)의 규제 사항이 늘어나면서 그 수요가 급격히 증가한 측면이 있다. SEC가 새로 시행하는 규정에서는 상장 기업 이사회에 사이버 보안 전문성을 갖춘 사람이 있는지 공개하라고 내용이 담겨 있다. 또한 사이버 보안 역량이 부족한 기업에게 제재가 가해질 수 있다.
주키스는 “SEC 실무 경험, 즉 이전에 관련 일에 직접적으로 종사한 보안 전문가가 있어야 한다고 요구했다”라고 “기존 이사들을 보안 교육을 제공하는 것으로는 해당 규정에서 요구하는 바를 맞추지 못할 것”이라고 말했다.
주키스는 또한 해당 규정이 전 세계 당국에 영향을 미칠 것이라고 예상한다. 주키스는 “SEC가 움직이면 전 세계 규제 당국도 움직인다. SEC가 이러한 규제 문제에서는 주도권이 있기 때문에 다른 시장도 따라갈 확률이 높다”라며 “이사회에서 사이버 전문 지식을 공개 요건으로 요구하면 이사회가 ‘왜 우리 이사회는 사이버 보안 전문가 영입의 중요성을 무시하고 있는가’라고 반문할 것이다”라고 설명했다.
기업이 이러한 논의를 시작하게 되면, 결국 CISO, 보안 감사인, 보안 애널리스트, 기타 리스크 담당자는 매력적인 이사 후보로 오를 수밖에 없다. 왕은 “비즈니스 관점과 기술 관점을 모두 볼 줄 아는 ‘뛰어난’ CISO는 기술 리더일 뿐만 아니라 비즈니스 리더가 될 수 있다. 따라서 자신의 경험을 바탕으로 회사를 이끌어가는 이사회 멤버의 역할을 수행할 준비가 된 사람”이고 밝혔다.
그러나 단순히 보안 경험이 있다고 해서 모든 CISO가 쉽게 이사회의 일원이 되는 것은 아니다. 평범한 CISO가 아니라 ‘뛰어난’ CISO가 되야 후보 자격을 얻을 수 있기 때문이다.
평범한 CISO 중 누가 이사회로 진출하는가
오랜 기간 CISO를 맡은 던-마리 허친슨은 ‘전형적인’ CISO가 이사회에 합류할 수 있는가를 논의하기에는 일단 CISO 역할의 수준부터 짚어봐야 한다고 말한다. 평균적인 CISO의 직무, 보상, 보고 체계, 이사회와의 소통 기회는 각 기업의 상황마다 다르다.
영국 담배 기업인 BAT의 CISO로 활동하고 있는 허친슨은 “모든 CISO가 이사회 자리에 오르기 충분한 자격이 있다고 말하기는 어렵다”고 말한다. 허친슨은 아직 기업의 이사로 근무하지 않지만, 전미 기업 이사 협회(NACD)라는 비영리 단체에서 이사로 활동하고 있다. 허친슨은 “이사의 역할은 관리가 아니라 감독하는 것이다. 따라서 CISO가 운영 및 전술적인 역할을 많이 수행할수록 감독 기능에 적응하는 데 더 어려움을 겪을 수 있다”라고 설명했다.
전문 이사회 컨설팅 회사인 M.A. 피스터 전략그룹의 CEO 겸 최고 이사회 컨설턴트인 마크 피스터에 따르면, 그의 회사에서는 최근 ‘국제 이사회 이사 역량 지정(IBDC.D)’라는 교육 및 인증 프로그램을 수료하는 CISO가 증가 중이다. 그는 현재 “CISO 출신 이사회에 대한 수요는 높아졌지만 실제 당장 이사회에 합류할 수 있는 정도의 역량을 보유한 후보는 적다”라고 밝혔다.
주키스의 의견은 조금 다르다. 주키는 “이사회에 진출할 수 있을 정도로 자격을 갖춘 CISO는 기업이 생각하는 것보다 더 많다”라고 말했다. IANS가 지난 6월 공개한 연구 결과는 주키스의 주장을 뒷받침한다. 러셀 1000 지수에 포함된 기업의 CISO 중 약 14%만이 오늘날 이사회가 바라는 역량을 모두 갖추고 있었다. 여기서 말하는 역량이란 깊이 있는 도메인 전문성, 높은 교육 수준, 비즈니스 거버넌스에서 다양한 교차 기능 경험, 글로벌 기업 재직 경험, 다양한 배경 등을 포함한다. 모든 역량으로 집계했기에 14%라는 적은 수치가 나왔지만, 사실 더 깊이 파고들면 응답한 CISO 중 47%가 앞서 언급한 역량 중 3가지 이상은 가지고 있었다.
