[넋두리 5] 2. CISO의 위치는 어디?

한편으로는 씁쓸한 현실

Mar 17. 2025

CISO라고 하면 기업의 최고 정보보안 임원이면서 IT와 정보보안 분야의 다양한 경험과 지식을 가진 사람이라고 생각하게 마련이다. 아마 대부분의 일반 사람들은 그렇게 생각할 것이다. 그러나 때로는 아주 의외의 곳에서 쓰디쓴 현실을 자각하게 된다. 소셜미디어를 탐색하다가 우연히 보게 된 하나의 교육과정 같은 것에서 말이다. 그중 하나가 'CISO가 알아야 할 정보보안' 교육과정이다.

정부에서 진행하는 정보보안 교육과정 프로그램 중 하나로 CISO를 대상으로 만들어진 과정이다. 매년 통상적으로 진행되고 있는, 어쩌면 그냥 그런가 보다 하고 넘어가면 그만인 교육들 중 하나일 수도 있다. 하지만 실제로 기업의 CISO와 CPO로 재직하면서 관련 업무를 수행해 본 사람으로서 이 교육과정이 던지는 메시지는 결코 가볍지도 않고 대충 넘어가도 될 것도 아니라고 생각한다. 정부가 그리고 상당수의 많은 정보보안 분야의 사람들이 CISO에 대해 생각하고 바라보는 이미지가 저 교육과정 속에 담겨있다고 느껴지기 때문이다.

이 교육과정이 던지는 메시지는 단순하면서도 명료하다. CISO들에게 그들이 알아야 할 정보보안에 대한 지식과 정보를 전달해 준다는 것, 기업 내에서 무엇을 해야 할지 알려주겠다는 것이다. 즉, 적어도 그들에게 비친 CISO들은 교육을 통해 어떻게 해야 할지를 알려줘야 하는 대상으로 판단되고 있다는 것이다.

물론 아무리 경력이 많은 CISO들이라고 해도 당연히 배워야 할 것들은 있다. 그러나 개인적으로 가장 아프게 느껴지는 부분은 저 교육과정의 내용 중 상당 부분이 IT 및 보안분야의 전문성이 있고 기술적으로 수준 높은 교육이 아니라, 기업 내에서 최고경영진을 대상으로 한 내부정치 활동법을 알려주는 것에 가깝다고 생각하기 때문이다. 겉으로는 '기업 내부 거버넌스 구축' 등의 주제로 포장되어 있지만 실제 속을 들여다보면 열악하고 힘없는 보안조직이 예산을 얻어 활동하기 위해 기업 내부의 다른 조직들을, 특히 최고경영진과 주요 업무부서들, 어떻게 포섭하고 설득해야 하는지에 집중되어 있다고 보인다.

물론 교육과정이 이렇게 구성된 것에도 나름의 이유는 있다. 같은 CISO라고는 해도 실제로는 IT 및 보안분야에 대한 기술적 이해도가 천차만별로 상당한 개인차가 있기 때문이다. 아예 IT업무를 한 번도 전담해보지 않은 CISO부터 수십 년을 IT와 보안분야에서만 근무한 CISO까지 다양한 경력 스펙트럼이 존재하는 것이 현장의 현실이다. 따라서 최신 IT기술이나 해킹기법에 대한 교육을 전혀 이해할 수 없는 대상자가 다수 존재하는 상황에서 상당한 지식을 요구하는 IT기술 기반의 교육은 애초부터 불가능하다.

따라서 CISO 전체를 대상으로 할 수 있는, 기업 내부를 대상으로 최고경영진이나 다른 부서들을 설득하고 보안활동에 포함시키기 위한, 방법들이 주요 과정이 되게 된다. 이것이 '내부 거버넌스 구축'이다. 그리고 이 지점에서, 이전에는 미처 생각하지 못했던, 확연하게 명암이 갈리는 상황이 펼쳐지게 된다.

오랜 IT 및 보안업계 경험을 가진 전문가 출신의 임원 CISO 보다, IT나 보안은 잘 몰라도 기업에서 수십 년간 오래 근무한 비전문가 출신의 임원 CISO가 오히려 강점을 가지는 영역이기 때문이다. 최고경영진을 대상으로 한 내부정치와 타 부서들에 대한 영향력을 행사하는 것에 유리해 보안 예산을 만들거나 보안활동에 타 부서들을 참여시키는 데 있어 훨씬 강점이 있다.

역으로 말하면 외부에서 영입된 전문가 출신의 CISO에게는 약점이 되는 영역이다. 오랫동안 만들어진 그들만의 카르텔 속으로 이제 와서 들어가기도 쉽지 않고, 굴러온 돌이라는 특성상 내부에 녹아드는 상당기간 동안은 기업의 타 부서들에게 영향력을 행사하기도 쉽지 않다. 계약직 CISO의 평균 재직기간이 짧은 현실을 고려하면 내부에 채 녹아들기도 전에 퇴사하는 경우가 대부분이다. 상황이 이렇다 보니 보안조직에서는 오히려 전문가 출신의 CISO보다 상대적으로 예산확보 등에 유리한 조직 내부 출신의 비전문가 CISO를 선호하는 경향도 나타나고 있다.

이런 전차로 'CISO가 알아야 할 정보보안' 과정은 외부전문가 출신의 CISO가 기업내부에서 잘 살아남도록 하기 위해 최고경영진을 품는 방법으로 '기업 내부 거버넌스 구축'을 수행하도록 가르치고 있는 것이다.

IT와 보안에 대한 전문지식의 보유보다 내부영업에 유리한 CISO가 더 선호되는 현실. 이것이 현재 기업의 정보보안을 책임지고 있다는 CISO들이 당면한 위치이다.

keyword

임홍철의 Insight 있는 삶 IT 분야 크리에이터 소속 정보보안 직업 강연자

IT와 보안전문가. IT업무를 평생의 생업으로 삼고 살아가고 있습니다. IT 기술로 만드는 사람의, 사람에 의한, 사람을 위한 세상을 실현하고자 합니다.

팔로워 138

작가의 이전글[넋두리 5] 1. 현대의 공격과 수비정보보안 전문가의 길(5)작가의 다음글