기술 및 규제 측면이 CISO 업무에 포함되면서 그 역할 범위도 계속 커지고 있다. 전문가들은 CISO의 역할을 둘로 나눠야 할 때인지에 대해
사이버 보안은 최근 몇 년 동안 관심과 주목을 받아왔으며, 이런 관심과 함께 법률 제정, 규제, 많은 정밀 조사가 이뤄졌다. 그 결과 CISO는 이제 기업 방어의 기술적인 측면을 넘어 더 많은 책임을 져야 하는 입장이 됐다.
IANS 연구에 따르면 CISO는 정보 보안뿐만 아니라 기술 리스크와 규제 준수까지 감독하는 경우가 많다. 규제 요건이 강화되면서 감독의 필요성이 커지고 있으며, CISO는 비즈니스 환경을 이해하면서 진화하는 사이버 리스크에 지속적으로 대응해야 한다.
ESG(Enterprise Strategy Group)의 명예 애널리스트인 존 올트식은 “CISO는 예산 책정을 위해 기업의 경영진, 규제 기관, 사이버 보험 업체, CFO와 협력해야 하며, 비즈니스 언어에 능통하고 이를 사이버 리스크로 해석할 수 있어야 한다. 그 자체로 풀타임으로 일하는 셈이다”라고 언급했다.
동시에 점점 더 복잡해지는 기술을 관리해야 하기 때문에 세심한 주의와 감독도 필요하다. 올트식은 “기술이 매우 거대하고 다양해지고 있으며, 여기에는 새로운 애플리케이션 개발과 새로운 유형의 디바이스 구현도 포함된다. 또한 지금은 대규모 AI 도입이 정점을 이루는 시기다. 이런 모든 기술을 제대로 이해하고 비즈니스의 지침에 따라 적절한 통제 장치를 마련할 수 있는 역할은 다른 유형이다”라고 지적했다.
기술과 비즈니스 리스크의 분리에 대한 우려
CISO 역할의 범위는 점점 늘어나고 있으며, 가트너는 2027년까지 규제 압박과 공격 면 확대로 인해 CISO 업무 중 45%가 사이버 보안 이상으로 확대될 것이라고 봤다.
확대되는 책임을 해결하기 위해 더 많은 조직이 은행과 다른 대기업의 선례를 따라 기술 통제와 비즈니스 리스크를 담당하는 여러 역할 간에 책임을 분담하는 방식을 고려할 수 있다.
한 가지 가능한 방법은 CISO가 CEO에게 보고하고, CIO 밑에 최고 보안 기술 책임자(CSTO) 또는 기술 중심 보안 담당자를 두는 것이다.
기능적 수준에서 CSTO를 IT 부서에 두면 CIO가 통합과 협업을 더 많이 수행할 수 있고 통합 가시성과 보안 모니터링을 통합할 수 있다. 경영진 차원에서는 보안 취약점을 파악할 필요가 있으며 CISO는 전략적 비즈니스 리스크 고려 사항을 지원할 수 있다. 올트식은 “이런 종류의 분리는 대규모 조직에서 더 나은 보안 감독과 보안 문화를 가져올 수 있다”라고 진단했다.
그러나 책임과 보고 라인을 정하는 데는 여러 실질적 고려 사항과 리스크가 따른다. CISO를 CIO 권한 밖에 두면 사이버 리스크 관리와 기술 감독 사이에 층 하나가 생길 위험성이 있다. 또한 시스템 실행 유지에 중점을 두는 IT 운영과 시스템 보안 유지를 우선시하는 보안 간의 차이가 심화될 수도 있다.
올트식은 “물론 CIO뿐만 아니라 모든 사람이 시스템을 계속 가동하고 실행하려는 동기를 갖고 있지만, 보안 담당자의 역할은 시스템을 안전하게 유지하는 것이기 때문에 이를 조금 더 강화하는 특정 게이트를 설치할 수도 있다”라고 설명했다.