주키스는 “다른 전문 직무 분야와 비슷하다. CFO가 다른 임원도 이사회에서 요구하는 모든 역량을 100% 갖추고 있지 않는다”라며 “따라서 지금 당장 준비되어 있고, 의지가 있으며, 능력이 있는 후보라고 생각하면 자격을 갖춘 CISO는 생각보다 많다. 그리고 적절한 개발, 코칭 및 멘토링을 통해 그 목표를 달성할 수 있는 CISO도 있다. 그 자리에 오르기 위해서는 훨씬 더 많은 경험과 개발이 필요한 사람도 있다”라고 말했다.
기업 거버넌스 및 절차 교육 필요성
사이버 보안에 대한 전문 지식이 풍부하고 다양한 업종에서 일한 경험이 풍부한 CISO도 여전히 교육이 필요하다. 특히 기업 거버넌스 문제와 절차에 대한 지식을 배워야 한다. 경영진 교육과 자격증을 활용한다면 준비 시간을 단축하며 관련 지식을 쌓을 수 있다.
관련 분야에서 잘 알려진 인증 및 교육 프로그램에 NACD 이사 자격증이 있다. 허친슨은 “NACD 이사 자격증 공부는 과거 수료한 MBA 교육에서 배운 거버넌스 지식을 다시 한번 되새길 수 있는 게 좋았다”라며 “특히 SEC의 새로운 규정이 중요한 상황에서 이사회에서 기대하는 바를 보다 명확히 다시 검토할 수 있어 좋았다”라고 설명했다.
NACD 이사 자격증 외에도 이사로서 필요한 지식을 제공하고 거버넌스 능력을 강화해 주는 프로그램은 많다. 노스웨스턴 켈로그, 유펜의 와튼, 컬럼비아와 같은 경영대학원은 모두 기업 거버넌스 경영자 프로그램을 지원한다. 앞서 언급한 IBDC.D. 뿐만 아니라 인시아드의 국제 이사 프로그램, 기업 거버넌스 연구소의 기업 거버넌스 과정, 디렉터스 인스튜티드의 공인 이사 프로그램과 같은 프로그램도 살펴볼 만하다. DDN의 경우 이사회에 진출하려는 CISO 및 기타 기술 전문가를 위해 별도의 교육 프로그램을 운영하고 있다.
팔로알토 네트워크의 CISO이자 보안 전문가인 밥 웨스트는 “이러한 수업을 이수하는 것은 CISO가 이사회 거버넌스에 대한 모든 책임을 이해하는 데 도움이 된다”라고 말한다. 보안 실무자이자 컨설턴트로서 화려한 이력서와 MBA를 보유하고 있음에도 불구하고, 웨스트는 경영진 전문 교육 과정을 통해 필요한 역량을 강화하고 있다고 한다. 웨스트는 작년에 와튼을 통해 거버넌스 과정을 수강했으며 현재 KPMG를 통해 이사 준비 과정을 밟고 있다.
웨스트는 “수업은 이사회에 들어가서 해야 할 일에 대해서 광범위하게 검토할 수 있게 도와준다”라며 “이런 유형의 교육 과정은 사람들에게 매우 도움이 된다고 생각한다”라고 설명했다.
실제로 얻은 전문적 경험과 이론의 조화
임원 교육 과정과 자격증이 필요한 역량을 강화하는 데 도움이 될 수 있지만, 직접 경험하는 것보다 더 좋은 것은 없다. 전문가 대다수는 경영자 교육을 고려하기 전에 CISO가 비즈니스 수준의 의사 결정에 노출됐는지 그리고 전문 경험을 정기적으로 접하는지 먼저 확인해야 한다고 조언한다.
IANS 연구에서 발견된 CISO에게 부족한 부분은 다양한 전문성이다. 조사에 따르면 현재 이사회 직책을 맡고 있는 CISO와 매우 대조적으로 CISO의 약 3분의 1만이 이사회 수준의 의사 결정에 대한 폭넓은 경험을 가지고 있다. 하지만 실제 이사 직책을 맡고 있는 CISO 중 71%는 다양한 업무를 경험해 전문성이 높았다.
