C-레벨에서 성공하는 핵심은 서로 충돌하는 여러 이해관계 사이에서 균형을 잡는 능력에 달렸다.

모든 경영진이 중대한 선택의 압박에 직면하지만, 특히 CISO는 기업과 자신의 경력에 막대한 영향을 미칠 수 있는 어려운 선택과 절충에 끊임없이 맞선다.

결정권이 없는 보안 성과에도 책임을 지게 되는 CISO는 이런 역학을 누구보다 잘 알고 있다. 2024년 발표된 ‘레벨블루 퓨처 리포트: 사이버 회복력(2024 LevelBlue Futures Report: Cyber Resilience)’에 따르면, 73%의 CISO는 사이버보안이 통제 불가능해지고 위험 부담이 큰 절충을 요구하는 상황에 우려를 표했다. 이는 CIO나 CTO 가운데 같은 우려를 표한 비율(58%)보다 훨씬 높은 수치다.

최근 몇 년간 책임이 확대되면서 CSO와 CISO는 보안 전략을 비즈니스 목표와 더 밀접하게 연계할 필요성까지 안게 됐다. 이로 인해 보안 지침의 경계를 어디까지 설정할지, 동시에 빠른 비즈니스 혁신을 어떻게 뒷받침할지를 두고 추가적인 긴장이 발생하고 있다.

여기서는 보안 책임자이자 비즈니스 리더로서 서로 충돌하는 이해관계를 더 잘 조율할 수 있도록, 모든 CISO가 반드시 고민해야 할 딜레마와 선택의 문제를 현명하게 풀어가는 방법을 정리했다.

위험 허용 기준을 재조율해야 할 때

비즈니스 목표와의 정렬이 중요하다고들 하지만, 현실에서 CISO는 여전히 C레벨 경영진과 위험 인식에서 큰 불일치를 겪고 있다.

사이버보안 업체 넷스코프(Netskope)의 보고서 ‘모던 CISO: 균형 잡기(Modern CISO: Bringing Balance)’에 따르면, CISO의 92%가 경영진 전체와 위험에 대한 관점 차이로 긴장이 발생한다고 답했다. 또 66%는 ‘비즈니스가 원하는 것’과 ‘보안 관점에서 합리적인 것’ 사이에서 줄타기하는 기분이라고 표현했다.

디지털 제품 경험 관리 플랫폼 업체 펜도(Pendo)의 CISO 척 케슬러는 위험 문제에서 중간 지점을 찾기 위해 노력해 왔다며 “비즈니스 측에 위험을 설명하는 것만큼이나 비즈니스 측이 나에게 그들의 요구사항을 알려주는 문제이기도 하다”라고 전했다.

케슬러는 과거에도 비즈니스 목표와 목표 관련 위험에 대한 자신의 초기 평가, 그리고 당시 마련된 보안 통제를 모두 검토한 뒤 자신의 위험 허용 기준을 “재조율(recalibrate)”할 필요가 있었다고 언급했다.

EY(Ernst & Young)에서 글로벌 컨설팅 사이버보안 리더를 맡고 있는 리처드 왓슨은 이런 상황이 흔하다며 “CISO는 스스로에게 ‘어느 정도의 위험을 감수할 수 있는가?’라는 질문을 던지는 경우가 많다. CISO가 가장 자주 받는 질문이 바로 그것”이라고 말했다.

예산이 선택을 강요할 때

위험 감수와 관련된 선택 못지않게 CISO가 직면하는 또 다른 중요한 문제는 바로 보안 투자에 대한 의사결정이다.

사이버보안 컨설팅 기업 모건프랭클린 사이버(MorganFranklin Cyber)에서 기술·미디어·통신 부문 매니징 디렉터를 맡고 있는 존 앨런은 “CISO가 어려운 선택을 해야 하는 상황의 99%는 예산 제약 때문에 위험과 보상의 무게를 저울질할 수밖에 없어서 생기는 일”이라고 말했다.

이어 앨런은 “어느 CISO도 무한한 예산을 가진 경우는 없다 보니, 이들은 예산을 초과하는 보안 프로젝트를 진행하지 않을 경우 어떤 일이 벌어질지를 고민하고 그다음에는 예산 안에 맞춰보거나 필요하면 아예 보류할지를 저울질한다”라고 설명했다.

실제로 파노레이즈(Panorays)의 2025 CISO 설문조사 결과에 따르면, 응답한 보안 책임자 중 98%가 자원 부족으로 서드파티 취약점의 최소 10% 이상을 해결하지 못한 경험이 있다고 답했다.

예산 제약으로 인해 다른 분야에서도 어려운 선택을 할 수밖에 없다. 내셔널 유니버시티(National University) 사이버보안센터 센터장 크리스 심슨은 “예를 들어 CISO는 탐지나 사고 대응에 원하는 수준보다 덜 투자하고 예방에 더 많은 예산을 배정하거나, 꼭 지켜야 하는 규제 준수와 법적 요구사항에 예상보다 많은 비용을 쓸 수밖에 없어 다른 중요한 보안 투자에는 쓸 예산이 줄어들곤 한다”라고 말했다.

