CISO들은 점점 더 이직에 적극적이고, 실제로 역할을 떠날 의지도 커지고 있다. 일부는 누적된 좌절감으로 인해 사이버보안 분야 자체를 떠나는 선택까지 고민하고 있는 것으로 나타났다.

IANS 리서치(IANS Research)와 아티코 서치(Artico Search)가 보안 책임자를 대상으로 진행한 최근 설문조사에 따르면, 보안 임원 69%가 향후 1년 내 이직 가능성을 염두에 두고 있다고 응답했다. 보고서 집필팀은 이들이 주로 더 큰 기업이나 다른 산업 분야의 CISO 역할을 목표로 하고 있지만 CTO, CIO, 이사회 구성원, 또는 대기업 내 2인자급 보안 리더십 역할 등 CISO가 아닌 직무도 함께 고려하고 있다고 설명했다.

전문가들은 이런 변화가 여러 문제가 복합적으로 작용한 결과라고 보고 있다. 인포테크 리서치 그룹의 기술 고문 에릭 아바키안은 “조금 더 나은 직함이나 더 높은 직책을 쫓는 문제가 핵심은 아니다. 극심한 피로 누적, 조직 내 역할과 기대의 불일치, 그리고 현재 많은 조직에서 설계된 CISO 직무 구조 자체가 지속 가능하지 않다는 인식이 확산되고 있는 점이 가장 큰 원인”이라고 설명했다.

CISO는 항상 긴급한 상황에서 일한다. 아바키안은 “예기치 못한 보안 사고, 정기 감사, 이사회 보고, 서드파티 업체 이슈, 각종 규제 대응 기한 등이 일상 업무다. CISO는 이를 벗어나 숨을 고를 수 있는 여지는 거의 없다”라고 설명했다.

이어 “동시에 많은 기업에서 CISO는 여전히 ‘보안 담당자’로 인식될 뿐, 진정한 비즈니스 리더형 경영진으로는 받아들여지지 않는 경우가 많다. 책임은 막중한데 영향력은 그에 미치지 못하는 구조적 간극이 사람을 지치게 만들고, 특히 시간이 지나도 영향력이 확대되지 않을 때 그 피로는 더욱 커진다”라고 분석했다.

이 같은 구조적 문제는 수년에 걸쳐 기업 조직에 굳어져 왔다. 단기간에 해결하기에는 쉽지 않은 과제다.

아바키안은 “단순히 보수를 더 올려주는 것은 해답이 아니다. 물론 최근에는 보상이 점점 더 중요한 요소가 되고 있는 것은 사실이다. 중간급 임원 수준의 보수로 기업 차원의 위험을 감당하도록 요구할 수는 없다. 그러나 금전적 보상만으로는 구조적으로 설계가 잘못된 역할을 바로잡을 수 없다”라고 설명했다.

해법은 기업 보안을 책임지는 이들에게 ‘기업 차원의 위상’을 부여하는 데서 시작된다. 이는 CEO와 이사회에 직접 접근할 수 있는 구조를 의미한다. 아바키안은 “전략을 수립할 시간을 확보하고 조직 전반과 관계를 구축해 영향력을 행사할 수 있어야 하며, IT 조직의 여러 계층 아래에 묻히거나 일상적인 사후 대응 업무에만 매몰돼서는 안 된다”라고 전했다. 책임에 상응하는 권한이 주어져야 하고, 사이버보안 예산과 아키텍처, 서드파티 보안 태세, 전반적인 위험 의사결정에 대해 실질적인 영향력을 행사할 수 있어야 한다.

CISO의 이직 고민은 단순한 불만에서 비롯된 현상으로 보기 어렵다.

아바키안은 “사명감이 사라져서 이직을 고민하는 것이 아니다. 대부분의 CISO와 보안 책임자는 자신이 하는 일과 타인을 돕는 역할에 대해 강한 열정을 갖고 있다. 그럼에도 자리를 떠나고자 하는 이유는, 리더십을 발휘하고 조직을 구축하며 실질적인 변화를 만들고 싶지만 현실에서는 주변 구조가 이를 가로막는 경우가 너무 많기 때문”이라고 분석했다.

따라서 이 문제를 해결하려면 역할 자체를 재설계해야 한다. 아바키안은 “사고 리더십과 팀 리더십을 발휘하고, 조직 전반에 긍정적인 영향력을 행사하는 것이 실제로 가능하도록 구조를 바꿔야 한다”라고 설명했

구조적 취약성

그레이하운드 리서치의 수석 애널리스트 산치트 비르 고지아는 이번 현상이 단순한 이직 증가로만 볼 사안은 아니라고 진단했다. 서서히 진행되는 인재 이탈 국면에 들어섰다고 봤다.

고지아는 “문제의 원인은 보상이나 경력 개발 기회의 부족이 아니다. 핵심은 역할 설계의 실패다. 기업은 보안 책임자에게 스스로 통제하기 어려운 위험에 대해 과도한 책임을 지우는 구조를 만들어왔다. 그에 비해 권한은 충분하지 않고, 이사회 지원도 일관되지 않으며, 사고가 발생하면 책임을 떠안는 위치에 놓이기 쉬운 구조”라고 분석했다.

