C레벨 임원인 CISO는 조직 내에서 발생하는 모든 문제에 책임을 져야 하지만, 정작 업무를 권위 있게 수행하는 데 필요한 임원 수준 대우와 이사회 접근권은 제대로 보장받지 못하고 있다.
사이버보안 리더들은 업무를 제대로 수행하려면 반드시 이사회와의 소통이 필요하다고 인식하고 있다. 그러나 현실에서는 이사회에 쉽게 참여할 수 없는 상황이며, 이런 단절이 CISO의 직무 만족도를 떨어뜨리고 있다.
IANS와 아르티코서치(Artico Search)가 발표한 ‘2025 중소기업 CISO 보상 및 예산 보고서’에 따르면, 중소 및 중기업 CISO의 40%가 이사회 전체와의 접근권이 거의 없거나 전혀 없는 것으로 나타났다. 이사회와 소통할 수 없는 CISO 중 절반은 직무에 불만족을 느끼는 것으로 나타났으며, 분기별로 이사회와 접촉하는 CISO는 8%만이 직무에 만족한다고 답했다.
씨핀(XiFin)의 CISO 겸 최고 법무 및 준법 책임자이자 ISACA 회원인 마티 배럭은 “일부 기업에서 CISO는 문제가 생기면 비난만 받고, 정작 일을 제대로 수행하는 데 필요한 권한과 이사회 접근권은 보장받지 못한다. CISO 역할을 제대로 하려면 반드시 이사회 접근이 필요하다”라고 말했다.
CISO는 이사회와의 단절이 자신의 역할 수행에 어떤 영향을 미치는지 고민해야 한다. 또한 어렵게 확보한 이사회 접근권을 어떻게 실질적인 관계 구축으로 이어갈지 전략을 마련할 필요가 있다.
이사회 접근권 부족이 직무 불만족으로
이사회 접근권을 보장받지 못하는 CISO는 조직 내에서 종종 존재감이 묻힐 수 있다. 로직게이트(LogicGate) CISO 닉 카트만은 “많은 기업이 실제로는 이사급이나 선임 관리자를 고용하면서 직함만 CISO라고 부여한다. 하지만 이들은 실제 CISO 역할을 수행할 권한과 범위를 갖지 못한다”라고 말했다.
이들 CISO는 이사회나 CEO에 직접 보고하지 못하고 CIO, CTO 등 다른 임원에게 보고하는 구조에 묶여있다. 이러한 보고 체계는 여러 문제를 야기할 수 있다. CIO와 CTO의 주요 임무는 신기술 도입인 반면, CISO의 핵심 역할은 위험을 식별하고 조직의 보안을 확보하는 것이기 때문이다.
카트만은 “CIO가 특정 위험을 받아들이지 않거나 이를 해결하려 하지 않는다면 CISO를 최대한 억누르려 할 것”이라고 말했다.
CISO는 보안 사고가 발생했을 때 이사회에 위험을 보고하고 대응 예산을 확보할 기회조차 없었음에도 불구하고, 책임의 대부분을 떠안는 경우가 많다. 이런 상황은 곧바로 좌절감과 직무 불만족으로 이어진다.
배럭은 CISO 커뮤니티의 활발한 일원으로, ISACA 샌디에이고 지부 활동을 통해 동료들과 자주 교류하고 있다. 그는 “교류 중인 CISO들이 직무에 만족하지 못하고, 성공적으로 역할을 수행할 권한도 충분히 주어지지 않은 경우가 많았다”라고 말했다.
CISO의 좌절감은 잦은 이직과 짧은 임기로 드러난다. 사이버보안벤처스(Cybersecurity Ventures) 2023년 보고서에 따르면 CISO의 평균 재임 기간은 18~26개월에 불과했다. 베드록데이터(Bedrock Data) 보안 책임자이자 IANS 교수 자문위원인 조지 거초는 “지난 2년 동안 많은 CISO가 떠났고 다시 돌아오지 않았다. 이제는 다른 길을 모색하고 있다”라고 말했다.
