기업 임원의 경력을 위협하는 행동은 다양하다. 그중에서도 불법적이거나 비윤리적인 행위는 가장 명확한 위험 요소이며, 이는 종종 재취업할 수 없는 상황으로 몰아넣는다. 다행히 대부분은 경력을 이어가기 위해 피해야 할 금기 사항이 무엇인지 잘 알고 있다.

하지만 승진이나 커리어 성장을 가로막는 다른 실수도 존재한다. 여러 임원, 커리어 코치, 경영 컨설턴트에 따르면, 이 가운데 일부는 눈에 잘 띄지 않아 오히려 피하기 더 어렵다. 특히 보안 리더십에 특화된 우려나 행동 중에는 경력을 제한할 수 있는 요인도 포함돼 있다.

다음은 보안 책임자의 경력을 단축시키거나 성장을 가로막는 10가지 실수다.

보안을 비즈니스 우선순위와 정렬하지 못하는 것

오늘날 보안 책임자에게 있어 가장 중요한 요구 사항은 보안 전략을 비즈니스 목표와 정렬하는 것이다. 이를 놓치면 조직 내에서 주변인으로 밀려날 수 있다.

소프트웨어 업체 베네비티(Benevity)의 CISO 제임스 카더는 “보안은 최종 목표가 아니라 비즈니스를 가능하게 하는 기능으로 진화했다. 이는 곧 보안 전략, 커뮤니케이션, 기획, 실행이 모두 비즈니스 성과와 정렬돼야 한다는 의미다. 보안 활동이 의미 있는 ROI를 내지 못한다면 뭔가 잘못하고 있는 것이다. 보안은 비용 센터로 운영돼서는 안 된다. 그렇게 행동하거나 보고하는 CISO는 제 역할을 제대로 수행하지 못하는 것”이라고 말했다.

키더는 여전히 보안을 비즈니스 전략과 정렬하지 못하는 CISO에게 “사고방식의 대전환이 필요하다. 이제 우리의 역할이 바뀌었다는 사실을 먼저 받아들여야 한다. 우리는 더 이상 문지기가 아니다. 이제는 조직의 성장을 가능하게 하는 촉진자다”라고 조언했다.

비즈니스 임원이 아니라 기술자로 행동하는 것

월트디즈니와 코스트코홀세일(Costco Wholesale)에서 CISO를 역임한 라이언 크니슬리는 보안을 기업 전략과 정렬하기 위해서는 보안 전문가인 동시에 비즈니스 책임자여야 한다고 말했다.

이는 여전히 많은 CISO에게 어려운 과제다. 이들은 대체로 비즈니스 부서가 아닌 보안 조직 내부 경로를 통해 승진하는 경우가 많아, 결과적으로 위험을 수익과 연결하거나 보안 효과를 비즈니스 지표로 측정하는 역량을 제대로 갖추지 못하는 경우가 많다.

현재 사이버보안 업체 액소니우스(Axonius)에서 수석 제품 전략가로 활동하는 크니슬리는 “그 결과 CISO의 역할은 주변화되고, 보안은 비용만 유발하는 존재로 인식된다. CISO는 보안 영역을 벗어난 전문 멘토를 찾아 비즈니스 역량을 키우고, 보안 외 분야에서의 실무 경험을 쌓아야 한다”라고 말했다.

‘예스’까지 나아가지 못하는 태도

CISO라면 보안 부서가 “안 된다”만 외치는 부서로 비춰져서는 안 된다는 점을 잘 알고 있다. 그렇다고 해서 “예스”라고 적극적으로 말하지 못하는 CISO도 많다. 트랜센드(Transcend) CISO 레지던스이자 전 유나이티드헬스그룹(UnitedHealth Group) CISO인 에이미 카드웰에 따르면, 이는 곧 조직에 기여하지 못하는 것으로 받아들여져 경력 성장에 제약이 될 수 있다.

조직의 위험 감내 수준을 이해해야만 보안 통제와 비즈니스의 속도·편의성 요구를 적절히 균형 잡을 수 있다. NCC 그룹(NCC Group) 수석 고문 겸 보안 디렉터 팀 롤린스는 “경력을 발전시키고 싶은 CISO라면 ‘된다, 그리고 안전하고 보안적으로, 더 높은 회복력을 갖고 실행할 수 있도록 돕겠다’라고 말할 수 있어야 한다”라고 설명했다.

