by Wizard

CISO 엑소더스: 왜 최고정보보호책임자들이 회사를 떠나고 있는가?

최근 최고정보보호책임자(CISO)들의 이직률이 급증하고 있습니다. 단순히 더 나은 연봉이나 직책을 찾아 떠나는 것이 아니라, 누적된 좌절감과 구조적인 문제로 인해 사이버보안 분야 자체를 떠나는 경우도 늘고 있다는 분석입니다. IANS 리서치와 아티코 서치의 조사에 따르면, 보안 임원 69%가 향후 1년 내 이직 가능성을 염두에 두고 있다고 합니다. 왜 이런 현상이 나타나고 있을까요?

CISO의 고충: 책임은 막중, 권한은 미미

CISO는 24시간 긴급 상황에 놓여있다고 해도 과언이 아닙니다. 예기치 못한 보안 사고, 정기 감사, 이사회 보고, 서드파티 업체 이슈, 각종 규제 대응 등 끊임없이 발생하는 문제에 시달립니다. 인포테크 리서치 그룹의 에릭 아바키안은 "많은 기업에서 CISO는 여전히 ‘보안 담당자’로 인식될 뿐, 진정한 비즈니스 리더형 경영진으로는 받아들여지지 않는다"고 지적합니다. 책임은 막중하지만 영향력은 그에 미치지 못하는 구조적 간극이 CISO들을 지치게 만드는 것입니다.

구조적인 문제: 역할 설계의 실패

그레이하운드 리서치의 산치트 비르 고지아는 "문제의 핵심은 역할 설계의 실패"라고 분석합니다. 기업은 보안 책임자에게 스스로 통제하기 어려운 위험에 대해 과도한 책임을 지우는 구조를 만들어왔습니다. 권한은 충분하지 않고, 이사회 지원도 일관되지 않으며, 사고가 발생하면 책임을 떠안는 위치에 놓이기 쉽습니다. CISO 역할이 수반하는 정서적 부담 역시 간과할 수 없는 문제입니다.

보상만으로는 해결 불가능

단순히 보수를 더 올려주는 것만으로는 근본적인 해결책이 될 수 없습니다. 물론 CISO에게 합당한 보상을 제공하는 것은 중요하지만, 구조적으로 잘못 설계된 역할을 금전적인 보상만으로 바로잡을 수는 없습니다. 기업은 보안을 책임지는 이들에게 ‘기업 차원의 위상’을 부여해야 합니다. 이는 CEO와 이사회에 직접 접근할 수 있는 구조를 의미하며, 전략을 수립하고 조직 전반과 관계를 구축해 영향력을 행사할 수 있어야 합니다.

실질적인 권한 부여가 핵심

CISO 이탈을 막는 가장 효과적인 방법은 CISO에게 역할 수행에 필요한 실질적인 권한을 부여하는 것입니다. 서드파티 위험을 책임진다면 조달 과정에서 거부권을 행사할 수 있어야 하고, 침해 사고 대응을 총괄한다면 예외를 어떻게 승인하고 문서화할지에 대한 권한 역시 가져야 합니다. 컴플라이언스, 사기 대응, 개인정보 보호, ESG까지 광범위한 책임을 부여하면서 이에 상응하는 인력과 예산, 조직 내 정치적 지원을 제공해야 합니다.

SEC의 칼날: 상장 기업 CISO의 불안감 증폭

미국 증권거래위원회(SEC)가 CISO를 기소 대상으로 검토하기 시작하면서 상장 기업 CISO들의 불안감이 더욱 커지고 있습니다. 침해 사고에 대한 법적 책임이 개인에게까지 미치고, 이사회의 지원이 형식적인 수준에 그친다고 느끼는 순간 CISO는 ‘이 일이 과연 감수할 가치가 있는가’라고 자문하게 됩니다.