또한 새로운 애플리케이션을 개발하고 채택할 때의 보안 위험 문제도 있다. 만약 보안 기술 역할이 CIO와 IT 아래에 있는 경우 성능과 보안이 충돌했을 때 보안이 충분히 고려되지 않을 수 있다.
올트식은 “취약점이 많은 이유 중 하나는 소프트웨어 개발자가 코드를 프로덕션에 적용하기 위해 종종 보안에 소홀할 수 있기 때문이다. 따라서 역할을 둘로 분리하면 CISO는 운영 권한이 없는 허수아비가 되고, CIO는 생산성이나 성능을 저해한다는 이유로 최고 보안 기술 책임자에게 보안 업무에서 물러나라고 지시할 수 있다는 위험성이 있다”라고 말했다.
특정 기능을 분리하면 리스크 관리가 개선될 수 있을까?
세븐룰스(7 Rules) 사이버 컨설팅의 설립자이자 CISO인 치라그 조시는 어떤 상황에서는 기술, 운영 및 아키텍처 팀을 이끄는 사이버 보안 책임자와 거버넌스, 위험 및 규정 준수를 이끄는 CISO를 두는 것이 합리적이라고 말했다. 그는 “거버넌스 및 리스크 역할은 메트릭과 측정, 전략 및 정책을 제시하면서 이사회와 더 많이 소통할 수 있다”라고 조언했다.
SEC의 요구 사항 중 하나는 연간 사이버 리스크 관리 프로그램을 제출하는 것이며, 이는 일반적으로 거버넌스 리더의 역할이다. 거버넌스 리더는 통제 측정을 고려해 전략을 수립하지만, 기능적으로 독립적이고 필요할 때 이의를 제기할 수 있는 사람이 이를 지원할 필요가 있다. 조시는 “운영 책임과 리스크 책임을 분리하면 독립성을 바탕으로 리스크 선택에 이의를 제기할 수 있게 되므로 더 유리하다”라고 말했다.
CISO를 최고 경영진 직무로 올리면 이들은 리스크 관리에 중점을 둔 전략적 비즈니스 조언자가 될 수 있다. 단순히 ‘어떻게 보안을 유지할 것인가’라는 질문에 답하는 것이 아니라, 새로운 애플리케이션이나 기타 보안 고려 사항을 도입하는 등 조직이 ‘과연 이것을 해야 하는가’에 대해 의견을 제시할 수 있다.
이를 수행하려면 CISO는 비례 투자와 그에 상응하는 위험 통제의 관점을 경영진의 언어로 설명할 수 있어야 한다. 조시는 “사이버 리스크를 높음, 중간, 낮음으로 측정할 뿐만 아니라 리스크를 절충적으로 수용하는 대신 통제에 비례 투자하기로 결정한 이유를 분명히 보여줘야 한다. 이는 더 어려운 대화이며 고위험, 중위험, 저위험으로 나누는 것만큼 간단하지 않다”라고 말했다.
또한 방향을 성공적으로 바꾸려면 CISO는 매 분기마다 보고서와 경고를 보내는 대신 재무 및 회사 전략과 같은 사항을 파악하고 이런 프레임워크에서 사이버 통제를 명확하게 설명해야 한다. 조시는 “CISO는 자신의 위험 분류 체계를 회사 전체의 체계와 통합해야 한다”라고 조언했다.
그러나 이 방식에서는 예산이 논쟁의 대상이 될 수 있다. 최근 CIO 예산이 사이버에 집중되는 경향이 있는데, 이런 예산 배분에 영향을 주지 않으면서도 CISO와 CIO가 동등한 위치에 있는 상황을 만들기가 어려울 수 있다고 조시는 언급했다.
또 다른 잠재적 마찰 지점은 애플리케이션 유지 관리다. 다시 말해 수명 종료에 대한 고려 사항과 비용, 잠재적 취약성을 비교해 누가 결정권을 갖고 있는지에 대한 문제다. 조시는 “CIO는 비용을 관리하고 애플리케이션을 가능한 한 오래 유지해야 하지만, CISO는 레거시 취약점에 대해 걱정할 필요가 없도록 최신 애플리케이션으로 전환하는 데 더 관심을 둔다”라고 덧붙였다.
