사이버 보안 투자 확보에는 여러 요소가 작용한다. 많은 경우 핵심은 조직 전반의 주요 이해관계자와 관계를 구축하는 CISO의 능력이다. CISO는 예산의 제약을 극복하면서 조직을 보호해야 한다.

CISO의 3분의 2가 예산 증가를 보고했지만 올해 증액 규모는 평균 8%에 불과하다. IANS 2024 보안 예산 벤치마크 요약 보고서에 따르면 작년의 예산 증가 수준에 비하면 훨씬 적은 수준이다.

예산이 제한되는 상황에서 충분한 자금을 확보하는 CISO의 능력은 조직 내 영향력과 평판에 달려 있다. 주요 비즈니스 리더와의 탄탄한 관계 구축은 목표한 예산을 확보하는 데 있어 핵심적인 역할을 한다.

개발자에서 CFO까지 : 신뢰를 구축하는 방법

트라이넷X(TriNetX)의 CISO 에리카 안토스는 보안 이니셔티브를 발전시킬 뿐만 아니라 전반적인 비즈니스 목표와도 정렬되는 강력한 부서간 파트너십 구축을 중시한다. 안토스는 인접한 비즈니스 부서를 협업과 조정을 위한 중요한 파트너로 인식한다.

안토스의 경우 이를 위해 CFO의 우선순위를 이해하고 법률 부서와 협력해 데이터 보호 요구사항을 충족하고 IT, 엔지니어링 부서와도 긴밀한 협업으로 보안 툴이 전체적인 조직 요구사항과 정렬되도록 했다. 안토스는 “이해관계자들의 목표가 무엇인지 이해하고, 보안 부서에서도 현재 사용 중이고 두 가지 목표를 모두 달성하는 데 도움이 되는 툴을 파악해야 한다”라고 말했다.

예를 들어 제로 트러스트 솔루션은 IT 부서가 네트워크 액세스를 현대화하고 VPN의 필요성을 없애는 데도 도움이 된다. 개인정보 보호 요구사항에는 법률 책임자 선임과 데이터 보호를 통한 보안이 포함될 수 있다. 안토스는 이를 위해 법률 부서와 요구사항을 논의하고, 이들의 목표를 달성하는 데 보안 부서가 도움을 줄 수 있는 툴을 파악하는 것이 좋다고 말했다.

코드 검토, 보안 경보 검토 등에 대해 엔지니어링 부서, 개발자와의 협력, CTO와의 논의가 필요한 경우도 있다. 안토스는 “보안 부서가 보안 이벤트 정보 관리 시스템으로 사용할 수 있으면서 엔지니어링 팀에도 도움이 되는 솔루션을 채택하는 방법이 있다”라고 말했다.

재무 부서와 좋은 관계를 구축하는 것도 당연히 중요하다. 여기에는 이들의 목표를 이해하고 보안 이니셔티브가 이러한 목표를 달성하거나 비용 절감을 제공하는 데 어떻게 도움이 되는지 보여주는 것이 포함된다.

안토스는 “특정 툴을 배포하거나 어떤 것에 대한 예산을 확보하는 활동이 재무 부서의 목표와 맞지 않을 수도 있지만, 효율성을 보여주거나 특정 툴 배포가 얼만큼 비용을 절감할 수 있는지 보여주면 도움이 된다”라고 말했다.

CISO의 보고 라인이 예산과 관계에 미치는 영향

CISO의 보고 라인에 따른 특정 이해관계자와의 친밀성도 주요 비즈니스 리더와의 협업 역량에 영향을 미칠 수 있다. CISO가 CFO 또는 CIO에 보고하는지, 아니면 CEO에 직접 보고하는지 여부는 이들이 보안 요구사항에 우선순위를 정하고 전파하는 방식, 그리고 궁극적으로는 부가적인 예산에 대한 동의를 얼마나 빨리 얻을 수 있는지에 영향을 미친다.

안토스는 “일상적인 상호작용 속에서 관계를 구축하고 상대방이 속한 그룹의 요구사항을 이해하고 더 신속하게 협업하도록 도울 수 있다”라고 말했다.

안토스는 이를 통해 CISO가 조직의 비즈니스 부분이 어떻게 움직이는지 이해한다면 도움이 된다면서 “온전히 기술 관점에서만 생각하는 것이 아니라 비즈니스 입장에서 효율성에 대해 생각하는 것”이라고 말했다.

