"CISO, CEO에 직접 보고 비중 82%로 높아져"
시스코 자회사로 사이버 보안 및 옵저버빌리티 전문기업인 미국 스플렁크(Splunk)가 영국 경제 연구기관 옥스퍼드 이코노믹스(Oxford Economics)와 함께 글로벌 연구 보고서 'CISO 리포트 2025 (The CISO Report 2025)'를 최근 발표했다. 이 보고서에는 최고정보보호책임자(CISO, Chief Information Security Officer)와 이사회를 대상으로 조사한 비즈니스 목표와 전략, 주요 우선순위 등에 대한 내용이 종합적으로 담겼다. 최고정보보호책임자(이하 CISO)가 C레벨 경영진으로 자리 잡으면서, CISO는 이사회와 더 자주 협업하고 CEO와 직접 소통하며, 전략적인 비즈니스 의사 결정을 내릴 수 있는 권한을 갖게 됐다. 이번 설문에 응답한 CISO의 82%가 CEO에게 직접 보고하고 있다고 답했는데, 이는 2023년(47%) 대비 크게 증가한 수치다. 또 83%의 CISO는 이사회 회의에 자주 또는 대부분 참석한다고 답했다. 응답자 60%는 사이버보안 경력을 보유한 이사회 구성원이 보안 관련 결정에 더 큰 영향을 미친다고 답한 반면, 이사회에 최소 한 명 이상의 보안 전문성을 가진 구성원이 있다는 응답은 29%에 불과했다. 마이클 패닝(Michael Fanning) 스플렁크 최고정보보호책임자는 “사이버 보안이 비즈니스 성공의 핵심 요소로 자리 잡으면서, CISO와 이사회는 보안 격차를 해소하고 더 긴밀히 협력하며, 상호 이해를 높일 더 많은 기회를 얻게 됐다”며 “이는 CISO가 단순히 IT 분야를 넘어 비즈니스 전체를 폭넓게 이해하고, 보안 투자로 얻을 수 있는 이익(ROI)을 이사회에 효과적으로 설명할 수 있는 새로운 방법을 찾아야 한다는 것을 의미한다"고 짚었다. 이어 "반면, 이사회는 보안을 최우선으로 고려하는 기업 문화를 만들고, 기업의 리스크 관리와 운영 방식과 관련된 중요한 의사 결정을 내릴 때 CISO를 핵심 이해관계자로 인정하고 CISO의 역할을 적극적으로 반영해야 한다"면서 "이를 위해서는 이사회가 사이버 보안에 대한 세부 내용을 학습하고, CISO는 비즈니스 언어와 요구 사항을 깊이 이해하며, 보안을 단순한 방어 수단이 아닌 비즈니스 성장의 촉진 요소로 인식하는 것이 필요하다”고 강조했다. 셰팔리 무켄체리(Shefali Mookencherry) 일리노이 시카고 대학교의 최고정보보호 및 프라이버시 책임자는 “고등 교육 기관에서 사이버 보안과 프라이버시 프로그램을 효과적으로 운영하려면, 이사회 구성원, 프라이버시 담당자, 직원, 교수진, 학생 등 다양한 구성원과 긴밀히 협력하고 소통하는 것이 중요하다. 그래야 운영 전반에 보안이 자연스럽게 스며들 수 있다”고 말한다. 이어 “CISO 역할이 점점 더 복잡하고 중요해지면서, 보안 책임자는 보안 요구 사항과 비즈니스 목표, 조직 문화를 균형 있게 조율할 수 있어야 한다”며 “다양한 부서와 이해관계자들과 탄탄한 관계를 구축함으로써, CISO는 사이버 보안과 프라이버시를 발전시키는 데 필요한 리더십과 방향성을 제공할 수 있다”고 덧붙였다. CISO와 이사회간 협력으로 얻는 성과 CISO 경력을 가진 이사회 구성원들은 보안 팀과 더 긴밀하게 협력하며 조직의 보안 상황에 대해 더 확신한다. 이들이 '우리 조직이 보안을 충분히 강화하지 못하고 있다'고 걱정하는 비율은 37%로, 다른 이사회 구성원들의 평균(62%)보다 상대적으로 낮았다. 또한 CISO와 이사회가 다음과 같은 분야에서 좋은 협력 관계를 유지하고 있다고 평가했다. -사이버 보안 목표 설정 및 조율 (CISO 출신 구성원을 포함한 이사회 80% vs CISO 출신 구성원이 없는 이사회 27%) -보안 목표 달성과 진행 상황 공유 (CISO 출신 구성원을 포함한 이사회 60% vs CISO 출신 구성원이 없는 이사회 16%) -보안 목표 달성을 위한 충분한 예산 확보(CISO 출신 구성원을 포함한 이사회 50% vs CISO 출신 구성원이 없는 이사회 24%) 아울러 이사회와 원활한 관계를 유지하는 CISO들은 조직 전반에 걸쳐 여러 부서들과 긴밀하게 협력하는 것으로 나타났다. 