보안 운영 책임자의 필요성은?
또 다른 상황에서는 스탠다드차타드 같은 은행의 선례를 따라 운영, 리스크, 감사라는 3가지 라인으로 책임을 할당하는 모델을 채택할 수도 있다. FTI 컨설팅의 수석 MD이자 호주 사이버 보안 책임자인 바우터 뵈겔렌에 따르면 이 경우 사이버 보안 운영 책임자가 통제 및 시스템 구현을 담당하고, CISO가 위험 및 규정 준수를 감독하며, 세 번째 역할이 감사 기능을 담당하고 사이버 보안 기능을 독립적으로 검토한다.
뵈겔렌은 “이때 보안 운영 책임자는 모든 예측 탐지 대응을 담당하고 CISO가 거버넌스에 집중하며 보안 통제 정책을 설정하고 규정 준수를 확인하지만, 한 사람이 해당 업무 전부를 처리하기에는 너무 폭넓기 때문에 구현에 대한 책임을 지기 어렵다”라고 설명했다.
리스크 책임
보안 역할을 분담하는 데에는 여러 가지 어려움이 있으며, 특히 책임 소재가 문제될 수 있다. 여러 역할에 걸쳐 책임을 분리하면 전반적인 사이버 보안 리스크 관리 및 결과에 대해 궁극적인 책임이 누구에게 있는지 명확하지 않을 수 있다. 또한 운영 보안 통제가 거버넌스 및 리스크 관리와 분리돼 있으면 두 기능 모두에서 적절한 책임을 보장하기 어려울 수 있다.
이를 해결하기 위해 뵈겔렌은 조직이 서로 다른 보안 역할과 기능 간의 격차나 중복을 피하기 위해 책임에 관한 명확한 정책과 가이드라인을 마련해야 한다고 말했다. 또한 그는 사이버 보안 리스크의 책임자가 리스크를 완화할 수 있는 모든 통제권을 갖고 있지 않다면 모든 리스크를 책임지는 것이 아니라고 경고했다. 그는 “리스크의 책임은 해당 리스크를 완화할 수 있는 예산과 권한을 가진 이해관계자에게 있는 것이 바람직하다”라고 말했다.
마찬가지로 이사회에 위험을 보고할 책임이 있는 사람이 누구인지에 대해 갈등이 있을 수 있다. 대부분의 경우 CISO는 CIO에게 보고하고 CIO는 그룹 경영진에게 보고하지만, 이런 방식은 자유롭고 솔직한 리스크 평가가 어려울 수 있다. 뵈겔렌은 “CISO가 이사회에 곧바로 리스크를 보고하는 것이 바람직하지만 문서가 CIO를 거쳐야 할 수 있다. 사이버 보안 리스크의 원인인 시스템 유지 관리 문제가 CIO의 책임일 가능성이 높기 때문에 마찰이 생길 수 있다”라고 말했다.
따라서 CISO가 리스크 위원회와 직접 소통할 채널이 있어야 최소한 리스크에 대한 균형 잡힌 보고서를 제공할 수 있다. 기업 구조와 리스크 책임에 따라 다르겠지만, 이 방식은 보안 요구 사항이 더 복잡하고 별도의 역할을 지원할 수 있는 규모를 갖춘 대기업에 더 적합하다고 뵈겔렌은 설명했다.
소규모 조직의 경우 여러 정보 보안 임원을 효과적으로 관리하는 프로세스와 구조가 부족할 수 있으며, 이로 인해 역할 간 책임의 공백이나 중복이 일어날 수 있다. 뵈겔렌은 “또한 조직 내에서 별도의 보안 역할과 기능을 지원하기 위해 추가 비용이 발생할 수도 있다”라고 덧붙였다.
dl-ciokorea@foundryco.com
