많은 이사회가 사이버 보안 전문성이 부족하며, CISO은 이로 인해 이사회 승인을 얻기 위한 과정에서 장애물에 맞닥뜨린다. 일부 보안 경영진은 이사회와의 소통 통로가 제한적이거나, 지나치게 기술 중심적인 인물로 평가받으면서 경영진으로서의 신뢰를 얻기 어려운 상황에 처한다. 보안 경영진과 이사회의 관계는 복잡한 경우가 많다.

일부 CISO는 직접 이사회 멤버가 되어 무엇이 중요하고 어떻게 이사회에 소통할지를 더 잘 이해하려는 노력으로 관계를 개선하고 있다. 자신의 위상을 높이고, 미래의 도구 개발을 돕거나, 업계 지식 확대에 기여하기 위해 이사회 역할을 추구하는 사람도 물론 있다.

ISACA 이사회 부의장 제이미 노턴은 후자의 경우에 해당한다. 노턴은 CSO와의 인터뷰에서 ” 장기 회원으로 활동하다 경력의 일정 단계에 이르렀을 때 업무 시간을 더 자유롭게 조율할 수 있게 되었고, 업계에 환원하고 싶었다. ISACA를 통해 전 지구적 규모에서 이를 성취할 수 있다는 점이 완벽한 기회라고 생각했다”라고 말했다.

액센추어의 글로벌 사이버 보건 경영진 미트라 미나이는 위기 순간에만 이사회와 관여하는 것이 아니라 솔루션의 일부가 되고자 했다. 미나이는 “보안과 디지털 위험에 대한 이사회의 이해가 기업 결과에 직접 영향을 미친다는 것을 직접 목격했다. 특히 사이버 침해가 환자 안전과 진료 연속성에 영향을 미칠 수 있는 의료 분야에서는 더욱 그렇다”라고 설명했다. 미나이는 호주 정보 보안 협회(AISA)의 이사회 멤버, 호주 사이버 보안 센터의 산업 자문 멤버, 호주 비영리단체 유나이팅 에이지웰(Uniting AgeWell)의 디지털 거버넌스 위원회 멤버를 역임하고 있다.

미나이는 “거버넌스 수준에서 관여하면 더 일찍, 더 전략적으로 기여할 수 있으며, 이사회가 위기 발생 전에 위험 선호도, 투자 우선순위, 회복력을 형성하도록 도울 수 있다”라고 덧붙였다. 미나이는 또한 “이사회가 기술, 신뢰, 규제, 그리고 기업의 목적 사이의 증가하는 교집합을 탐색하도록 돕는 기회도 제공한다”라고 강조했다.

의료 분야처럼 사이버 침해는 다른 주요 기반시설 서비스에서도 치명적인 영향을 미친다. 변화를 만들고 싶은 CISO에게 업체 자문 이사회는 또 다른 선택지가 된다.

SA 파워 네트웍스의 사이버 보안 및 IT 회복력 책임자 네이선 모렐리는 보안 업체의 자문 이사회에 참여한 이유로 전 세계 필수 서비스를 보호하는 제품의 미래 방향을 직접 형성하기 위한 전략적 선택을 들었다.

모렐리는 “중요 기반시설에서 사이버 침해의 영향은 상당하며, 우리가 사용하는 도구가 실제로 목적에 맞는지 확보하고 싶었다. 이런 이사회에 참여함으로써 단순히 현 상황에 반응하는 것이 아니라 내일의 기술을 형성할 수 있는 자리를 얻게 된다. 한 기업의 경계를 넘어 전체 산업의 회복력에 영향을 미치는 사안”이라고 말했다. 모렐리는 사이버라, 크라우드스트라이크, 프루프포인트, 세일포인트의 자문 이사회 멤버다.

이사회 진출, 순탄한 길 아냐

CISO은 이사회 역할이 어려울 수 있다는 점을 인식해야 한다. 노턴은 오랫동안 ISACA의 캔버라 지부에 참여해 왔음에도 불구하고 이사회 역할을 따내기 전에 여러 시도를 거쳤다. 노턴은 처음 지원했을 때 떨어졌고, 다음 해에는 다시 시도했지만 역시 실패했다. 노턴은 연이은 거절이 개인적으로 힘들었지만, 유익한 피드백을 받았고 재지원을 권장받았다고 말했다.

노턴은 “프로세스에 대해 많은 성찰이 있었고, 그 결과가 전문성이나 경험상의 어려움이었는지, 아니면 단순히 이사회가 필요로 했던 기술이 그 결과를 주도했는지를 고민했다”라고 말했다. 또한 “필요한 기술이 곧 전문성과 일치하게 되었고 성공했다. 그 이후로 정말 훌륭한 여정이 펼쳐졌다”라고 전했다.

사실 적지 않은 헌신이 필요한 일이기는 하다. 노턴은 “주당 많은 시간을 이사회 관련 업무와 회의에 소비해야 하며, 많은 회의가 타국가 시간에 맞춰 한밤중에 진행된다”라고 설명했다.

미나이는 자문 및 위원회 직책이 특정 자격증을 요구하지 않지만, 이사회 수준에서 효과적이 되려면 거버넌스 역량과 신뢰성이 필수적이라고 말했다. 미나이는 향후 12~18개월 내에 호주회사이사협회(AICD) 거버넌스 교육을 완료할 계획을 밝혔으며, 더 광범위한 비상임 이사 역할을 향한 의도적인 진출의 일부라고 설명했다.

