[덕] CISO 패러독스

막중한 책임에 비해 미미한 권한 (25.03)

막중한 책임과 미미한 권한

최고정보보안책임자(CISO)라는 직함은 CEO나 CFO와 같은 다른 "최고" 임원들이 누리는 수준의 권한, 즉 조직의 보안 운영, 전략 및 자원 할당에 대한 통제권을 가지고 있음을 시사한다. 그러나 대부분의 CISO에게 진정한 통제권은 종종 좌절스러운 환상에 불과하다. 그들은 조직의 가장 민감한 정보를 보호하는 임무를 맡고 있지만, 필수적인 결정을 자율적으로 내릴 수 있는 실제 영향력은 거의 없다고 할 수 있다.

리더십과 통제권: 어디로 갔나?

의사결정, 자원 및 인력에 대한 통제권을 갖는 것은 효과적인 리더십의 기본이라고 할 수 있다. 군대와 같은 분야에서 통제권은 책임과 동의어로서 리더들은 행동할 권한이 있기 때문에 책임을 질 수 있다. CISO에게 이러한 통제권의 부재는 단순한 도전 과제가 아니라 근본적인 결함이다.

CISO 역할의 현실은 "최고" 지위에도 불구하고 많은 이들이 조직의 보안 태세에 영향을 미치는 일방적인 결정을 내릴 권한이 없다는 것이다. 예산 승인, 중요한 보안대책 배포, 정책 변경 시행 권한은 종종 다른 경영진들 사이에 분산되어 있습니다. 사이버 보안 투자, 정책, 심지어 인력 충원에 대한 결정은 종종 CFO, CIO 또는 CEO의 권한 하에 있습니다.

통제권의 부재로 인해 CISO의 사이버 보안 의사 결정 과정은 지루하고 종종 좌절스러운 과정이 되고 있다. 그들은 보안 문제가 현실화되기 전에 예측하고 해결해야 할 것으로 기대되나 통제권이 없으면 보안 투자의 중요성을 "세일즈"하고, 승인을 기다리며, 다른 경영자들의 투자 우선순위에 포함되기를 기다려야 한다. 이러한 지속적인 동의/승인 필요성은 대응 시간을 늦추고 보안사고가 발생할 기회를 만들기도 한다. 타이밍이 모든 것인 사이버 보안에서 이러한 지연 현상은 많은 비용을 초래할 수 있다.

소방수 역할

또한 CISO가 진정한 통제권이 없는 조직에서는 선제적이 아닌 반응적으로 운영할 수밖에 없다. 예를 들어, CISO가 최신 위협 탐지 소프트웨어나 직원 교육의 필요성을 인식할 수 있지만, 예산과 자원 할당에 대한 통제권이 없으면 이러한 조치를 직접 구현할 수 없다. 대신 비용을 정당화하고, 이해관계자들에게 그 중요성을 설득하며, 다른 비즈니스 우선순위와 일치하기를 기대해야 한다. 이러한 의존성은 그들의 전략적 능력을 약화시키고 그들의 역할의 필요성을 지속적으로 검증하도록 강요하는 결과를 초래하기도 한다.

더욱이 사이버 위험을 경영진의 다른 구성원들에게 이해하기 쉽고 관련성 있게 만드는 과제도 쉽지 않다. 사이버 위험은 잘 확립된 지표와 성과 지표를 사용하여 정량화하고 평가할 수 있는 재무 또는 운영 위험만큼 명확하지 않다. 사이버 위험은 종종 모호하고 추상적이다. 새로운 취약점이 하룻밤 사이에 발생하고, 위협은 계속 진화하며, 사이버 공격의 영향은 크게 다를 수 있기 때문이다.

사고 나면 비난의 화살은 CISO에게

이 상황을 특히 어렵게 만드는 것은 결국 CISO가 여전히 실패에 대한 책임을 지게 된다는 것이다. 침해가 발생하거나 취약점이 노출될 때, 비난의 대상이 되는 것은 CISO이다. 그들은 이러한 사건을 관리하고 예방해야 할 것으로 기대되지만, 필요한 조치를 시행할 권한 없이는 실패할 수밖에 없다. 예를 들어, CEO는 일반적으로 회사의 전략적 방향과 자원에 관련된 결정을 통제할 수 있지만, CISO는 같은 수준의 통제권 없이 침해를 예방해야 한다. 그들은 통제권 없이 책임만 있으며, 이는 누구도 성공으로 이끌지 못할 것이다.

통제권 부재의 폐단

통제권이 없으면 그들은 단지 조언만 할 수 있고 강제할 수는 없다. 동료들에게는 이로 인해 CISO가 리더가 아닌 중간 관리자로 보일 수 있으며, 이사회에는 CISO가 자신의 임무를 완전히 수행할 수 없는 것처럼 보일 수 있다. 시간이 지남에 따라 이는 역할에 대한 신뢰와 CISO가 조직으로부터 필요한 지원을 확보할 수 있는 능력을 모두 약화시킨다.

내부적으로, 통제 권한의 부재는 CISO와 자신의 팀과의 관계에도 영향을 미칠 수 있다. 보안 팀은 실시간으로 위협에 대응하고 필요에 따라 새로운 프로토콜을 구현하는 등 긴급성을 가지고 일할 것으로 기대된다. 그러나 CISO가 자원에 대한 최종 결정을 내리거나 필요한 변경 사항을 강제할 권한이 없을 때, 팀의 사기가 저하될 수 있다. 팀은 자신 있고 명확한 결정을 내릴 수 있는 리더 아래에서 번성하지만, CISO가 지속적으로 다른 사람들에게 의존해야 할 때, 이는 CISO와 조직의 보안에 대한 헌신에 대한 팀의 신뢰를 약화시킬 수 있다.

CISO에게 책임에 걸맞는 통제권을...

이러한 통제권 부재의 결과는 조직의 전반적인 보안 태세에 실제적이고 가시적인 영향을 미친다. 따라서 조직이 진정으로 자신을 보호하고자 한다면, CISO에게 진정한 통제권이 필요하다는 것을 인식해야 한다. 가장 효과적인 CISO는 지속적인 내부 장애물 없이 자신의 영역에 대해 완전한 권한을 가지고 운영할 수 있어야 한다. 기업들이 데이터를 가장 잘 보호하는 방법을 고려할 때, 기업은 CISO들에게 행동할 수 있는 자원, 권한 및 자율성을 부여하고 있는지 아니면 단순히 그것을 이행할 권한 없이 고위험 책임만 할당하고 있는지 자문해 봐야 한다. 조직이 CISO들의 영역에 대한 완전한 통제권과 함께 진정한 리더로 대우하기 시작할 때까지 사이버 보안은 도전적이고 불안정한 분야로 남을 것이며, 그 책임만큼이나 장벽으로 정의될 것이다.