기업 최고 정보 보안 책임자(CISO) 직책에 대한 회의감이 커지고 있다. 수모로직(Sumo Logic)에서 9년간 정보 보안 책임자 겸 IT 부사장으로 일했던 조지 거초우는 이 직무에 지쳐 결국 자리에서 물러났다. 극심한 스트레스로 인해 번아웃 상태였고, 결국 고민 끝에 몽고DB(MongoDB)의 신뢰 총괄 책임자로 자리를 옮겼다. 새 직장에 합류한 직후 CISO가 사임했다. 거초우는 “이런 패턴을 계속 보고 있다”라고 말했다.

곧이어 거초우는 임시 CISO 역할을 맡았다. 직책을 맡고 나서 다시 열정이 생겼고 모든 에너지가 돌아왔다. 하지만 CISO로 복귀하고 싶은 마음을 완전히 확신하는 데에는 몇 달이 걸렸다. 거초우는 “그런 생각을 가진 동료는 많지 않다. 지난 2년 동안 동료들이 이 직책을 떠나는 걸 이렇게 많이 본 적이 없다”라고 강조했다.

오늘날 CISO는 결코 만만한 자리가 아니다. 누군가는 말하길, 이 직무는 ‘존중받지 못하는 자리’라고 했다. 지속적인 사이버 위협에 대한 긴장 상태가 일상인 만큼, CISO에 대한 공감이 따를 법도 하지만 현실은 다르다. 최근 워치가드(WatchGuard) 보고서에 따르면, 보안 리더는 부서 간 협력을 유도하고 다양한 위협에 대응하는 어려운 과제를 떠안고 있다.

게다가 “규제 및 정책 요구 사항이 증가하면서, CISO가 기업의 사이버 보안 무결성을 개인적으로 인증해야 하는 상황이 도래하고 있으며, 2025년 이후에는 법적 책임과 개인적 리스크가 더욱 커질 것”이라고 보고서는 지적했다.

구조적으로 무력한 자리

George Gerchow, CSO, Bedrock Security

George Gerchow / Bedrock Security

CISO가 겪는 주요 문제 중 하나는 보고 구조에 있다. 거초우는 “CISO는 다른 C레벨보다 몇 단계 아래에 매몰돼 있다”라고 표현했다. 거초우는 “앞으로는 CTO나 CFO에게 절대 보고하지 않을 것”이라며, “의사결정 테이블에 직접 앉을 수 있어야 한다”라고 강조했다. 그렇지 않으면 스스로가 “자신의 운명을 통제할 수 없고, 결국 가장 위험한 직무임에도 불구하고 조직 내 다른 리더에게 의존하게” 된다는 것이다.

코른페리(Korn Ferry)의 수석 컨설턴트 매기 마이어스도 CISO와의 인터뷰에서 “압박은 최고조지만 통제력은 최저 수준”이라는 말을 들었다고 전했다. 마이어스는 “많은 경우 CISO 역할은 지속 불가능한 상태에 접어들었다”라고 평가했다. 구조적 문제가 핵심 원인이라는 데 동의하며 “스크립트는 조금씩 바뀌고 있지만, CISO는 여전히 위험을 관리해야 하는 입장”이라고 설명했다.

마이어스는 “규제 감시, 대중의 시선, 위협의 복잡성이 모두 얽히고, 여기에 생성형 AI까지 가세하면서 책임과 권한 사이의 불균형이 심화되고 있다”라고 분석했다. 그러면서 “CISO는 실제로 위험을 초래하는 비즈니스 시스템이나 프로세스에 영향을 줄 권한조차 없는 경우가 많다”며, 이것이 번아웃과 이직률 상승의 직접적 원인이라고 진단했다.

인터내셔널 시웨이즈(International Seaways)의 부사장이자 CIO, CISO인 아밋 바수는 “CISO는 법적 면책, 명확한 거버넌스 권한, 맞춤형 이사 및 책임자 보호가 부족하다”라고 말했다. 바수는 “많은 경우 CISO는 기업 리스크 관리를 책임지고 있지만, 완전히 통제할 수 있는 구조적 권한은 없다”라고 지적했다. 이와 같은 불균형이 번아웃과 이직을 초래하고, 경험 많은 사이버 보안 리더들이 이 직책을 꺼리는 이유라고 강조했다.

지원 부족과 외로운 싸움

한편, 워치가드의 CISO 겸 CSO인 코리 내크라이너는 “CISO가 기업 내 가장 기피받는 직책은 아니지만, 한 손이 묶인 채 피구 경기를 하는 기분일 때가 많다”라고 표현했다. 사이버 위협을 막는 책임은 있지만, 이를 수행할 자원과 지원은 부족하기 때문이다.

내크라이너는 노미넷(Nominet) 조사 결과를 인용하며, CISO의 91%가 중간에서 높은 수준의 스트레스를 경험하고 있다고 밝혔다. 또한 “언제든 보안 사고가 발생할 수 있다는 사실이 영속적인 스트레스 사이클을 만든다”며, “사이버 위협은 갈수록 교묘해지고, 심지어 국가 단위의 공격도 발생하고 있다”라고 전했다. 문제는 기업이 보안을 “불가피한 비용으로 인식하고, 최우선 과제로 보지 않는 데 있다”라고 지적했다. 결국 CISO의 좌우명은 “위험은 많고 보상은 적다”는 것이다.

