일부 접근 방식은 재무 모델을 기반으로 투자 대비 효과를 입증하려 하고, 또 다른 접근은 위험을 수치화해 위험 감소 효과를 강조한다.

이들 접근은 모두 데이터 기반이며 합리적 논증을 중심으로 설계돼 있다. 그러나 대기업 최고 의사결정권자들이 실제로 이런 방식으로 결정을 내릴까라는 질문이 뒤따른다.

사실 이러한 접근은 지난 20년 동안 CISO, 사이버보안 컨설턴트, 사이버보안 공급업체가 최고경영진을 향해 구축해 온 하향식 서사의 일부다. 필자의 경험에 따르면 이런 서사는 현실의 기업 역학을 구성하는 세 가지 요소와 충돌한다.

첫째, 기업 차원의 의사결정은 겉보기에는 합리적인 노력처럼 보이지만, 실제로는 다니엘 카너먼과 그의 학파가 입증했듯 인지 편향의 영향을 크게 받는다.

사이버보안 영역에서는 이 점이 특히 분명하게 드러나며, 두 번째 지점으로 이어진다.

보안 업계에 오래 몸담은 사람이라면 누구나, 규제 조사, 부정적인 감사 보고서, 실제 사고, 아찔한 근접 사고, 또는 경쟁사에 영향을 미친 유사 사건이 발생하자마자 이전에 거부됐던 예산이 대규모로 풀리는 상황을 목격했을 것이다. 이는 많은 CISO가 익숙해하는 “우리에게도 일어날 수 있는가”라는 질문과 맞닿아 있다.

이런 상황에서는 투자 대비 효과나 위험 감소에 대한 우려가 제기되지 않는다. 최고경영진은 사고가 발생했을 때 책임을 다했다는 증거와 체크된 항목을 원한다. 실행이 뒤따르지 않으면 책임은 다른 누군가에게 전가된다. 그 대상은 종종 CISO이며, 이 때문에 CISO는 ‘사고 책임 전가 책임자’로 불리기도 했다.

더 근본적으로는, 사이버 공격을 둘러싼 ‘발생 시점의 문제이지 발생 여부의 문제가 아니다’라는 인식이 이미 많은 이사회에 자리 잡았다. 20년에 가까운 연속적인 침해 사고 이후, 비즈니스에 미치는 영향을 인지하지 못하는 이사회 구성원을 찾기는 어려운 상황이다. 이 점은 세 번째 지점으로 이어진다.

필자는 특히 CIO와의 논의에서, 사이버보안 예산에는 “원하는 것은 무엇이든 담을 수 있지만”, 실제 문제는 사이버 프로젝트를 실행하는 데 있다는 솔직한 인정을 여러 차례 들었다.

그렇다면 자원 부족을 호소하는 CISO와 공급업체, 그리고 사이버보안에 대한 인식이 높아지고 투자를 원하고 있는 최고경영진 사이의 이 괴리는 어디에서 비롯되는가.

예산 신화 : 사이버보안이 실제로는 자금 부족이 아닌 이유

사이버보안 프로젝트는 효과적인 보호를 제공하기 위해 기업 내 사일로와 지역을 가로질러야 하므로 본질적으로 복잡한 경우가 많다. 영토 의식과 정치성이 강한 대기업 환경에서는 자연스러운 현상이 아니다.

그러나 이보다 더 중요한 요소는 CISO의 프로필이다.

다수의 CISO는 기술자 출신으로, 지난 10년 동안 사고 대응에 매달려 왔다. 장기적인 서사를 구축하거나 실행하는 역량을 갖추지 못한 경우도 적지 않다.

현재처럼 최고경영진의 시선이 집중된 상황에서 성공에 필요한 관리 경험, 정치적 감각, 개인적 존재감을 충분히 개발하지 못했다.

많은 CISO는 사이버보안 성숙도가 낮은 근본 원인을 만성적인 투자 부족에서 찾는다. 그러나 실제 핵심은 만성적인 실행 실패와 기업 전반에 만연한 단기주의다.

단기 성과가 나오거나 규정 준수 보고서의 체크 항목이 채워지면 프로젝트 우선순위가 밀리고, 임원이 교체될 때마다 방향이 바뀌며, 시장 변동성이 나타나면 이니셔티브가 중단된다. 이런 현상은 대기업에서 사이버보안 성숙도가 장기간 정체되는 진짜 원인이 거버넌스와 문화에 있음을 보여준다.

