랜섬웨어 공격 후 CISO의 운명: 1/4만 살아남는 현실, 그 이유는?

최근 소포스의 보고서는 랜섬웨어 공격 발생 시 CISO(최고정보보안책임자)의 생존율이 극히 낮다는 충격적인 사실을 드러냈습니다. 공격을 막을 권한이 있었는지, 실제 과실이 있었는지와 관계없이 CISO가 책임을 지는 경우가 많다는 점은 시사하는 바가 큽니다.

CISO, 성과 압박과 책임 사이의 딜레마

인포테크 리서치 그룹의 에릭 아바키안은 보안 부서가 성과를 내지 못할 경우 경영진의 좌절감이 CISO에게 향하는 경향을 지적했습니다. 공격 원인이 CISO의 직접적인 통제 범위를 벗어나더라도, 이해관계자들은 CISO에게 최악의 상황까지 방지해야 한다는 기대를 건다는 것입니다. 이는 CISO에게 과도한 부담을 지우는 동시에, 실질적인 문제 해결보다는 희생양 찾기로 이어질 수 있다는 우려를 낳습니다.

성급한 CISO 교체, 전략적 판단일까?

랜섬웨어 공격 이후 CISO 교체가 필요할 때도 있지만, 많은 기업들이 성급하게 결정하는 경향이 있습니다. CIO나 이사회는 CISO 교체를 '리셋' 버튼처럼 여기지만, 사고 대응 계획이 제대로 작동하고, 탐지 도구도 문제없이 기능했으며, 복구도 SLA 내에서 이루어졌다면 CISO 교체는 오히려 조직 내부에 잘못된 메시지를 줄 수 있습니다. 보안 리더십이 실질적인 성과보다 외형적인 인상 관리에 더 집중되어 있다는 신호를 줄 수 있다는 것입니다.

CISO, 희생양인가, 진정한 책임자인가?

IDC의 프랭크 딕슨은 랜섬웨어 공격 후 CISO가 스스로 물러나는 경우도 많다고 지적합니다. 랜섬웨어 대응 과정은 극심한 스트레스를 동반하며, 과도한 업무 부담이나 사후 복구 과정에서 발생하는 갈등으로 인해 퇴사를 결정하는 경우가 많다는 것입니다. 또한, 사업부 차원에서 보안 관련 의사결정이 이루어지고 CISO의 조언이 무시되었다면, 모든 책임을 CISO에게 묻는 것은 부당할 수 있습니다. CISO는 보안 책임자이지만, 모든 결정권을 쥔 '최고 책임자'는 아니기 때문입니다.

CISO는 기업의 소방대, 책임만 물을 것인가?

에릭 아바키안은 CISO를 기업의 소방대에 비유하며, 집주인이 자신의 실수로 집에 불이 났는데도 소방서를 탓하는 것과 같다고 꼬집었습니다. 소방대는 화재에 대응하고 피해를 최소화하며 교육을 제공하고 향후 발생 가능성을 줄이기 위해 노력합니다. CISO 역시 사고 발생 시 지원할 준비가 되어 있는 존재입니다. 따라서 CISO에게 책임을 묻기 전에, 그들에게 필요한 권한과 지원을 제공하고 있는지 먼저 고민해야 합니다.

CISO의 목소리를 외면하는 경영진, 미래는 없다

일부 기업의 사업부뿐 아니라 CEO나 COO까지도 특정 업무 프로세스가 지연될 것을 우려해 CISO를 주요 회의에서 고의로 배제하는 경우가 많습니다. 프랭크 딕슨은 보안을 아예 논의 대상에서 제외하기로 결정하는 경영진에게는 '당신이 CISO를 원하지 않더라도 그들을 필요로 하는 기업은 반드시 있다'라고 경고합니다. 이는 단기적인 이익에 눈이 멀어 장기적인 보안 위협을 간과하는 어리석은 행위입니다.

간과된 보안 취약점, CISO의 책임일까?

소포스 보고서에 따르면, 랜섬웨어 공격 이후 진행되는 포렌식 조사에서 CISO가 놓쳤거나 인지했어야 할 문제가 드러나는 경우가 종종 있습니다. 취약점 악용은 랜섬웨어 공격의 주요 침투 원인으로 가장 많이 지목되었으며, 유출된 계정 정보, 이메일 등도 여전히 주요 공격 벡터로 활용되고 있습니다. 인지하고 있었지만 해결하지 못한 보안 취약점이 공격 원인이었다면, CISO에게 책임을 묻는 것은 당연할 수 있습니다. 하지만 근본적인 문제는 CISO에게 필요한 자원과 권한이 충분히 주어졌는지, 그리고 경영진이 보안의 중요성을 제대로 인식하고 있는지에 있습니다.

결론

랜섬웨어 공격은 피할 수 없는 현실이 되어가고 있습니다. CISO에게 책임을 묻기 전에, 그들이 제대로 일할 수 있는 환경을 조성해주고 있는지 되돌아봐야 합니다. CISO는 단순히 책임을 짊어지는 존재가 아닌, 기업의 안전을 지키는 핵심 파트너입니다.