기업마다 보안 예산을 절충해야 하는 고유한 맥락을 갖고 있다. 연구에 따르면 모든 비용 절감이 동일한 영향을 주는 것은 아니며, 특정 환경에서 내리는 선택은 기업의 위험 수준에 더 큰 영향을 미칠 수 있다.

최고급 보안 툴을 원하지만, 현실은 그렇지 않을 때

CISO는 원하는 보안 툴을 모두 손에 넣지 못하는 경우가 많다. EY의 왓슨은 “모든 면에서 최고만을 원하는 CISO라 해도 매번 원하는 걸 다 얻을 수는 없다”라고 설명했다.

펜도의 케슬러는 이 현실을 누구보다 잘 안다. 케슬러는 다양한 위험을 해결할 수 있는 다채로운 기능을 갖춘 클라우드 보안 태세 관리(cloud security posture management) 툴에 주목했고, 이를 “캐딜락 옵션”이라 부르며 이상적인 선택지로 생각했다. 하지만 실제 캐딜락처럼, 그 보안 툴 역시 값비쌌다. 결국 케슬러는 해당 플랫폼의 많은 기능이 반드시 필요한 것이 아니라 있으면 좋은 것이라는 사실을 받아들일 수밖에 없었다.

그래서 케슬러는 “지금이 이 제품을 도입할 적기가 아니라고 판단했다”라고 설명했다. 대신 회사에 필요한 기능을 제공하고 당면한 위험을 해결할 수 있는 여러 가지 다른 툴을 도입하는 방식으로 중간 지점을 찾았다.

케슬러는 “시중에는 훌륭한 보안 툴이 정말 많다. 데모를 보고 나면 기대감이 커지고 모든 위험을 해결할 것이라 생각하지만, 현실적으로 원하는 모든 것에 예산을 확보하긴 어렵다. 결국 중요한 건 그 안에서 무엇을 현실적으로 해낼 수 있는지 정리하는 과정이다. 모든 걸 해결해 줄 ‘캐딜락급’ 솔루션을 쓰고 싶었지만, 대신 조직의 특수한 환경에 맞는 위험을 더 저렴한 비용으로 해결하는 쪽을 선택했다”라고 덧붙였다.

혁신을 위해 더 많은 위험을 감수해야 할 때

혁신, 특히 에이전틱 AI 같은 신기술을 중심으로 한 혁신은 새로운 위험을 동반한다. 문제는 이런 혁신이 보안팀과의 적극적인 협업 없이 진행될 때 발생한다. AI 분야에서는 이런 사례가 여전히 빈번히 발생하고 있다. 이는 CISO가 준비하지 않은 위험을 추가로 만들어낸다.

모건프랭클린 사이버의 앨런은 “결정은 결국 수익을 창출하는 비즈니스 부문에서 주도한다. 50대 50으로 의견을 나누는 문제가 아니다. ‘CISO가 위험하고 하니까 안 하겠습니다’라고 해서 멈출 수 있는 일이 아니다. 비즈니스는 ‘우리는 이걸 할 거니까, 방법을 찾아봐’라고 말한다”라고 설명했다.

그렇다고 해서 CISO가 무력한 건 아니다. 앨런은 “CISO는 여전히 비즈니스가 추진하는 일에 보안상 우려, 잠재적 함정, 단점을 명확히 설명할 능력과 책임이 있다. 다만 보안 평가를 비즈니스 관점에서 풀어내야 하며, 비즈니스가 성장과 목표 달성에 도움이 된다고 느낄 수 있는 해결책까지 함께 제시해야 한다”라고 강조했다.

많은 CISO가 이렇게 행동하고 있지만, 모든 이들이 그런 것은 아니다. 레벨블루의 보고서에 따르면, 설문에 참여한 CISO 61%는 “적응형 접근법을 취하기 때문에 혁신에서 더 많은 위험을 감수할 수 있다”라고 답했다. 특히 자신들의 조직을 ‘사이버 회복력 선도 조직(cyber-resilient organizations)’이라고 평가한 CISO는 이 비율이 79%로 높았다.

비즈니스 속도에 맞춰 보안을 따라잡아야 할 때

벤리펙스(Benifex)의 정보보안 책임자이자 ISACA 신흥 트렌드 워킹그룹(Emerging Trends Working Group) 멤버인 사이먼 백웰은 CISO가 비즈니스가 원하는 속도와 보안이 따라갈 수 있는 속도 사이에서 균형을 잡아야 한다고 설명했다.

백웰은 “비즈니스와 보안은 속도 면에서 애초에 대등한 경쟁이 아니다”라고 언급했다. 여러 전문가에 따르면, 비즈니스 부문은 작은 시도를 반복하며 개선하는 점진적 혁신 방식을 취할 수 있다. 하지만 CISO는 사정이 다르다. 보안팀은 규제 준수나 보안 프레임워크 등 한 번에 충족해야 할 요건이 많아 이런 반복적인 접근법을 적용하기 어렵다. 게다가 새로운 프로젝트를 시작할 때 비즈니스팀은 전담팀을 꾸리고 자원을 집중적으로 지원받지만, 보안팀은 이런 혜택을 받지 못하는 경우가 대부분이다.