이사회 역할을 목표로 하는 CISO을 위한 팁

모렐리는 글로벌 업체 이사회에 기여하고 싶은 CISO에게 고객 입장에서 벗어나ㅣ 진정한 파트너로의 역할에 집중하라고 조언했다. 또한 제품의 진화가 전체 산업의 위험 프로필에 어떤 영향을 미치는지를 설명할 수 있는 능력이 필요하다고 강조했다.

산업 외 또는 공공 이사회의 경우, 손익계산서, ESG 보고서, 인신매매 및 강제노동 방지 보고서 같은 논의에 기여하면서 편안함을 느껴야 한다. CISO는 조직의 전사적 전략과 지속가능성을 감시하는 역할을 맡기 때문이다.

미나이, 모렐리, 노턴은 다음과 같은 핵심 팁을 제시했다:

• 직책이 아닌 거버넌스로 시작하라. 위원회, 비영리 이사회, 산업 협회는 실제 거버넌스 경험을 제공한다.
• 거버넌스를 집행과 관리에서 분리하라. 이사회의 효과성은 감시와 판단을 요구하지, 운영상 문제 해결을 요구하지 않는다.
• 이사회의 언어를 배워라. 이사회는 통제와 도구뿐만 아니라 위험 선호도, 트레이드오프, 결과, 가치 창출에 초점을 맞춘다.
• 정식 거버넌스 교육에 투자하라. 숙련된 경영진도 이사회 역할로 이동할 때 체계적인 거버넌스 교육의 이점을 얻는다.
• 현명하게 선택하라. 전문성이 정말 중요하고 가치와 일치하는 기업의 이사회에 초점을 맞추어라.
• 자원봉사를 고려하라. 첫 이사회 역할로 비영리 단체나 자선단체를 목표로 삼으면 귀중한 첫 이사회 경험을 얻을 수 있다.
• 네트워크를 활용하라. 이사회 기회는 종종 기존 관계에서 비롯된다.
• 자격증을 취득하라. NACD 이사 자격증 또는 유사한 자격증에 투자하는 것을 고려하라.

브랜딩과 내러티브는 CISO 역할에서만큼 중요하다. 금융, 법률, 거버넌스, 위험, 위기 관리, 규제 탐색, 전략적 거버넌스 등 핵심 기술과 경험을 강조하는 이사회 이력서를 조사하고 개발해야 한다.

다른 관점에서의 이사회 경험

CISO은 이사회 멤버가 되면서 많은 이점을 얻는다. 노턴은 가장 중요한 것으로 이사 사고방식에 대한 더 깊은 이해를 꼽았다. 노턴은 ” 어떤 위험이 조직에 실질적 영향을 미치는지, 이사회 보고에서 원하는 적절한 세부 수준은 무엇인지, 그리고 위험 선호도와 기업 전략에 대한 기여를 이해하는 것은 매우 귀중한 경험”이라고 말했다. 노턴은 또한 “일상적인 CISO 역할을 하다가 이사회 메시징의 균형을 맞추고 올바른 방식으로 논의를 구성하는 방법을 이해하면 상당한 도움이 된다”라고 강조했다.

미나이의 경험은 경영진으로서 미나이의 사고와 리더십을 형성했다. 미나이는 기능 최적화 이상의 장기적이고 전사적인 관점 개발, 이사회가 위험, 투자, 문화, 이해관계자 기대를 어떻게 균형 있게 맞추는지를 더 깊이 이해하기, 불완전한 정보로 불확실성 속에서 의사 결정하는 노출, 기술과 사이버 위험을 전략적·재정적 함의로 변환하는 능력 발전 등의 이점을 경험했다고 설명했다.

미나이는 이런 역할을 통해 노인요양, 학계, 정부, 비영리 단체 등 다양한 분야에 접하면서 선임 경영진으로서의 안목과 영향력을 키웠다고 말했다.

모렐리에게는 향후 18~24개월의 업계 방향성을 볼 수 있다는 것이 이점이다. 모렐리는 “네트워크의 상당한 복합 효과도 있다. 세계 최상위 CISO와 비즈니스 경영진이 함께하는 자리에 앉아 있으면 어떤 브리핑 자료도 제공할 수 없는 수준의 전략적 인텔리전스를 얻게 된다. 전 지구적 규모에서 활동하는 동료로부터 끊임없이 도전받기 때문에 경영진으로서 성장할 수밖에 없다”라고 말했다.

사이버 보안 경영진이 이사회에 영입되는 사례가 증가하고 있지만, 단순한 참여만으로는 실질적인 역할을 보장할 수 없다.

미나이는 거버넌스 역할에서 성공하는 CISO는 사이버 보안을 단순한 기술 방어가 아니라 신뢰, 회복력, 기업 관리의 문제로 재구성할 수 있는 사람들이라고 말했다. 미나이는 “이사회는 또 다른 보안 운영자가 아니라 복잡성 속에서 명확한 사고, 침착한 판단, 그리고 전략적 통찰력을 찾고 있다”라고 강조했다. 또한 “베테랑 CISO들이야말로 독특하고 오래 지속될 기여를 할 수 있는 자리”라고 덧붙였다.
dl-itworldkorea@foundryco.com