[덕] CEO, 보안의 최종 책임자로 서다

보안 책임, CEO에겐 위기인가 기회인가(25. 07)

"보안은 CISO(정보보호 최고책임자)가 알아서 할 일"이라는 생각은 이제 과거의 유물이 되어가고 있습니다. 랜섬웨어 공격으로 생산 라인이 멈추고, 고객 데이터 유출로 기업의 신뢰가 하루아침에 무너지는 시대. 사이버 리스크는 더 이상 기술 부서의 골칫거리가 아닌, 기업의 존폐를 결정하는 핵심 경영 리스크로 부상했습니다.

이러한 변화의 중심에는 '최고경영층의 책임'을 법적으로 명문화하려는 전 세계적인 움직임이 있습니다. 이는 단순히 보안을 강화하자는 구호를 넘어, 최종 의사결정권자인 CEO와 이사회에 직접 책임을 묻는 강력한 '하향식(Top-down)' 압박입니다. 이제 사이버보안은 CEO의 리더십을 증명하는 시험대이자, 외면할 수 없는 법적 의무가 되었습니다.

법률이 CEO의 어깨에 지운 책임의 무게

국내외 법규는 이미 최고경영층이 보안의 방관자가 될 수 없도록 명확한 역할과 책임을 규정하고 있습니다.

현행법상의 명확한 의무: 개인정보보호법은 조직의 개인정보보호 정책 전반을 담은 내부 관리계획의 최종 승인권자를 최고경영층으로 명시하고 있습니다. 또한 정보통신망법은 일정 규모 이상 기업의 경우, 다른 업무를 겸직하지 않는 임원급 정보보호 최고책임자(CISO)를 임명하도록 강제하여 독립적이고 실질적인 권한을 보장하도록 요구합니다. 이는 CISO의 임명과 활동 지원의 최종 책임이 최고경영층에 있음을 분명히 한 것입니다.

거스를 수 없는 글로벌 스탠더드: 이러한 흐름은 해외에서 더욱 거셉니다. 미국 증권거래위원회(SEC)는 중대한 사이버 공격 발생 시 4영업일 내 공시를 의무화하고, 이사회의 감독 역할을 상세히 보고하도록 요구합니다. 유럽연합(EU)의 NIS2 지침은 한 걸음 더 나아가, 사이버보안 의무를 소홀히 한 경영진 개인에게 책임을 물을 수 있도록 했습니다. 만약 이를 소홀히 할 경우, 기업에 막대한 과징금(전 세계 연간 총매출액의 2% 또는 1,000만 유로 중 더 높은 금액)을 부과하는 것은 물론, 경영진 개인에게 책임을 물을 수 있다고 명시했습니다. 이는 보안 사고를 CISO의 기술적 실패가 아닌, CEO의 '경영 실패'로 간주하기 시작했다는 명백한 신호입니다.

"왜 우리가?"… 예상되는 최고경영층의 반발과 그 해법

물론 법과 규제로 새로운 책임을 강제하는 것에 대한 반발은 당연히 예상됩니다. "너무 바쁘고 전문 분야도 아니다", "이미 CISO에게 위임했다", "보안은 돈만 쓰는 부서 아닌가?" 라는 볼멘소리는 단순한 불평이 아니라, 그들이 느끼는 현실적인 부담감을 반영합니다. 이러한 저항을 뚫고 법적 의무를 실질적인 행동으로 바꾸려면, '부담'을 '기회'로 전환시키는 섬세한 접근이 필요합니다.

1. '기술 문제'가 아닌 '비즈니스 리스크'로 재정의하라
최고경영층의 언어는 '취약점'이나 '방화벽'이 아니라 '매출', '비용', '브랜드 평판'입니다[6]. CISO는 "신규 보안 솔루션이 필요합니다"라고 보고하는 대신, "경쟁사 A는 데이터 유출로 1,000억 원의 잠재적 손실과 고객 신뢰 하락을 겪었습니다. 우리는 10억 원 투자로 이를 막을 수 있습니다"라고 말해야 합니다. 법적 의무를 비즈니스를 지키는 가장 확실한 보험으로 재해석하여 제시할 때, CEO는 비로소 귀를 기울입니다. 또한 최고경영층의 성과평가(KPI)에 보안을 연동시키는 방안도 고려해 볼 수 있습니다. 최고경영층 자신의 평가와 보상에 직접적인 영향을 미칠 때, 최고경영층의 태도는 수동적 방어에서 능동적 투자로 바뀔 것입니다.

2. '책임 전가'가 아닌 '역할 분담'의 틀을 제시하라
CEO에게 보안 책임을 지우는 것은 코딩을 배우라는 의미가 아닙니다. 이는 CISO를 대체하는 것이 아니라, CISO가 제대로 일할 수 있도록 자원과 권한을 부여하는 역할임을 분명히 해야 합니다[7]. CEO는 '보안 우선' 문화를 선도하는 챔피언이 되고, CFO는 리스크 관점에서 전략적 투자를 집행하며, CISO는 부여된 권한으로 실행을 책임지는 파트너십을 구축해야 합니다. 이는 '모든 책임을 떠안는다'는 최고경영층의 두려움을 '전문가와 함께 리스크를 관리한다'는 안정감으로 바꾸어 줍니다.

3. '감독 의무'를 이행할 수 있는 '시스템'을 제공하라
막연하게 "감독하라"고 요구하면 저항만 커질 뿐입니다. CISO/CPO가 최고경영층에게만 보고하는 구조를 넘어, 이사회에 직접 정기적으로 보안 현안과 로드맵을 보고하도록 제도화해야 합니다. 이렇게 하면 CEO는 보안을 더 이상 실무진의 보고서가 아닌, 자신의 경영 성과를 평가받는 핵심 어젠다로 다룰 수밖에 없습니다. 이는 보안을 몇몇 부서의 일이 아닌 전사적 어젠다로 격상시키고, CEO가 합리적 의사결정을 내릴 수 있도록 돕는 가장 효과적인 장치입니다. 현행 정보보호관리체계(ISMS) 인증 제도에서도 정보보호위원회의 구성에서 CISO가 의장이 아니라, CEO가 주관하고 현업의 최고경영층이 참여하는 전사보안위원회 수준으로 위상을 격상시켜야 합니다.

4. '규제 준수'를 넘어 '기업 가치'와 연결하라
이제 투자자들은 기업의 ESG(환경·사회·지배구조) 수준을 보고 투자하며, 사이버보안은 지배구조(G)의 핵심 평가 요소입니다. 최고경영층 주도의 강력한 보안 거버넌스는 더 이상 비용이 아니라, 고객과 투자자의 신뢰를 얻고 기업 가치를 높이는 핵심 경쟁력임을 강조해야 합니다[8]. 법적 의무 준수가 곧 주주 가치 제고로 이어진다는 논리는 가장 강력한 설득의 무기가 될 수 있습니다.

법과 규제가 최고경영층을 사이버보안이라는 경기장으로 강제 소환하고 있습니다. 여기서 불평하며 마지못해 끌려다니는 리더가 될 것인가, 아니면 이 흐름을 기회로 삼아 조직의 체질을 바꾸고 비즈니스를 반석 위에 올리는 리더가 될 것인가. 그 선택이 이제 기업의 미래를 좌우할 것입니다.