비즈니스 사고방식을 갖추면 일상적인 보안 운영이 이사회를 포함한 경영진의 전략적 목표 및 우선순위와 일치할 때 CISO는 예산 목표를 달성하고 더 높은 만족감을 얻을 수 있다. IANS 보고서에 따르면 비즈니스 위험 맥락에서 보안 프로그램을 이끄는 CISO는 이 같은 일치 상태에서 예산에 만족할 가능성이 더 높다.

한편 EY의 글로벌 및 APAC 지역 사이버 보안 컨설팅 리더인 리처드 왓슨에 따르면 실무에서 CISO는 중대한 역설에 직면할 수 있다. 한쪽에서는 이사회가 사이버 위험을 기피하고자 하지만 다른 한쪽에서 경영진이 예산 삭감의 필요성을 주장할 수 있다. 왓슨은 “이 두 입장은 양립하기 어렵다. 많은 CISO가 이 역설에 어려움을 겪고 있다”라고 말했다.

예산 관리를 담당하는 만큼 CFO는 주요 이해관계자다. 왓슨은 이와 같은 상황에서 CISO가 이러한 상호 모순되는 목표를 보여주고 예산에 대한 지원을 구축하는 데 도움이 되는 자연스러운 동맹을 찾는 것이 중요하다고 말했다.

왓슨은 CISO에게 감사 위험 위원회 의장과 시간을 보내면서 이 역설을 설명할 것을 제안했다. 경영진이 운영상 예산을 제한하고 있음을 명확히 밝히지 않을 경우 이사회는 이러한 상황을 잘 모를 수 있기 때문이다. 왓슨은 “감사 위험 위원회 의장이 알게 되면 CISO는 예산을 더 늘리거나 적어도 현재 예산을 삭감하지 말고 유지해야 할 필요성을 정당화할 수 있다”라고 말했다.

CISO, 조직 전반에서 눈에 띄는 활동

IANS 보고서에 따르면 예산에 만족하는 CISO는 일반적으로 경영진 사이에서 존재감과 신뢰성을 얻으며 위험 평가 논의에 참여하고 이사회에 프로그램 지표를 제시한다. 이는 CISO가 눈에 잘 띄는 입지를 유지하고 더 광범위한 조직 활동에 참여하고 기술 통제보다는 비즈니스 위험에 대화의 초점을 맞춰야 함을 시사한다.

왓슨 역시 CISO가 영향력 있고 자금과 관련된 관계를 성공적으로 관리하기 위해서는 사이버 및 IT 직무를 넘어서는 존재감이 필요하다는 데 동의하며 “처음에는 기술에서 시작했을 수 있지만 IT 부서를 넘어서기 위해서는 비즈니스 파트너, 비즈니스 자문으로 인식될 필요가 있다”라고 말했다.

스마트시트(Smartsheet)의 CISO인 크리스 피크는 중요한 것은 단순히 CISO가 눈에 잘 띄는지 여부가 아니라 조직이 직면한 사이버 보안 위협의 범위를 이해하도록 돕는 데 있다고 말했다. 목표는 우선순위, 그에 따른 자금 및 예산에 대한 의사 결정을 위한 맥락을 제공하는 것이다.

피크는 “보안이 비즈니스를 실현하는 도구가 되기 위해서는 CISO와 보안 프로그램이 눈에 잘 띄는 것에 그치지 않고 모두가 위협 환경을 명확히 볼 수 있어야 한다”라고 말했다.

CISO의 역할은 최고 경영진과 이사회를 포함한 조직 전반에 이 정보를 전파하고 전체적인 비즈니스 목표에 맞추는 것이다. 피크는 “비즈니스의 나머지 부분에서 자신들이 무엇에 맞서고 있는지를 이해해야 한다. 이를 통해 무엇에 우선순위를 둘지에 대한 의사 결정을 위한 맥락을 파악하게 된다”라고 말했다.

지금까지 CISO와 재무는 잘 맞지 않는 영역이었지만 비즈니스의 재무적 측면이 중요해지면서 변화가 일어나고 있다. 피크는 “내가 아는 대부분의 CISO가 새로운 기술을 조직에 도입하기 위한 자금 조달과 방법에 대해 이야기한다”라고 말했다.

새로운 위협 벡터를 유발하는 생성형 AI와 같은 새로운 기술 역시 관리와 보호를 위한 투자가 필요하므로 예산에 대한 대화를 촉발한다. 피크는 “새로운 기술에는 리소스가 필요하고, 기준 툴을 배포하는 방법 측면에서 새로운 관점도 필요하다”라고 말했다.