주키스는 “실무 경험은 항상 이론적인 경험보다 더 가치가 있다. CISO는 역할을 확장하고, 관점을 넓히고, 조직 전체에 걸쳐 가치를 제안해야 한다. 그리고 실무 경험이 그런 역량을 키울 수 있다. 실제 경험할 기회가 없다면 교육이나 책을 통해 얻어야 할 것이다. 하지만 책이나 교실에서 배운 경험은 실무 경험을 대체하지는 못한다”라고 말한다.
CISO가 실무 경험을 늘릴 방법은 다양하다. 첫 번째 단계는 이사회 이사와 견고한 관계를 구축하고 그들을 통해 간접적으로 필요한 역량을 학습하는 것이다. 허친슨은 “이사회에 정기적으로 참여하지 않거나 이사회 임원과 네트워크를 쌓지 않은 CISO는 특히나 미리 관련 경험을 쌓아야 한다”라고 말했다.
기업에서 전략적인 역할을 맡고 있는 CISO라면 일반적인 사이버 위협을 넘어 더 광범위한 엔터프라이즈 리스크를 추적하고 책임을 지는 방법을 찾아 보면 좋다. 왕은 “이것이 CISO가 이사직을 준비할 수 있는 핵심 방법일 것”이라고 설명했다.
왕은 “CISO는 그 회사의 최고 리스크 책임자(Chief Risk Officer)가 되는 길로 가야 한다. 직책이 있든 없든, 리스크 관리 과정에서 중요한 경험을 얻을 것이다. 그렇게 함으로써 법적, 규정 준수 등을 포함하여 다양한 사업부와 폭넓은 관점에서 업무를 수행하며 배우는 게 많을 것이다. 이러한 상호 작용을 통해 이사회에서 일하기 위한 올바른 사고방식과 경험을 갖출 수 있다”라고 말했다.
왕은 산업 전반을 가로지르는 횡적 이동도 나쁘지 않다고 조언한다. 왕은 “특정 산업의 CISO가 다른 산업으로 옮기면 다른 위험에 노출되기 때문에 시야를 넓히는 데 큰 도움이 된다”라고 설명했다.
실제로 왕은 다른 산업으로 이동하여 경험을 늘린 여러 CISO를 만난 적이 있는데, 그들 대부분 사이버 위험과 기타 위험에 대해 매우 풍부한 시각을 얻었다고 한다.
웨스트처럼 비즈니스 전문성을 구축하기 위해 컨설팅에 집중하고 공급업체 영역에 진출해 시야를 넓힐 수도 있다. 웨스트는 금융 서비스 기관에서 CISO로 여러 차례 근무했지만 딜로이트와 어니스트 앤 영에서의 수년간 컨설팅 및 관리 경험을 쌓았다. 이를 통해 이사들과 소통하는 ‘올바른 방법’을 배웠다고 한다.
웨스트는 “비즈니스 전략과 전반적인 비즈니스 운영은 많이 알수록 좋다. 한 가지 재주밖에 없어서 이사진의 관심을 못받는 상황을 방지할 수도 있다”라며 “이사를 꿈꾸는 사람 중 자신의 영향력이 회의 10분으로 국한되는 것을 원하는 사람은 없을 것이다. 역량을 높여 이사회 논의 과정 내내 가치를 더할 수 있는 이사가 돼야 한다”라고 설명했다.
웨스트는 또한 비영리 이사회에서 봉사하면서 경험을 쌓고 있다. 그는 특히 USA 트랙앤드필드 재단(USA Track&Field Foundation)에서 업무를 한 것이 유용했다고 설명했다. 그곳에서 아메리칸 익스프레스, 블랙스톤 및 나스닥과 같은 수많은 기업의 주요 CEO와 함께 협력할 기회가 있었기 때문이다. 웨스트는 “그곳에서 일하면서 배운 점은 CEO가 이사회의 엄격함에 매우 익숙하다는 점이다”라며 “그래서 규율 있는 이사회가 어떤 기능을 제공해야 하는지 이해하는 데 매우 유익했다”라고 전했다.
dl-ciokorea@foundryco.com