이런 문화적 요소를 이해하지 못한 CISO는 주요 의사결정에서 배제되는 경우가 많고, 그 결과 좌절감이 쌓인다. 좌절감은 짧은 재임 기간으로 이어지며, 실제로 많은 CISO의 재임 기간은 2~3년에 불과하다. 짧은 재임 기간은 관리와 리더십의 불일치를 더욱 악화시킨다. 대기업 환경에서 이 정도 시간으로 실질적인 변혁을 이끌어내기는 어렵다.

최고경영진 입장에서도 CISO의 잦은 교체는 좌절을 낳는다. 수백만 달러의 예산을 요구하며 거창한 계획을 들고 왔다가 몇 년 만에 떠나며 모든 것을 미완성으로 남긴 사례를 너무 많이 봐왔기 때문이다.

첫 100일 : 신뢰가 형성되거나 무너지는 시점

이러한 괴리의 상당 부분은 CISO의 첫 100일 동안 형성된다.

많은 CISO는 면접 과정에서 만들어진 선입견, 과거에 효과를 봤던 방식, 개인적으로 선호하는 주제나 공급업체, 컨설턴트를 안고 새로운 역할에 들어온다.

또 첫 100일 동안 전문가로서의 역량을 증명해야 한다고 느끼는 경우도 많다. 그러나 이는 실수다. 역량은 이미 채용 시점에서 전제돼 있다. 진짜 과제는 다른 데 있다. 첫 100일의 핵심은 기업 구조에 적응하고 리더로서 행동할 수 있는 능력을 입증하는 데 있다.

필자의 관점에서 그 출발점은 경청이다. 이해관계자와 후원자의 기대와 고충, 과거에 무엇이 효과적이었고 무엇이 그렇지 않았는지, 그 이유는 무엇인지, 전임자에게 어떤 일이 있었는지를 듣는 과정이다. 때로는 “무엇을 도와줄 수 있는가”라는 질문이 가장 효과적일 수 있다.

이 과정은 사이버보안 서사를 공동으로 구축하는 여정을 시작하게 하며, 더 나아가 기업의 사이버보안 전략으로 이어진다.

목표가 이해관계자와 공유되면 마찰이 줄어들고, 시간이 지나면서 사이버보안 서사를 전달하는 비즈니스 챔피언이 등장한다. 해당 서사는 CISO의 것이 아니라, 구성원 자신의 것이 된다.

또한 이 과정은 CISO를 기업의 거버넌스와 리더십 역학에 자연스럽게 포함시킨다.

진정한 경청을 통해 기업 전반의 문화적 흐름, 동맹 관계, 실제 의사결정이 이뤄지는 비공식 신뢰 네트워크를 파악하고 따를 때, CISO는 비즈니스 리더에게 신뢰받는 존재가 된다.

그 단계에 이르면 예산 논의는 설득과 대립의 장이 아니라, 신뢰를 바탕으로 한 파트너 간의 쌍방 논의로 전환된다.

반대로 첫 100일을 전술적 역량 입증에만 집중한 CISO는 운영적 사고 대응에 갇힐 위험이 크다. 이 함정에서 벗어나는 사례는 드물다. 안정적인 운영 책임자로 인식될 수는 있지만, 전략 테이블에 초대받기는 어렵다.

이런 상황에서는 기업 차원의 보호를 총괄하고 모든 규제 의무를 충족하기 위해 CISO 역할이 필요해진다. 그러나 피할 수 없는 운명은 아니다.

궁극적으로 사이버보안 리더십의 미래는 행동과 투자에 앞서 영향력과 신뢰 구축이 우선돼야 한다는 사실을 인식한 CISO에게 돌아갈 것이다.

이사회는 더 이상 사이버 위험의 중요성을 설득당할 필요가 없다. 필요한 것은 복잡한 기업 역학을 이해하고, 모든 이해관계자와 신뢰를 구축하며, 사일로 전반에서 실행을 조율할 수 있는 문화적으로 정교한 리더다.

첫 100일은 기술 시연이나 예산 공방이 아니라, 경청과 정렬, 그리고 비즈니스 리더가 주인의식을 느끼는 서사를 공동으로 만들어 가는 과정에서 방향이 정해진다.

이 과정을 통해 CISO는 자원을 호소하는 입장에서 벗어나 진정한 경영진으로서 전략을 형성하는 위치로 이동한다. 주변에서 불을 끄는 소방수가 아니라, 기업 중심에서 회복탄력성을 설계하는 설계자로 자리 잡게 된다.
dl-itworldkorea@foundryco.com