기업 경영의 측면에서 역할 더욱 커져...요구되는 능력도 달라지고
조직 구성에 대한 고민도 깊어져...CISO 되려면 이직이 더 유리할 수도

[보안뉴스 문가용 기자] 올 한 해 CISO의 역할이 보다 ‘통합적’ 혹은 ‘총체적’으로 변모했다. 보안과 IT만이 아니라 사업 운영 측면에서도 부과된 책임을 담당하기 시작했다는 것이다. CISO의 정체성이 변해가고 있다.


이는 포춘 500대 기업에 소속된 CISO들을 만나서도 확인할 수 있는 사안이었다. 포레스터 리스치(Forrester Research)가 조사한 바, 45%가 “IT와 보안만 담당하다가 점점 사업 쪽으로 해야 할 일들이 생기고 있다”고 증언했다. 길게 잡아도 20년도 되지 않은 직무가 전혀 다른 분야로도 확장되고 있다는 것이, 정보보안이라는 분야 자체의 변화를 설명해주고 있다.

“CISO의 자리가 2014년만 해도 C급 임원들 중 바깥에 있었는데, 어느 새 중앙에 근접해 있는 모습입니다. 사업을 기획하고 운영하는 것에 있어 데이터 의존도와 소프트웨어 의존도가 그만큼 높아졌다는 뜻입니다. 보안은 앞으로 더욱 중요해지고, CISO들은 중앙 핵심 자리에서 사업을 논하게 될 것입니다.” 포레스터의 수석 분석가인 제프 폴라드(Jeff Pollard)의 설명이다.

기존 CISO들의 역할이란 내부 네트워크와 기업 내 엔드포인트들을 보호하는 것이었다. 또한 고객들의 정보를 보호하는 것도 이들의 역할이었다. 즉 ‘내부적인 일’에 치중되어 있었던 것이다. “숨어서 일하는 사람이었죠. 그런데 이제 점점 외부로 모습을 드러내기 시작했어요. 고객의 정보를 보호하는 것에서 고객 자체를 보호하는 것으로 책임이 확대되기도 했고, 일반 소비자들을 위한 상품과 서비스의 보호에도 관여를 해야 하니까요.”

하이브리드 클라우드 업체 세이프티(Safe-T)의 공동 창립자인 에이탄 브렘러(Eitan Bremler)는 “네트워크의 경계선이라는 것이 매우 작았던 시절이 지나갔다”고 말한다. “모든 회사가 섬처럼 운영되던 때였죠. CISO들은 자기가 차지한 무인도만 열심히 지키면 되는 사람들이었어요. 그런데 디지털화가 급격히 진행되면서 섬들이 마구 이어지기 시작했고 온갖 교류가 일어나니 CISO가 외곽 순찰만 할 수 없게 된 겁니다.”

그러면서 CISO에게 요구되는 능력들도 변하고 있다. IT 기술에 대한 해박한 지식은 물론 사업과 경영, 인적 관리에 대한 스킬들도 필요하게 된 것이다. 또한 요구되는 학위도 올라가고 있다. 아직까지 석사 학위가 필수조건으로 내걸리지는 않지만, 포춘 500대 기업에 근무하는 CISO들 중 43%는 석사 학위를 가지고 있다. 현재 CISO들 사이에서 가장 인기가 많은 석사 학위는 컴퓨터 과학과 정보 시스템인 것으로 나타났다.

“한 마디로 ‘기술적’인 것에서 ‘전략적’인 직무로 변하고 있는 중이라고 보면 됩니다. 물론 그렇게 변할 수 있는 것도 기술적인 실력이 뒷받침되기 때문에 가능한 것이지요. 즉 CISO들에게 거는 기대감이 변했다기보다 높아졌다고 하는 게 더 맞을 거 같습니다. 안전하게 회사를 운영할 수 있는 사람, 그럴만한 지식을 가지고 있는 사람이 CISO 외에 없는 것도 사실입니다.” 폴라드의 설명이다.

이에 CISO가 이끌고 있는 조직에도 변화가 생기고 있다. IT를 전적으로 담당하는 이들과 위험 관리(risk management)를 담당하는 이들로 나뉘고 있는 것. 브렘러는 “이전에는 CISO라는 타이틀을 가지고 있던 사람이 CRO(Chief Risk Officer)라는 새로운 직책을 부여받은 경우도 있다”며 “CRO가 빠르게 CISO와 동급이 되어가고 있는 현장도 목격했다”고 말한다. 조직의 변화는 업체마다 달라 네트워크 부분을 CIO가 가져가는 경우도 있고, CISO는 보다 전략적이고 경영적인 측면에 집중하게 되기도 한다.

“이제 CISO가 기기 하나하나 직접 들여다보는 장면은 보기 힘들어졌죠. 더 중요한 일을 담당해야 하니까, 기기에서 장애나 보안 문제가 발생하면 외주 업체에 보내버리는 관례가 자리 잡았습니다. 또 CISO들 사이에서 인적 관리에 대한 고충이 늘어나고도 있습니다. 있는 사람들을 관리하는 것부터 새로 팀을 구성하는 것까지 ‘운영자’의 고민을 하기 시작했습니다.”

여기에 새롭게 등장한 신기술들도 CISO를 변화시키고 있다. 폴라드는 “인공지능, 데이터 시각화, 오케스트레이션 등 보안 업무를 보다 효율적으로 만들어주는 기능들이 개발되면서 CISO가 상대적으로 보안에 쏟는 시간의 질을 높일 수 있게 되었다”며 “그래서 사업 운영과 전략이라는 측면에 더 관여할 수 있게 됐다”고 설명한다.

평균 근속 기간도 늘어났다. 포춘 500대 기업의 CISO의 평균 근속 기간은 4.5년인 것으로 나왔다. 이전보다 높아진 숫자다. “근속 기간이 늘어났다는 건 회사가 CISO의 중요성을 인지하고 제대로 관리 및 대우하기 시작했다는 뜻입니다. 이전에는 보안에 대한 가치를 눈으로 보고 계산할 수 없으니, CISO들에 대한 대우가 들쭉날쭉 했죠. 한 가지 투자처로만 인식했던 것입니다.”

하지만 직장 내 말단 보안 담당자에서 CISO까지 승진하는 경우는 드물었다. 포춘 500대 기업의 경우 이는 더 심해 거의 60%에 가까운 현직 CISO들이 영입된 외부 인사였다. 포춘 100대 기업은 이 수치가 64%로까지 올라간다. 큰 기업일수록 보안을 맡길 때 ‘잘 아는 내부 담당자보다 더 뛰어나 보이는 사람’을 선호하는 것으로 분석된다. 그만큼 보안이 중요해진다는 뜻이다. 폴라드는 “포춘 선정 대기업에서 CISO가 되고 싶다면, 직장을 옮기는 것도 좋은 전략이 될 수 있다”고 귀띔한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>