사이버 보안 사고, 내부 갈등이 공격보다 더 큰 문제? CISO의 역할 재조명
최근 사이버 보안 사고 발생 시, 공격 자체보다 내부 갈등이 더 큰 문제라는 보고서가 발표되어 기업 보안 책임자들의 고민이 깊어지고 있습니다. 사이택틱(Cytactic)의 ‘2025 사이버 사고 대응 관리 보고서’는 이러한 현실을 적나라하게 드러내며, CISO의 역할에 대한 새로운 시각을 제시합니다.
사이버 공격, 내부 갈등을 심화시키는 요인
보고서는 사고 발생 시 CISO와 CEO 간의 긴장, 불분명한 권한, 준비 부족, 커뮤니케이션 단절 등이 내부 갈등을 야기하며, 효과적인 침해 대응을 어렵게 만든다고 지적합니다. 책임 소재가 불분명하거나 상황에 따라 바뀌는 경우, 대응 속도가 늦어지고 혼란이 가중되는 것이죠. 이러한 문제는 사고 발생 이전부터 존재했던 인식과 정렬 문제에서 비롯되는 경우가 많습니다.
보안 강화, 매출 방해? 오해와 진실
기업 내에는 여전히 CISO의 보안 강화 제안이 매출 달성을 방해한다고 생각하는 오해가 존재합니다. 이러한 오해는 보안팀을 운영 효율성의 적으로 인식하게 만들고, 위기 상황에서의 협력 기반을 약화시키는 요인으로 작용합니다. CISO는 이러한 인식 문제를 고려하여 보안 전략을 수립하고, 보안의 '비즈니스적 가치'를 명확히 보여주는 커뮤니케이션 전략을 수립해야 합니다.
CISO, 비용 발생 부서? 보상 구조의 불균형 문제
포레스터 수석 애널리스트 제프 폴라드는 CISO와 CEO, 각 사업부 리더 간의 관계를 약화시키는 또 다른 원인으로 '보상 구조의 불균형'을 지적합니다. CEO와 사업부 임원들은 손익(P&L)을 책임지지만, CISO는 예산만 있고 손익 책임이 없는 경우가 많아, CISO 조직이 '비용만 발생시키는 부서'로 인식될 수 있다는 것입니다. CISO는 보안이 실제로 매출, 시장 점유율, 고객 유지에 기여한다는 점을 CEO와 사업부 동료들에게 꾸준히 상기시켜야 합니다.
CISO, 고객의 요구를 대변하는 역할
제프 폴라드는 CISO가 고객이 실제로 보안을 요구하고 있다는 사실을 내부에 제대로 전달하지 못하고 있다고 지적합니다. CISO는 고객들이 서드파티 리스크 관리 설문지를 작성하고 감사 자료를 꼼꼼히 검토하는 이유, 즉 사업부 고객이 "우리가 사용하는 서비스는 웹 공격에 어떻게 대응하느냐"라고 직접 묻는 이유를 명확히 설명해야 합니다. CISO는 일을 복잡하게 만드는 사람이 아니라, 고객이 요구하는 것을 실행하고 있는 사람임을 분명히 해야 합니다.
갈등, 긍정적인 결과를 낳을 수도 있다
정부 및 군 출신 전문가 네트워크 디렉토리 서비스를 제공하는 포머거브(FormerGov)의 전무 브라이언 레빈은 기업 내 각 임원이 서로 다른 접근법을 취하는 것이 오히려 긍정적인 결과를 낳을 수 있다고 분석합니다. 서로 다른 동기, 보상 구조, 전문성이 존재하기 때문에 기업을 바라보는 관점이 다양해지고, 성공으로 가는 새로운 길을 찾을 수 있다는 것입니다. 중요한 것은 갈등 자체를 문제로 보지 않는 것입니다.
CISO, 비즈니스 이해를 바탕으로 보안 논의해야
위험 관리 컨설팅 기업 얼라이언트 인슈어런스 서비스(Alliant Insurance Services)의 수석부사장 CJ 디츠만은 CISO가 각 사업부가 필요로 하는 바를 정확히 이해하고, 그 요구를 충족하는 데 집중해야 한다고 조언합니다. 비즈니스를 우선시하고 그 안에서 보안을 논의해야 한다는 것입니다. CISO가 사업부 임원들이 목표를 달성하도록 도울 수 있다면, 그들은 자연스럽게 보안팀의 든든한 동맹이 될 것이며, 이는 사이버 위기가 발생했을 때 내부 긴장을 완화하는 데도 큰 도움이 될 것입니다.
맺음말
결론적으로, 사이버 보안 사고 발생 시 내부 갈등을 줄이고 효과적으로 대응하기 위해서는 CISO의 역할 변화가 필수적입니다. CISO는 기술적인 전문성뿐만 아니라 비즈니스에 대한 이해를 높이고, 조직 내 커뮤니케이션을 활성화하여 보안의 비즈니스적 가치를 명확히 전달해야 합니다. 또한, 보상 구조의 불균형 문제를 해결하고, 갈등을 긍정적인 방향으로 이끌어 나가는 리더십을 발휘해야 할 것입니다.