이어 “보안팀은 이미 20가지 일을 처리하고 있을 수 있는데, 누군가 새 과제를 보안팀에 넘기면 무엇을 내려놓고 이걸 맡을지를 결정해야 하는 상황이 된다”라고 덧붙였다.

심슨은 CISO가 어떤 업무를 우선시할지를 고민할 때도 결국 비즈니스와의 정렬에서 균형점을 찾을 수 있다고 조언했다. 특히 중요한 것은 초기 단계부터 보안을 비즈니스 계획에 끌어들여 속도를 맞추려는 노력이다. 심슨은 “그렇게 하는 CISO는 비즈니스 속도를 기꺼이 수용할 수 있다”라고 덧붙였다.

눈앞의 상황에 쫓기지 않고 선제적으로 투자해야 할 때

수동적인 자세에서 벗어나 훨씬 더 전략적으로 움직이게 되면 앞으로 다가올 비즈니스 기회와 새로운 위협을 더 잘 내다볼 수 있다. 하지만 여기서 난관에 부딪힌다. 지금 당장 해결해야 할 현안이 산적해 있는데도 미리 앞서가기 위해 새로운 보안 툴이나 이니셔티브에 선제적으로 투자할 것인가, 아니면 필요성이 눈앞에 닥쳤을 때 비로소 투자할 것인가 선택의 기로에 서게 되는 것이다.

펜도의 케슬러도 이런 딜레마를 직접 겪었다. 회사의 전략적 계획을 고려할 때, 언젠가는 DDoS 공격에 대비한 방어 체계를 강화해야 한다고 판단했다. 다만 당시까지만 해도 DDoS 공격은 아직 크게 우려할 만한 위협이 아니었다.

케슬러는 “위협이 될 거라는 건 알고 있었지만, 일단은 뒤로 미루기로 했다”라고 말했다. 그리고 당장 가장 시급한 위험에 집중하기 위해 어려운 결정을 내렸으며, DDoS 공격이라는 점점 커지는 위험은 보안 로드맵에서 나중에 다루기로 계획했다.

사용자 경험을 해치지 않으면서 접근 보안을 강화해야 할 때

경험 많은 CISO라면 누구나 수없이 맞닥뜨린 오래된 고민이 있다. 바로 보안 강화와 그로 인한 사용자 경험 저하 사이에서 균형을 잡는 일이다. 특히 최근에는 고객·직원 경험이 그 어느 때보다 중요해진 데다가 정보 탈취형 악성코드(인포스틸러)가 급증하고, 특권 계정이 악용되는 사례까지 늘면서 이 고민이 다시 업계의 주목을 받고 있다.

케슬러는 과거 헬스케어 기관에서 보안 책임자로 일할 때 다중 인증(multi-factor authentication, MFA)을 도입하면서 이런 딜레마에 직면했다. 당시 임원은 MFA의 가치를 충분히 이해하고 있었지만, 애플리케이션 접근 시 추가로 소요되는 시간에 대해 우려를 표했다.

케슬러는 “두 번째 인증을 언제 어떻게 요구할지 현명하게 설계해야 한다는 걸 깨달았다. 의사와 간호사는 하루 종일 여러 기기와 환자 사이를 오가는데, 컴퓨터에 접속할 때마다 매번 재인증을 요구할 수는 없었다. 몇 분, 몇 초가 중요한 업무에서 그런 방식은 워크플로우에 심각한 영향을 줄 수밖에 없다”라고 설명했다.

보안팀과 비즈니스팀은 협의 끝에 현장 사용자에게는 하루 첫 접속 시에만 MFA를 적용하기로 했다. 케슬러는 “그렇게 하루 종일 두 번째 인증 요청에 시달리지 않도록 할 수 있었다”라고 덧붙였다.

자리를 지켜야 할지 떠나야 할지 선택할 때

CISO는 원치 않는 절충과 타협을 수없이 많이 하지만, 결국 맞닥뜨릴 수밖에 없는 가장 어려운 선택은 자리를 떠날지 남을지 결정하는 순간이다. 그리고 이런 일은 생각보다 자주 벌어진다.

모건프랭클린 사이버의 앨런은 “CISO는 자신이 보안 분야의 전문가라고 생각하기 때문에 꼭 필요하다고 믿는 일을 추진하지 못하거나, 경영진과 의견이 맞지 않거나, 매일같이 싸워야 하는 상황이 이어지면 결국 회의감을 느끼고 자리를 떠나고 싶어질 수 있다”라고 말했다.

실제로 자리를 떠나는 CISO도 있고, 남는 이들도 있다. 앨런은 “결국 CISO는 비즈니스가 원하는 방향을 따라야 한다. 만약 그게 도저히 받아들일 수 없는 수준이라면 떠나게 되고, 유연하게 적응할 수 있는 사람은 그 안에서 협력하며 오래 자리를 지킨다”라고 덧붙였다.
dl-itworldkorea@foundryco.com