Corey Nachreiner, CISO/CSO, WatchGuard

WatchGuard

거초우는 또 다른 어려움으로, “CISO에게 요구되는 일이 갈수록 늘고 있다”는 점을 들었다. 예를 들어, 최근 유럽연합의 디지털 운영 복원력법(DORA)까지 준수해야 하며, 이는 기업에 심각한 부담을 주고 있다고 전했다.

사람의 문제인가, 직책의 문제인가

일부 CISO는 운영 역할에서 물러나 자문 역할로 전환하고 있다. 25년간 CISO를 맡았던 패트리샤 타이투스는 현재 이상탐지 신생업체 앱노멀 AI(Abnormal AI)에서 현장 CISO로 활동 중이다. 그러나 타이투스는 규제 감시는 늘 존재해왔고, 이제야 조명이 비춰진 것뿐”이라며, CISO 직무가 덜 매력적으로 변했다고 생각하지 않는다.

타이투스는 번아웃의 원인을 “균형을 잘 잡지 못하는 사람 자체의 문제”로 보았다. “다른 C레벨 직책도 마찬가지다. 결국 문제는 이 역할이 적절한 수준으로 격상되고, 리더십의 지원을 받느냐는 것”이라고 설명했다. 타이투스는 승계 계획이 부실하고, 권력을 나누지 않으려는 조직에서 번아웃이 발생한다고 지적했다.

타이투스는 과거 한 직장에서 스트레스로 인한 피부 질환과 건강 악화를 겪었으며, 결국 스스로 의식적인 결단을 내려 회사를 떠나야 했다. 또 다른 리더와의 갈등에서는 “수많은 시도를 했지만 관계를 개선할 수 없었다”라고 회상했다. 결국 “의견 차이를 인정하고 회사를 떠났으며, 더 나은 직장을 찾았다”라고 밝혔다.

타이투스는 “강력한 보안 프로그램이 있다면, CISO는 조직의 강점과 약점을 명확히 파악할 수 있어야 한다”라고 강조했다. 또한 “이 직무는 흥미롭고 다양한 역량이 필요한 자리이며, 비즈니스를 이해하고 비판적 사고력을 갖춰야 한다”라고 전했다. 20년 전의 CISO 직무와는 다르며, 끊임없이 진화하는 분야이기 때문이다.

현재 타이투스는 자문 역할을 통해 고객을 돕고 있으며, 조직 내에는 또 다른 현장 CISO와 총 4명의 보안 전문가가 함께 활동 중이다. 타이투스에 따르면 이보다 더 좋은 환경은 없다.다만, 구조조정과 경기 침체로 인한 감원이 이어진 기업에서는 CISO 직책이 더욱 스트레스가 심해질 수 있다고 지적했다. “그럴 때는 정말 ‘여길 떠나야겠다’는 생각이 들 것”이라고 말했다.

새로운 전문직으로서의 CISO

바수는 “CISO라는 역할이 비판받는 현실은, 그만큼 많은 리더가 구조적 모순과 압박을 체감하고 있다는 증거”라고 분석했다. 오늘날 이 역할은 기업에 필수적이지만, 개인 리스크와 책임, 모호함이 너무 크다고 지적하며 기술 전문가에서 전략적 리스크 리더로 진화하면서 CISO의 가시성은 높아졌지만, 동시에 부당한 감시와 보호의 부재도 심화되었다고 평가했다.

바수는 “복잡하고 자원이 부족한 환경에서 내린 결정에 대해 개인이 법적 책임과 형사 처벌, 평판 훼손까지 감수해야 하는 상황이 되고 있다”라고 밝혔다.

하지만 바수는 해법은 직책을 약화하는 것이 아니라, 오히려 CISO를 공식적인 전문직으로 만들고 법적 보호와 명확한 권한, 보고 체계를 갖춰야 한다고 강조했다. 바수는 이를 위해 변호사협회나 공인회계사회처럼, CISO를 위한 공식 협회인 PAC(Professional Association of CISOs) 설립을 추진 중이다. 이 단체는 표준 인증, 법적 보호, 윤리 강령, 운영 절차, 동료 지원을 통해 CISO의 위상을 정립하고자 한다.

Amit Basu, VP, CIO, and CISO, International Seaways

International Seaways

바수는 “기준과 인증, 법적 뒷받침, 공동체를 갖춘 CISO는 조직의 자산이지만, 그렇지 않으면 오히려 위험 요인이 될 수 있다”라고 말했다.

희망은 남아 있다

내크라이너는 모든 문제가 해결 불가능한 것은 아니라며 “CISO 직무가 본질적으로 기술이 아닌 사람 중심·정치적 역할이라는 사실을 인식해야 한다”라고 강조했다. 보안은 단순히 네트워크 방어 기술만이 아니라, 수익을 즉시 창출하지 않는 프로젝트를 이사회가 승인하도록 설득하고, 부서 리더를 안보 조치에 동참시키고, 직원의 습관을 조금씩 바꾸는 과정이라고 설명했다.

타이투스 역시 “호기심이 많고, 하루하루가 새로운 도전인 환경을 즐긴다면, 이 직무는 여전히 이상적인 자리”라고 평가했다. “매일 새로운 기술을 배우고, 끊임없는 혁신이 이뤄지는 자리가 바로 CISO다”라고 말했다.

내크라이너도 동의하며 “CISO는 도전적이지만 올바른 태도와 접근법만 있다면, 의미 있는 변화를 이끄는 보람 있는 직무”라고 말했다.”
dl-itworldkorea@foundryco.com