또한 CISO 역할이 수반하는 정서적 부담은 갈수록 커지고 있다. 고지아의 표현에 따르면 “이는 전문성으로 포장된 트라우마”와 같다. 이러한 심리적 부담은 한 명의 보안 책임자가 조직을 떠난 이후에도 쉽게 사라지지 않는 경우가 많다.

CISO가 조직을 떠나면 그 여파는 빠르게 확산된다. 고지아는 “성과가 우수한 핵심 인력들이 수개월 내 뒤따라 이탈하는 경우가 많고 진행 중이던 프로젝트는 중단되며, 전략적 보안 프로그램도 동력을 잃는다. 조직은 제대로 된 승계 계획도 마련하지 못한 채 임시 대응 체제를 꾸리느라 분주해진다. 이는 단순한 인재 유지 문제가 아니라 구조적 취약성에 가깝다. 그러나 대부분의 이사회는 이를 그런 차원에서 다루지 않고 있다”라고 지적했다.

더 큰 문제는 자리를 떠난 CISO 상당수가 해당 직무 자체를 완전히 떠나고 있다는 점이다.

고지아에 따르면, 일부는 컨설팅이나 분할 자문 형태로 경력을 재설계하고 있다. 최종 방어선으로서 모든 조직적 부담을 짊어지지 않으면서도 업계에 계속 관여할 수 있는 방식이다. 혹은 전사 위험 관리, 감사, 규제 준수 분야로 이동하는 경우도 있다. 이런 영역은 의사결정 권한과 책임이 보다 명확하게 정렬돼 있다.

CISO 이탈을 막는 가장 효과적인 방법은 CISO에게 역할 수행에 필요한 실질적인 권한을 부여하는 것이다.

예를 들어 CISO가 서드파티 위험을 책임진다면, 조달 과정에서 거부권을 행사할 수 있어야 한다. 침해 사고 대응을 총괄한다면, 예외를 어떻게 승인하고 문서화할지에 대한 권한 역시 가져야 한다. 고지아는 “최근 점점 더 많은 CISO에게 컴플라이언스, 사기 대응, 개인정보 보호, ESG까지 광범위한 책임이 추가되고 있지만, 이에 상응하는 인력과 예산, 조직 내 정치적 지원은 충분히 제공되지 않고 있다”라고 지적했다.

모든 문제가 CISO의 책임이지만 정작 통제할 수 있는 영역은 거의 없다면, 합리적인 선택은 결국 자리를 떠나는 것뿐이다.

단일 실패 지점이 된 CISO

미국 미주리주 세인트루이스에 위치한 헬스사이언스앤파마시대학교의 CISO인 잭 루이스는 실제로 이직을 고려하는 CISO 비율이 IANS 조사 결과보다 더 높을 것이라고 보고 있다. 루이스는 “지금 알고 있는 거의 모든 CISO가 이직에 개방적이다. 모두 적극적으로 새로운 기회를 찾고 있고 변화를 원하고 있다”라고 설명했다.

다만 민간 기업에서 일하는 CISO와 상장 기업 소속 CISO 사이에는 차이가 있다. 루이스는 “미국 증권거래위원회(SEC)가 CISO를 기소 대상으로 검토하기 시작한 이후, 관련 발언과 움직임이 CISO를 불안하게 만들고 있다. CISO 역할은 계속 맡고 싶어 하지만, 상장 기업에서는 일하고 싶지 않다는 분위기가 있다”라고 설명했다.

전직 연방 검사 출신으로 현재 포머가브(FormerGov)의 전무이사를 맡고 있는 사이버보안 컨설턴트 브라이언 레빈 역시 상장 기업 CISO 사이에서 우려가 커지고 있다고 전했다.

레빈은 “침해 사고에 대한 법적 책임이 개인에게까지 미치고, 이사회의 지원이 형식적인 수준에 그친다고 느끼는 순간 CISO는 ‘이 일이 과연 감수할 가치가 있는가’라고 자문하게 된다. 그 답은 점점 더 ‘아니오’로 기울고 있다”라고 말했다.

이사회가 우수한 사이버 보안 인재를 붙잡고 싶다면, CISO를 위험을 떠안는 존재로 취급하는 방식을 멈추고 전략적 가치를 창출하는 핵심 인물로 대해야 한다. 레빈은 “영향력과 예산, 법적 보호는 특혜가 아니라 전제 조건이다. 이 같은 인식의 간극이 결국 뛰어난 인재를 조직 밖으로 내몰고 있다”라고 지적했다.

실질적인 CISO 승계 계획을 마련하지 못하고 있는 점도 문제다. 레빈은 “부책임자 육성 체계를 구축하고 인재를 순환 배치하는 구조가 필요하다. 현재는 너무 많은 CISO가 사실상 단일 실패 지점으로 남아 있고, 당사자들 역시 그 사실을 잘 알고 있다”라고 강조했다.
dl-itworldkorea@foundryco.com