최근 사이버보안 업체 사이택틱(Cytactic)이 발표한 ‘2025 사이버 사고 대응 관리 보고서(State of Cyber Incident Response Management, CIRM)’에 따르면, 미국 내 480명의 보안 책임자 중 약 70%가 “사고 발생 시 내부 갈등이 공격 자체보다 더 큰 문제를 초래한다”라고 응답했다.

보고서 집필팀은 “CISO와 CEO 간의 긴장, 불분명한 권한, 준비되지 않은 시나리오, 주요 팀 간의 커뮤니케이션 단절이 수많은 도구와 인재에 대한 투자에도 불구하고 침해 대응을 무력화한다”라고 분석하며 “책임이 모호하거나 바뀌는 상황이 대응을 지연시키며, 결과적으로 공격자보다 더 큰 혼란을 유발한다”라고 지적했다.

여러 전문가에 따르면, 이런 문제의 근본 원인은 사고 발생 이전부터 자리 잡은 인식과 정렬 문제에 있다. 예를 들어, CISO의 보안 강화 제안이 매출 달성을 방해한다고 여기는 오해가 여전히 기업 내에 존재한다는 것이다. 이로 인해 보안팀은 운영 효율성의 적으로 오인되고, 위기 상황에서의 협력 기반이 약화된다는 분석이다.

전문가들은 CISO가 이 같은 인식 문제를 고려해 보안 전략을 세우고, 동료 및 이사회와의 커뮤니케이션에서 보안의 ‘비즈니스적 가치’를 명확히 보여줘야 한다고 조언했다. 예를 들면 인증 행위 분석이나 패스워드 없는 보안 방식을 강조함으로써 보안이 사용자 불편을 최소화하면서도 비즈니스 부서가 안전하게 목표를 달성할 수 있도록 돕는다는 점을 보여줄 수 있다.

포레스터 수석 애널리스트 제프 폴라드는 CISO와 CEO, 그리고 각 사업부 리더 간의 관계를 약화시키는 또 다른 원인으로 ‘보상 구조의 불균형’을 꼽으며 “현재의 보상 체계가 의도치 않게 CISO를 LOB 임원, CEO, CFO와 충돌하는 위치에 놓이게 만든다”라고 말했다.

폴라드는 “CEO와 각 사업부 임원들은 모두 손익(P&L)을 책임진다. 그러나 CISO 대부분은 예산은 있지만 손익 책임이 없다. 이런 구조적 차이로 인해 CISO 조직이 ‘비용만 발생시키는 부서’로 인식된다”라고 설명했다.

이 같은 인식의 단절을 해소하기 위해 폴라드는 “CISO는 CEO와 사업부 동료들에게 보안이 실제로 매출, 시장 점유율, 고객 유지에 기여한다는 사실을 꾸준히, 그리고 분명하게 상기시켜야 한다”라고 강조했다.

폴라드는 “각 사업부의 고객들은 모두 서드파티 리스크 관리 설문지를 작성하고, 감사 자료를 꼼꼼히 검토하고 있다. CISO는 고객이 실제로 보안을 요구하고 있다는 사실을 내부에 제대로 전달하지 못하고 있다. 그 보안 도구를 도입한 건 단순히 흥미로워서가 아니라, 사업부 고객이 ‘우리가 사용하는 서비스는 웹 공격에 어떻게 대응하느냐’라고 직접 물었기 때문이라고 말해야 한다”라고 말했다.

CISO가 매출에 기여하는 지점은 바로 여기에 있다. 폴라드는 “아마도 매우 중요한 고객이 그것을 요구했을 것”이라고 설명했다.

폴라드는 보안 책임자에게 “CISO는 일을 복잡하게 만드는 사람이 아니라, 고객이 요구하는 것을 실행하고 있는 사람이다”라고 CEO와 사업부 동료들에게 분명히 말하라고 조언했다. 이어 “CISO 조직이 하는 일의 이유를 보여줘야 한다. 왜냐하면 그것은 바로 고객들이 요구하는 일이기 때문”이라고 덧붙였다.

정부 및 군 출신 전문가 네트워크 디렉토리 서비스를 제공하는 포머거브(FormerGov)의 전무 브라이언 레빈은 기업 내 각 임원이 서로 다른 접근법을 취하는 것이 오히려 긍정적인 결과를 낳을 수 있다고 분석했다.

레빈은 “갈등은 반드시 필요하다. 서로 다른 동기, 보상 구조, 전문성이 존재하기 때문에 기업을 바라보는 관점도 다양해지고, 그만큼 성공으로 가는 새로운 길을 찾을 수 있다. 가장 중요한 것은 그 갈등 자체를 문제로는 보지 않는 것”이라고 설명했다.

위험 관리 컨설팅 기업 얼라이언트 인슈어런스 서비스(Alliant Insurance Services)의 수석부사장 CJ 디츠만은 CISO가 각 사업부가 필요로 하는 바를 정확히 이해하고, 그 요구를 충족하는 데 집중해야 한다고 조언했다. “비즈니스를 우선시하고 그 안에서 보안을 논의해야 한다. CISO가 사업부 임원들이 목표를 달성하도록 도울 수 있다면, 그들은 자연스럽게 보안팀의 든든한 동맹이 될 것이며, 이는 사이버 위기가 발생했을 때 내부 긴장을 완화하는 데도 큰 도움이 된다”라는 설명이다.

이어 디츠만은 “CISO라면 자신의 비즈니스를 제대로 이해해야 한다. 보안 중심의 논리로 출발해서는 안 된다”라고 강조했다.
dl-itworldkorea@foundryco.com