거초는 비효율적인 보고 체계로 인한 좌절감을 직접 경험했다. 이전 회사에서 처음에는 적절한 보고 라인을 통해 업무를 수행했지만, 조직 개편으로 소통 채널이 바뀌었다. 이후 상사와 1대1로 대화하는 기회가 거의 없었고, 이사회 역시 그의 보고에 관심을 점점 덜 기울였다. 거초는 “벽이 생긴 것처럼 느껴졌고, 팀원들도 흔들리기 시작했다. 동료들이 회사를 떠나는 걸 보면서 붙잡기도 어려웠다. 아마도 내가 결정을 너무 늦게 내렸을지 모르지만, 결국 스스로 그만두게 됐다”라고 말했다.
거초는 현재 베드록데이터에 합류하면서 이사회 보고를 절대 양보할 수 없는 조건으로 걸었다. 그는 “내 계약서에는 반드시 CEO나 이사회에 직접 보고해야 한다고 명시했다”라고 설명했다.
이사회와의 관계 구축
CISO 이그제큐티브 네트워크(CISO Executive Network)는 1,500명 이상의 정보보안 전문가가 참여하는 네트워크 조직이다. 이 단체의 총괄 매니저 앤디 랜드는 “회원 대부분이 이사회 접근권을 확보하고 있다”라면서도 “문제는 그 접근을 통해 본질적으로 유의미한 성과를 내고 있느냐는 점”이라고 말했다.
이사회 앞에 서는 것과 사이버보안 필요성을 효과적으로 전달해 실제 지원을 이끌어내는 것은 전혀 다른 문제다. 이를 위해서는 먼저 C레벨 동료와의 관계 구축이 필요하다. CISO가 여전히 다른 임원에게 보고하는 구조에 놓여 있더라도, 동료 임원들의 우선순위를 이해하고 사이버보안이 어떻게 그와 조화를 이룰 수 있는지 파악하는 과정이 중요하다.
배럭은 “CISO는 임원 직책이다. 임원으로서 동료와의 관계에 전적으로 의존하며, 혼자서는 아무것도 할 수 없다”라고 말했다. 따라서 다른 임원과 대립하기보다 협력하는 방식으로 일해야 CISO가 이사회 앞에서 주어진 시간을 최대한 효과적으로 활용할 수 있다.
이사회가 한 번 관심을 보이면 그 관심을 계속 유지하는 것이 중요하다. 이를 위해서는 초기 채용에 도움이 됐던 기술적 전문성보다 비즈니스 리더십에 초점을 맞춰야 한다. 이사회 구성원들은 전문 분야가 저마다 다르지만, 대체로 회사의 재무적 성과에 주된 관심을 가진다. 따라서 CVE나 최신 랜섬웨어 조직에 대한 기술적 이야기는 이사회의 동기를 자극하는 데 별 도움이 되지 않을 수 있다.
배럭은 “대부분의 이사회와 임원은 판단이 빠르고 냉정하기 때문에, 신뢰를 잃으면 회복하기가 매우 어렵다. 그들은 CISO의 역량 수준을 순식간에 평가한다”라고 말했다.
CISO가 비즈니스의 다양한 영역이 어떻게 운영되는지, 그리고 이사회 구성원들이 무엇을 중시하는지 파악하는 데 시간을 들인다면 더 긍정적인 반응을 얻을 가능성이 크다. 카트만은 “만약 이사회가 전부 영업 출신으로 구성돼 있다면, 사이버 리스크를 매출 손실, 영업 파이프라인 손실, 고객 이탈과 연결 지어 설명해야 비로소 관심을 끌 수 있을 것”이라고 말했다.
CISO 직책은 아직 비교적 새로운 역할이다. 사이버보안의 중요성은 점점 커지고 있지만, 이사회 보고 문제는 여전히 흔한 불만 요인으로 남아있다. 동료 임원이나 이사회가 자신에게 충분한 권한을 부여하지 않는다고 느끼는 CISO라면, 조직 내 커뮤니케이션 방식과 장기적 관점에 대한 접근법을 재점검할 시점일 수 있다.
CISO 이그제큐티브 네트워크 설립자 빌 시글라인은 “이사회로부터 필요한 지원을 받지 못한다면, 새로운 기회를 모색할 때일 수 있다. 그 원인은 2가지 중 하나다. 의사소통이 제대로 되지 않았거나, 조직이 당신을 지원하지 않는 것”이라고 말했다.
dl-ciokorea@foundryco.com
