소포스(Sophos)가 최근 발표한 보고서에 따르면, 랜섬웨어 공격이 발생했을 때 CISO가 자리를 지킬 확률은 1/4에 불과한 것으로 나타났다. 공격을 막을 실질적 권한이 있었는지, 혹은 실제로 잘못이 있었는지와 관계없이 보안 책임자가 책임을 지는 경우가 많다는 점에서, 이번 결과는 모든 CISO에게 경각심을 일깨우는 신호탄이라고 업계 전문가들은 분석했다.

인포테크 리서치 그룹(Info-Tech Research Group)의 기술 자문역 에릭 아바키안은 “통계 자체는 놀랍지 않다. 보안 부서가 성과를 내지 못할 경우 경영진 차원에서 쌓여가는 좌절감을 반영하는 지표인 셈이다. 그 판단의 공정성과는 관계없이 그런 경향이 나타나고 있다. 공격이 CISO의 직접적인 통제 범위를 벗어난 원인에서 비롯되더라도 이해관계자는 최악의 상황조차 방지해야 한다는 기대를 CISO에게 가지고 있다”라고 말했다.

또한 “랜섬웨어 공격 이후 CISO를 교체하는 조치가 때로는 필요하고 타당할 수 있지만, 대부분 기업은 과도하게 성급한 결정을 내리는 경향이 있다”라고 지적했다.

아바키안은 “CIO나 이사회 입장에서는 CISO를 교체하는 것이 일종의 ‘리셋’처럼 보일 수 있지만, 언제나 전략적인 판단인 것은 아니다. 사고 대응 계획이 제대로 작동했고 탐지 도구도 문제없이 기능했으며, 복구도 SLA 내에서 이뤄졌다면 CISO 교체는 내부에 잘못된 메시지를 줄 수 있다. 이는 결국 보안 리더십이 실질적 성과보다 외형적인 인상 관리에 더 집중돼 있다는 신호를 준다”라고 지적했다.

물론 망 분리, 백업, 모의훈련 같은 기본적인 보안 조치가 이행되지 않은 경우라면 이런 변화가 정당화될 수 있다.

IDC의 보안 부문 그룹 부사장인 프랭크 딕슨은 아바키안의 분석에 동의하면서도, “랜섬웨어 공격 이후 스스로 자리에서 물러나는 CISO도 적지 않기 때문에 교체율이 높게 나타난다”라고 설명했다.

딕슨은 “랜섬웨어 대응 과정은 극심한 스트레스를 동반한다. 일부 보안 담당자는 과도한 업무 부담으로 스스로 퇴사를 결정하거나, 공격 자체보다는 사후 복구 과정에서 발생한 갈등으로 인해 물러나게 되는 경우도 많다”라고 부연했다.

권한의 문제

딕슨은 CISO의 권한 수준 또한 중요한 고려 요소라고 강조했다. “사업부(LOB) 차원에서 보안과 관련된 의사결정이 이뤄졌고, 그 과정에서 CISO의 조언이 무시됐다면, 모든 책임을 CISO에게 묻는 것이 과연 기업 입장에서 타당한가?”라고 반문했다.

딕슨은 “랜섬웨어 공격이 발생하면 무조건 CISO의 책임이라고 간주하는 경우가 있다. CISO는 보안 책임자이긴 하지만, 모든 결정권을 쥔 ‘최고 책임자’는 아니다. 보안 사고는 여러 조직 구성원의 연쇄적 결정이 쌓여 발생하는 결과다”라고 설명했다

아바키안은 이런 상황을 ‘집주인이 자신의 실수로 집에 불이 났는데도 소방서를 탓하는 것’에 비유했다.

아바키안은 “소방서장이 해고되거나 화재 발생의 책임을 소방대가 지는 경우를 본 적이 있는가? 그들은 화재에 대응하고 피해를 최소화하고 교육을 제공하며, 향후 발생 가능성을 줄이기 위해 힘쓰는 이들이다. CISO를 포함한 보안팀이 바로 기업의 소방대다. 이들은 뒤를 지키며, 사고가 발생했을 때 언제든 지원할 준비가 돼 있다”라고 덧붙였다.

딕슨에 따르면, 일부 기업의 사업부뿐 아니라 CEO나 COO까지도 특정 업무 프로세스가 지연될 것을 우려해 CISO를 주요 회의에서 고의로 배제하는 경우가 많다. 딕슨은 “보안을 아예 논의 대상에서 제외하기로 결정하는 경우가 있다. 그런 경영진에게는 ‘당신이 CISO를 원하지 않더라도 그들을 필요로 하는 기업은 반드시 있다’라고 말하고 싶다”라고 전했다.

한편 소포스 보고서에 따르면, 랜섬웨어 공격 이후 진행되는 포렌식 조사에서 CISO가 놓쳤거나 인지했어야 할 문제가 드러나는 경우가 종종 있는 것으로 나타났다.

보고서에 따르면, 취약점 악용은 3년 연속으로 랜섬웨어 공격의 주요 침투 원인으로 가장 많이 지목됐다. 전체 공격의 32%가 이에 해당했다. 유출된 계정정보(자격 증명 탈취)는 여전히 두 번째로 흔한 공격 경로로 꼽혔지만, 이 비율은 2024년 29%에서 2025년 23%로 감소했다. 이메일 역시 여전히 주요 공격 벡터다. 전체 피해자의 19%가 악성 이메일을, 18%는 피싱을 공격 원인으로 지목했다. 이는 2024년 11%에서 크게 증가한 수치다.

소포스의 글로벌 필드 CISO인 체스터 위즈니에스키는 “응답자의 40%가 ‘인지하고 있었지만 해결하지 못한 보안 취약점’이 랜섬웨어 공격의 원인이었다고 답했다. 수백만 달러 규모의 사고가 발생했는데 그 원인이 이미 알고 있던 문제였다면, 그 상황을 버티기 쉽지 않을 것”이라고 말했다.
dl-itworldkorea@foundryco.com