그럼에도 예산 의사 결정을 방해하는 상황은 발생하며 CISO는 특정 프로젝트를 우선 처리되도록 하는 데 어려움을 겪는다.

안토스는 주요 이해관계자와 관계가 없거나 심지어 갈등 관계에 있다면 없어도 될 장벽이 존재할 수 있다면서 “이는 보안 팀이 추구하는 목표에 대한 잘못된 이해를 유발하거나 부정확한 가정, 오해, 커뮤니케이션 문제로 이어질 수 있다”라고 말했다.

이로 인해 예산 할당이 무산되고 솔루션이나 이니셔티브가 우선순위 목록에서 빠지는 상황이 발생할 수 있다. 프로젝트의 중요성에 대한 공통된 이해가 중요함을 잘 보여주는 부분이다. 이를 위해서는 건설적 관계와 우선순위의 정렬이 필요하다.

안토스는 “많은 경우 보안 부서가 하는 일을 실제로 구현하는 것은 엔지니어링, 개발자 또는 IT 부서와 같은 다른 팀이다. 따라서 구현하고자 하는 것이 무엇이든 그 작업이 다른 팀의 작업 순위 앞쪽에 위치하도록 해야 한다”라고 말했다.

재무에 대한 지식은 자금 조달을 좌우하는 관계의 기초

왓슨은 조직이 재무적 난관에 직면하면 CISO는 CFO, CEO, 이사회를 포함한 이해관계자에게 예산을 정당화해야 하는 압박을 더 받게 된다면서 “또한 SEC의 새로운 정보 공개 요구사항으로 인해 구체성이 매우 중요해졌으므로 사이버 위험 정량화에 대한 초점이 커지고 있다”라고 말했다.

이러한 과제에 설득력 있게 답하려면 CISO는 사이버 위험과 예산을 연결해야 한다. 이들이 근거 있는 비즈니스 케이스를 구축하는 데 있어 사이버 위험 정량화 툴이 점점 더 중요해지고 있는 이유가 여기에 있다.

왓슨은 “어떤 것이 구체적인지 아닌지를 어떻게 입증할 것인가? 이를 위해서는 수학적 공식이 필요하다. 그러한 이유로 현재 사이버 위험 정량화가 조직에서 많은 추진력을 얻고 있다”라고 말했다.

안토스는 규모가 작은 조직과 컨설팅 업체를 이용하지 않는 기업이라면 ISACA 또는 IANS 툴과 리소스를 활용해 위험 분석 및 예산 프로세스를 구축할 것을 제안하며 “이러한 툴은 보안 팀이 필요한 재무 지식과 예산 프로세스를 내부적으로 개발하는 데 도움이 되는 지침과 자료를 제공한다”라고 말했다.

ISACA의 역량 성숙도 모델 통합(CMMI) 프레임워크는 비용 통제와 위험 기반 예산 전략에 도움이 된다. 2023년 CMMI 기술 보고서에 따르면 이 프레임워크를 사용하는 조직에서는 원가차이가 47% 감소했다.

안토스의 경우 대학에서 정보 시스템과 회계를 공부한 것이 CISO 역할의 기술적 측면과 재무적 측면을 연결하는 데 도움이 됐다. 안토스는 재무 언어를 이해하고 보안 투자의 비즈니스 가치를 전달하면 예산 협상에서 CISO의 입지를 대폭 강화할 수 있다고 강조했다.

재무 지식은 CISO에게 더 이상 선택 사항이 아니라, 이해관계자와 접촉하고 보안 투자에 대한 비즈니스 케이스를 구축하는 데 있어 필수적이다.

CISO는 예산 프로세스를 이해하고 보안의 비즈니스 가치를 전달하면 기술적 요구사항과 조직 우선순위 사이의 간극을 메워 필요한 리소스를 확보할 수 있다.

실무적인 수준에서 특히 대형 프로젝트의 경우 보안의 필요성에 대한 대화를 조기에 시작해서 비즈니스에 어떻게 영향을 미칠지를 설명해야 한다.

안토스는 “이러한 모든 것을 사전에 준비하는 편이 예산 프로세스가 진행되는 도중에 하는 것보다 훨씬 더 쉽다”라고 요약했다.
dl-itworldkorea@foundryco.com