레드라인을 긋는 것

NCC 그룹의 팀 롤린스는 최근 한 CISO와 협업한 경험을 이야기했다. 이 CISO는 다른 부서에서 고위험 아이디어를 제안하자 곧바로 “그건 내게 있어 레드라인(red line)이다”라고 선을 그었다. 롤린스는 바로 이런 태도를 경계해야 한다고 조언했다. 이런 식의 반응은 CISO가 실제로는 비즈니스 요구사항을 고려하지 않는다는 신호가 될 수 있기 때문이다.

롤린스는 “CISO는 ‘절대 안 된다’라며 레드라인을 긋는 태도를 취할 수 없다. 만약 그것이 비즈니스에 중요한 사안이라면, 안전하고 보안적으로 구현할 방법을 찾아야 한다. 그렇지 않으면 비즈니스는 결국 보안을 우회해 독자적으로 추진하게 된다”라고 지적했다.

규칙에 지나치게 경직된 태도

트랜센드의 카드웰은 규칙에만 집착하는 CISO 역시 조직과 자신의 경력 모두에 해를 끼칠 수 있다고 지적했다. 실제로 카드웰의 조직에서 이런 사례가 있었다. 팀원이 보안 정책을 이유로 외부 애플리케이션 사용을 거부했는데, 자세히 확인해 보니 해당 앱은 단 두 대의 PC에서 두 달간만 실행되며, 중요한 비즈니스 프로젝트에 필수적이었다.

이에 카드웰은 팀원과 함께 상황을 재검토하고 보안 규칙의 예외를 허용하는 대신 서비스 티켓을 생성해 프로젝트 종료 시점에 해당 앱이 제거되도록 통제 장치를 마련했다. 카더웰은 “이런 접근은 보안이 비즈니스 성장을 지원할 의지가 있다는 메시지를 보여주는 것”이라며, 이는 CISO와 보안팀이 일을 방해하는 장애물이 아니라 함께하는 파트너로 인식되게 만든다고 설명했다.

AI를 잘못 다루는 것

AI가 광범위하게 확산되는 상황에서 CISO는 이 기술을 제대로 이해하고 보안을 적용할 수 있어야 한다. 그렇지 않으면 AI 시대에 적응하지 못한 구식 인물로 인식될 위험이 있다. 그러나 여전히 많은 보안 전문가가 AI를 단순히 일반적인 기술 도구처럼 다루고 있다.

티로 시큐리티(Tiro Security)에서 버추얼 CTO·CISO를 맡고 있으며 IT 거버넌스 전문 협회 ISACA 소속 보안 전문가인 제나이 마린코빅은 “AI는 단순한 기능이 아니라 ‘지형 수정자(terrain modifier)’다. 공격자 환경, 의사결정 과정, 나아가 조직 내부의 ‘진실’ 개념까지 바꿔 놓는다. AI를 단순한 기술 기능으로 본다면 위협 환경을 잘못 해석해 더 이상 존재하지 않는 위협에 맞춘 해결책을 내놓게 될 것이다. 결국 그들의 논리는 실시간으로 시대에 뒤처진다”라고 설명했다.

또한 “내일 무너질 경력은 게으름이나 무능 때문이 아니라 시대에 뒤떨어진 사고 체계로 움직이기 때문일 것”이라고 강조했다.

자산과 상호의존성을 제대로 파악하지 못하는 것

CISO가 자신이 지켜야 할 자산과 환경을 명확히 파악하지 못한다면 성공적인 역할 수행이 불가능하다. 액소니우스의 크니슬리는 “가시성이 부족해 보안 통제의 효과를 설명할 수 없다면 리더십의 신뢰를 잃고 신뢰성과 영향력이 약화된다”라고 지적했다.

티로 시큐리티의 마린코빅은 가시성의 범위가 과거보다 훨씬 넓어졌다며 “오늘날 거의 모든 조직에는 눈에 보이지 않는 상호의존 관계가 존재한다. 이를 모델링하지 못하는 CISO는 스스로 실패를 불러오는 셈”이라고 말했다.

또한 마린코빅은 “생물학적, 디지털, 운영적, 지정학적 요소가 뒤섞인 복합적인 환경에서는 모델링되지 않은 결합 지점에서 가장 큰 실패가 발생한다. 기술적·관리적인 자신의 보안 통제 논리가 보이지 않는 규제, 문화, 경제 시스템과 어떻게 맞물려 있는지 볼 수 없다면 관리할 수도 없다. 결국 경력이 흔들리는 이유는 역량 부족이 아니라 통합적으로 바라보는 시각의 부재 때문”이라고 설명했다.

