by
Mar 29. 2024
[넋두리 4] 9. 현실은 교과서와는 다르더라
CISO는 참 많이 고된 자리
기업의 정보보호 최고책임자(이하 CISO)라는 자리는 정보보호 분야에서 근무하는 직장인들에게는 나름 선망의 자리이다. 기업 내에서 보안을 전담하는 직원이 올라갈 수 있는 최고 높은 직급이기 때문이다. 나 역시 보안분야에 몸을 담고 있으면서 CISO 자리로의 기회가 생기길 호시탐탐 노리며 시장을 주시하고 있었고, 혹시 CISO가 된다면 펼쳐보리라던 혼자만의 비전과 기대와 희망을 가슴속에 품고 있었더랬다.
그리고 드디어 CISO로 출근하게 되었다. 아직도 흥분으로 벅차올랐던 가슴과 새로운 희망으로 가득 찼던 첫 출근의 그날이 기억난다. CISO가 되기만 하면 보안의 모든 문제를 해결하리라는 야심과 의지로 꾹꾹 차 있었던 그때. 불가능은 없어 보였던 그때. 살만큼 살아서 이제 세상을 충분히 안다는 생각이 착각이란 걸 몰랐던 그때. 아직 모르는 세상이 있음을, 예전에는 경험해보지 못한 세상이 있음을 자각하지 못했던 그때. 돌이켜보면 그때의 나는 의욕만 흘러넘치고 아직 준비되지 않은 초보였다.
그랬다. 전혀 몰랐기에 마음의 준비도 되어 있지 못했던 그런 세상을 만나게 된 것이다. 어쩌면 먼저 거쳐간 사람들을 통해 이런저런 얘기들을 들었을 수도 있지만 한 귀로 듣고 다른 귀로 흘려버렸었던 것 같다. 사람들은 CISO가 무슨 대단한 자리라도 되는 듯 착각한다는 얘기를. 나 역시도 그랬다. 그리고 실제로 경험해 보니 CISO란 자리는 항상 정신적 압박에 시달리는 그저 그렇고 그런 전문직 직장인에 불과했다.
CISO란 참 요구받는 게 많은 자리였다. 각종 매체에서는 부담스럽게도 걸핏하면 기업의 CISO라면 무엇 무엇을 해야 한다는 내용이 담긴 기사가 튀어나왔다. 정부에서도 걸핏하면 CISO들이 무엇 무엇을 해주길 기대한다는 뉘앙스로 요구사항이 튀어나왔다. 그런 내용들을 접할 때마다 항상 난감했다. 하기 싫은 게 아니라 권한과 능력이 안돼 할 수 없기 때문이었다.
대부분의 기업들이 보안을 중시하는 분위기로 바뀐 것은 사실이지만 그렇다고 보안조직을 중요한 전략적 부서로 인정하고 있다는 의미는 아니다. 대체로 아직도 보안조직을 돈 버는 부서가 아닌 예산만 사용하는 비용 부서로 취급하는 상황이므로 중요한 자리와 권한은 주지 않기 때문이다. 즉, 회사 경영의 중요 파트너로는 인정하지 않는 것이다. 딱 거기까지가 현재 CISO와 보안조직이 위치한 현실이다.
CISO란 참 애매한 자리였다. 분명 임원이라고 대외적으로는 소개하고 있고 일부 기업들에서는 분명히 임원 대접을 받고 있기도 하다. 하지만 그건 일부에서 일 뿐이다. 법에서도 임원급이라는 애매한 표현을 사용하고 있음을 봐도 알 수 있듯 많은 기업에서 CISO는 임원인 듯 아닌 듯 애매한 위치에 서 있다. 실제로 많은 기업에서 CISO를 임원회의에 참석시키지 않는 경우도 다반사다. 기업의 중요한 경영정보를 공유받지 못하는 처지인 것이다.
기업의 핵심사업이 정보기술 서비스에 근간을 두고 있는 IT기업이라면 상황이 더 좋을 수도 있겠지만 일반 기업에서는 소수의 IT부서 임원 외 다른 임원들과는 도통 접점이 없어 소통하거나 만날 일도 극히 적다. 마치 임원들 중의 아웃사이더 같은 처지. 임원 아닌 임원급. 그게 CISO가 현재 위치한 처지다.
CISO란 참 위험한 자리였다. 열심히 일해도 자리에서 쫓겨날지 모르니 말이다. 개인정보 유출과 같은 중대한 침해사고가 발생하면 언제든 쫓겨날 수 있는 불안한 자리였다. 간혹 다른 높은 임원들과 의견 충돌이 발생해 눈밖에 나는 것만으로도 쫓겨날 수 있어 자신의 의견과 주장을 강하게 펴지 못한다. 그만큼 기업 내에서 힘없는 임원(급)이었다.
혹 보안조직의 규모가 수 십 명 혹은 수 백명인 기업의 CISO라면 막강한 권한을 가지고 있지 않겠냐고 말하기도 한다. 맞는 말이다. 조직의 규모가 크면 권한도 커진다. 그러나 하나만 알고 둘은 모르는 소리이기도 하다. 많은 보안인력이 필요한 이유는 지원이 필요한 IT서비스의 규모가 크다는 것을 뜻하고 동시에 많은 침해사고가 있다는 의미이기 때문이다. 대체로 가지 많은 나무에 바람 잘날 없다고 잦은 침해사고로 부침을 겪는 조직의 CISO에겐 그만큼의 책임도 커서 중대한 침해사고로 비롯된 자리 보존의 위험에 항상 노출되어 있다.
혹자는 이렇게 말한다. CISO라면 당당히 임원회의에 들어가서 정보보안 조직을 위해 항변해야 하지 않냐고 말이다. 슬프게도 맞는 말이고, 보안조직의 최고책임자인 CISO가 응당 해야만 하는 일이다. 보안조직의 능력 향상, 연봉 상승, 승진, 환경 개선 등등. 모두 CISO가 챙겨야 할 책임이다.
그러나 매년 계약 갱신을 위해 노심초사해야 하는 단기 일 년의 계약직 직원, 임원들 사이의 아웃사이더, 예산만 축낸다는 비용 부서의 책임자라는 꼬리표를 달고 있는 임원 아닌 임원급, 회사 내 맨 구석진 곳에 위치해 직원들이 어디에 있는지도 모르는 보안조직의 책임자 CISO에게는 하고자 하는 의욕은 있으나 달성하기 쉽지 않은 요구들이다.
관련 글: [넋두리] 1. 굴러온 돌은 힘들다 https://brunch.co.kr/@sunwoodowoo/2