특히 IT 운영팀과 협력한다고 답한 CISO들의 비율은 82%로, 이사회와 관계가 원활하지 않은 CISO들의 69%보다 높았고, 엔지니어링팀과 협력하는 경우도 74%로, 다른 CISO들의 63%보다 많았다. 또한 이들은 보안 업무에 생성형 AI를 활용하는 기회도 다른 CISO 대비 더 많이 얻고 있다. 특히 위협 탐지 규칙 생성(43% vs. 31%)이나 데이터 분석 수행 (45% vs. 28%), 사이버 공격 대응 및 조사(42% vs. 29%), 사전 위협 탐지(46% vs. 28%)와 같은 업무에서 확인된다. 우선순위, 역량 강화, 성과 지표에 대한 CISO와 이사회간시각 차이 CISO와 이사회는 보안의 중요성을 점점 더 비슷하게 인식하고 있지만, 여전히 시각 차이를 보이는 부분도 있다. 특히 CISO와 이사회가 중요하게 여기는 부분에서 가장 큰 차이를 보이는 것은 다음과 같다. -새로운 기술을 통한 혁신 (CISO 52% vs. 이사회 33%) -보안팀 직원의 역량 강화 및 재교육 (CISO 51% vs. 이사회 27%) -회사 수익 성장에 기여 (CISO 36% vs. 이사회 24%) 또한 이사회는 CISO가 더 뛰어난 비즈니스 리더가 되기 위해 새로운 역량을 키우기를 기대한다. 하지만 새로운 기술을 배우는 것은 CISO의 업무를 더욱 복잡하게 만든다. 실제로 CISO의 53%가 이 직책을 맡은 후 업무 부담과 기대치가 더 커졌다고 답했다. CISO가 발전시켜야 할 역량에 대한 질문에서는 다음과 같은 부분에서 이사회와 CISO가 큰 차이를 보였다. -비즈니스 감각 (이사회 55%/CISO 40%) -감성 지능 (Emotional intelligence) (이사회 45%/CISO 35%) -의사소통 능력 (이사회 52%/CISO 47%) -규제 및 컴플라이언스(규정 준수) 지식 (이사회 44%/CISO 57%) 이사회와 CISO는 사이버 보안 성과 핵심 지표(KPI)에 대해 대체로 비슷한 의견을 갖고 있지만, CISO의 79%는 최근 몇 년 사이 보안팀의 KPI가 크게 달라졌다고 답했다. 또한 CISO의 46%는 보안 목표를 달성하는 것이 중요한 성과 지표라고 생각하지만, 이사회에서 이와 같이 생각하는 사람은 19%에 불과했다. 비즈니스의 필수 요소가 된 규정 준수 법과 규정이 점점 더 복잡해지고 적용 범위도 넓어지면서 규정을 어길 경우 처벌도 강화되고 있다. 그만큼 보안 사고가 발생하면 더 빠르게 보고되어야 하고, CISO의 책임도 더욱 커지고 있다. 기업 운영에 있어 규정을 준수하는 것은 매우 중요하지만, 이를 가장 중요한 성과 지표로 꼽은 CISO는 15%에 불과했다. 반면, 이사회에서는 45%가 규정 준수를 최우선 성과 지표로 꼽아 CISO와 큰 인식 차이를 보였다. 또한 CISO의 21%는 규정 위반 문제를 보고하지 말라는 압력을 받은 적이 있다고 답했지만, 59%는 조직이 규정을 무시할 경우 내부 고발자가 될 의향이 있다고 밝혔다. 사이버 보안 위험으로 이어질 수 있는 예산 삭감 사이버 보안 예산이 충분하지 않거나 제대로 지원되지 않는 경우도 많다. 실제 보안 목표를 달성하는 데 필요한 예산을 받고 있다고 답한 CISO는 29%지만, 사이버 보안 예산이 적절하다고 생각하는 이사회 구성원은 41%에 달해 두 그룹 간의 인식 차가 확인됐다. 현재의 보안 위협과 규제 환경 속에서 CISO의 64%는 '지금의 대응이 충분하지 않다'고 우려하고 있다고 밝혔다. 또한 CISO의 18%는 지난 12개월 동안 예산 부족으로 인해 중요 비즈니스 프로젝트를 지원하지 못했다고 답했으며, 64%는 예산 삭감이 결국 사이버 공격으로 이어졌다고 답했다. . CISO들은 비용 절감 조치로 인해 보안 솔루션 및 도구 축소(50%), 보안 인력 채용 중단(40%), 보안 교육 축소 또는 폐지(36%)와 같은 영향을 받았다고 밝히기도 했다. 게다가 CISO의 94%는 사이버 공격을 경험했으며, 55%는 최소 두 번 이상의 사이버 공격을, 27%는 여러 번 사이버 공격을 경험했다고 밝혔다.