혼자만의 울타리에 머무는 태도

사이버보안뿐 아니라 모든 전문 분야에서 경력을 발전시키는 데 중요한 요소는 동료가 자신의 일을 잘할 수 있도록 돕고, 신뢰받는 파트너가 되며, 조직 전반에서 관계를 구축하는 것이다. 어떤 직무는 네트워킹을 쉽게 하지만, 어떤 직무는 협업을 통해서만 동료와의 관계를 쌓는다.

대부분 조직에서 보안 부서는 이 두 범주에 잘 들어가지 않는다. 하지만 올스타 이그제큐티브 코칭(All-Star Executive Coaching) 설립자 킴벌리 루시 성공적인 보안 프로그램 운영과 개인의 경력 성장 모두를 위해 관계 구축이 중요하다고 강조했다.

따라서 보안 담당자는 스스로 기회를 만들어야 한다. 루시는 “동료에게 먼저 다가가라. 관심이 있음을 알리고 질문을 던지고 다른 사람의 성과를 인정하며, 배우기 위한 미팅을 마련하라”라고 조언했다. 이어 “자신의 부서를 넘어 영향력을 갖고 싶다면 반드시 해야 할 행동”이라고 덧붙였다.

시간과 관심을 아끼는 태도

CISO가 시간에 쫓기는 자리라는 데는 이견이 없다. 하지만 너무 바빠서 우려를 제기하는 사람들에게 충분한 관심을 주지 못하는 상황은 반드시 경계해야 한다. 트랜센드의 카드웰은 “날카로운 답변으로 상대를 밀쳐내면 그 사람은 다시는 찾아오지 않는다. ‘CISO와는 일하고 싶지 않다’라는 인식을 심어주게 된다”라고 설명했다.

이렇게 되면 그 사람은 보안 부서를 우회해 독자적으로 움직이거나, 보안 취약점에 관한 우려와 정보를 혼자만 간직하게 된다. 카드웰은 “누군가의 의견을 무시하는 순간, 그 사람은 다시는 무언가를 가져오지 않는다. 그래서 누군가가 문제를 들고 오면 나는 항상 감사한 마음으로 받아들인다”라고 말했다.

사소한 불만이나 우려라도 큰 보안 문제를 드러낼 수 있다. 이를 방치하면 보안팀과 리더십 평판에 악영향을 줄 수 있다. 카드웰은 “누군가가 무엇인가를 가지고 찾아온다면 그것이 무엇인지 호기심을 갖고 살펴봐야 한다. 때로는 정말 중요한 사실을 드러낼 수도 있기 때문”이라고 덧붙였다.

침해 사고에 잘못 대응하는 것

CISO만이 아니라 이제는 대부분의 임원도 보안 사고는 ‘발생 여부’가 아니라 ‘언제 발생할지’의 문제라는 사실을 잘 알고 있다. 따라서 사고 자체는 더 이상 경력을 끝내는 요인이 아니다.

카드웰은 “예전에는 침해 사고를 겪으면 CISO에게 치명적인 오점으로 남았다. 하지만 지금은 오히려 반대라고 본다. 차라리 다른 조직에서 침해 사고를 겪고, 그 과정을 통해 배운 뒤, 우리 조직에 와서 더 나은 회복력 관점을 가진 CISO를 고용하고 싶다”라고 말했다.

그러나 사고 대응을 엉성하게 처리하는 것은 경력에 치명타가 될 수 있다. NCC 그룹의 롤린스는 “사고를 잘 처리하지 못하는 것이야말로 커리어를 무너뜨린다”라며 CISO는 숙련된 사고 대응 계획을 갖추고 있어야 한다고 강조했다. 그래야만 신속하고 단호하게 대응하고, 피해를 최소화하며, 빠른 복구로 이어질 수 있다. 또한 침착하고 명확하게 소통하며, 상황을 완전히 통제하고 있다는 인상을 줘야 한다.

롤린스는 “물론 해당 조직에서의 임기가 끝날 수도 있다. 실제로 큰 침해 사고를 겪은 CISO는 이후 18개월 정도만 자리를 지키는 경우가 종종 있다. 하지만 그것이 반드시 전체 경력을 망치는 것은 아니다”라고 덧붙였다.
dl-itworldkorea@foundryco.com