CISO의 진화: 역할의 변화

최고 정보 보안 책임자(CISO)는 주로 사이버 보안에 중점을 두고 때로는 독점적으로 사이버 보안에 업무를 수행합니다. 그러나 오늘날의 정교한 위협과 진화하는 환경에 따라 기업은 많은 역할의 책임을 옮기고 있으며 이러한 변화의 최전선에는 CISO의 역할 확대가 있습니다. Gartner에 따르면 규제 압박과 공격 표면 확대로 인해 2027년까지 CISO의 업무 중 45%가 사이버 보안 이상으로 확장될 것이라고 합니다.

CISO의 책임 범위가 빠르게 변화하는 상황에서 미래의 사이버 문제에 대처하기 위해 CISO의 역할은 어떻게 조정될까요?

Steve Katz는 1995년 Citicorp/Citigroup에 입사하여 세계 최초의 CISO가 되었습니다. CISO의 여정을 시작할 때부터 Katz는 이 역할이 단순한 IT 직책이 아니라 리스크를 줄여 비즈니스에 도움이 되는 일이라는 것을 깨달았습니다. 그 후 몇 년 동안 다른 조직에서도 이 새로운 직책을 추가했으며, 대부분의 조직 구조에서 CISO가 CIO에게 보고했습니다. 많은 CISO가 자신의 역할의 본질을 인식했지만, 그들의 조직은 같은 생각을 하지 않는 경우가 많았습니다.

시간이 흐르면서 CISO는 파트너십 구축, 공급업체와의 협력, 외부 데이터 전송 관리 등 조직 외부의 문제를 관리하게 되었습니다. 그러나 많은 조직은 여전히 주요 사이버 보안 침해나 공격으로 인해 비즈니스가 헤드라인에 오르지 않도록 하는 것이 가장 중요한 책임으로, 그 역할이 주로 IT 영역에 머물러 있다고 생각했습니다. 이는 많은 CISO가 주로 규정 준수 및 위험 관리에 중점을 두었다는 것을 의미합니다.

최근 몇 년 동안 사이버 공격이 증가하고 비즈니스 중단, 벌금 및 평판 손상의 위험이 증가함에 따라 CISO의 역할은 또 다른 중요한 변화를 맞이했습니다. Splunk의 CISO 보고서에 따르면 설문 응답자 중 86%가 CISO가 된 후 역할이 너무 많이 바뀌어 거의 다른 직업이 되었다고 답했습니다. 이 역할은 주로 기술적인 역할에서 비즈니스 리더의 역할로 바뀌었습니다.

CISO는 사이버 보안을 구현하는 대신 조직의 리더가 사이버 보안의 중요성을 이해하고 조직의 사이버 전략에 대한 전략적 사고를 주도하도록 돕는 데 중점을 둡니다. CISO는 IT 부서에서 쉽게 접할 수 있는 기술 언어와 고위 경영진이 사용하는 비즈니스 언어 사이의 격차를 해소합니다.

Splunk 보고서에 따르면 이러한 변화로 인해 조직 구조가 재편되어 CISO의 47%가 현재 CEO에게 직접 보고하고 있습니다. CIO 대신 CISO가 CEO에게 답변하도록 함으로써 조직은 사이버 보안의 중요성을 주요 우선순위로 보여줍니다. 또한 CISO는 이제 경영진, 심지어 이사회에서도 더 큰 영향력을 발휘하고 있습니다.

사이버 보안 전문가들은 CISO의 역할이 비즈니스에 중점을 두어야 하는지 기술에 중점을 두어야 하는지에 대해 토론합니다. 앞으로 나아갈수록 그 답은 확고하게 가운데에 놓이게 될 것입니다. 오늘날의 성공적인 CISO가 진정으로 성공하려면 그 어느 때보다 기술과 비즈니스 통찰력을 겸비해야 합니다.

CISO는 단순히 조직이 사이버 보안 및 위험 측면에서 공통의 언어를 사용하도록 돕는 대신, 전체 조직에 대한 사이버 보안 전략을 소유하는 더 큰 리더십 역할을 맡게 될 것입니다. 프로필과 책임이 증가함에 따라 다른 직원들도 조직 내에서 사이버 보안의 중요성을 깨닫게 될 것입니다.

지난 수십 년 동안만 존재했던 새로운 임원 직책 중 하나인 CISO는 Katz의 발표 이후 상당히 발전했습니다. 위협이 더욱 정교해지고 비즈니스가 점점 더 디지털화됨에 따라 사이버 보안 공격으로 인한 비즈니스 중단은 기업의 모든 측면에 영향을 미치는 경우가 많습니다. 조직이 사이버 보안의 중요성이 커지고 있음을 인식하고 CISO 역할을 발전시킬 경우 모든 직원과 경영진이 사이버 보안을 자신의 업무로 여기는 문화를 조성할 수 있습니다.