CISO의 역할 강화…CEO 보고와 이사회 협업 증가

글로벌 사이버 보안 및 옵저버빌리티 선도기업 스플렁크(Splunk)가 영국 경제 연구기관 옥스퍼드 이코노믹스(Oxford Economics)와 공동으로 진행한 연구 보고서 "CISO 리포트 2025(The CISO Report 2025)"를 발표했다. 이번 보고서는 전 세계 600명의 최고정보보호책임자(CISO)와 이사회 구성원을 대상으로 한 설문조사 결과를 바탕으로 CISO의 역할 변화와 경영진 및 이사회와의 협력 관계를 심층 분석했다.

CISO의 위상은 기업 내에서 점점 더 강화되고 있다. 이번 조사에 따르면, 응답자의 82%가 CEO에게 직접 보고하고 있으며, 이는 2023년 47% 대비 큰 폭으로 증가한 수치다. 또한 83%의 CISO가 이사회 회의에 자주 또는 대부분 참석하고 있다고 응답해, 보안이 단순한 기술적 이슈를 넘어 기업의 전략적 의사결정에 중요한 요소로 자리 잡았음을 보여준다.

이사회 내 사이버 보안 전문가의 중요성도 강조됐다. CISO의 60%는 이사회에 보안 전문가가 포함될 경우 보안 관련 의사결정이 더 효과적으로 이루어진다고 답했다. 하지만 현재 이사회 내 보안 전문성을 가진 구성원이 최소 1명 이상 포함된 경우는 29%에 불과해, 여전히 개선이 필요한 부분으로 나타났다.

■보안 목표 설정과 예산 배정에서의 협력

CISO와 이사회 간 협력이 강화되면서 보안 목표 설정과 예산 배정 과정에서도 긍정적인 변화가 감지됐다. 특히 CISO 출신 구성원이 포함된 이사회에서는 보안 목표 조율(80%), 보안 목표 달성 진행 상황 공유(60%), 보안 예산 확보(50%) 등의 영역에서 더욱 원활한 협력이 이루어지는 것으로 나타났다. 반면, 보안 전문가가 없는 이사회에서는 이러한 협력 수준이 각각 27%, 16%, 24%에 그쳤다.

또한, 이사회와 원활한 관계를 유지하는 CISO들은 IT 운영팀(82%) 및 엔지니어링팀(74%)과도 긴밀한 협력을 유지하고 있으며, 생성형 AI를 활용한 보안 업무 도입에서도 앞서가는 경향을 보였다. 위협 탐지 규칙 생성(43% vs. 31%), 데이터 분석 수행(45% vs. 28%), 사이버 공격 대응(42% vs. 29%), 사전 위협 탐지(46% vs. 28%) 등의 업무에서 AI 활용이 두드러졌다.

■이사회와 CISO 간 시각 차이

보안의 중요성에 대한 인식이 높아졌음에도 불구하고, 여전히 이사회와 CISO 간의 시각 차이는 존재했다.

-새로운 기술을 통한 혁신: CISO 52% vs. 이사회 33%

-보안팀 직원 역량 강화 및 재교육: CISO 51% vs. 이사회 27%

-회사 수익 성장 기여: CISO 36% vs. 이사회 24%

또한, 이사회는 CISO가 더 뛰어난 비즈니스 리더가 되기를 기대하지만, 새로운 기술을 배우는 것이 CISO의 업무를 더욱 복잡하게 만들고 있다. CISO의 53%는 이 직책을 맡은 후 업무 부담과 기대치가 증가했다고 답했다.

이사회와 CISO가 중요하게 생각하는 역량도 차이를 보였다.

-비즈니스 감각: 이사회 55% vs. CISO 40%

-감성 지능: 이사회 45% vs. CISO 35%

-의사소통 능력: 이사회 52% vs. CISO 47%

-규제 및 컴플라이언스 지식: 이사회 44% vs. CISO 57%

■규정 준수와 내부 고발자의 역할

법과 규정이 점점 더 복잡해지면서 CISO의 역할과 책임도 더욱 확대되고 있다. 특히 이사회는 규정 준수를 최우선 성과 지표(45%)로 강조한 반면, CISO 중 15%만이 규정 준수를 가장 중요한 성과 지표로 인식하는 것으로 나타났다. 또한 CISO의 21%는 규정 위반 문제를 보고하지 말라는 압력을 받은 경험이 있다고 답했으며, 반면 59%는 조직이 규정을 무시할 경우 내부 고발자로 나설 의향이 있다고 밝혔다.

■사이버 보안 예산 삭감이 초래하는 위험

사이버 보안 예산 문제는 여전히 중요한 이슈다. 이번 조사에서 사이버 보안 예산이 충분하다고 응답한 CISO는 29%에 불과한 반면, 이사회 구성원의 41%는 현재 예산이 적절하다고 평가했다.

CISO의 64%는 현재 보안 대응이 충분하지 않다고 우려했으며, 18%는 지난 12개월 동안 예산 부족으로 인해 중요 비즈니스 프로젝트를 지원하지 못했다고 답했다. 예산 삭감으로 인해 보안 솔루션 및 도구 축소(50%), 보안 인력 채용 중단(40%), 보안 교육 축소(36%) 등이 발생한 것으로 나타났다. 또한 CISO의 94%가 사이버 공격을 경험했으며, 그중 55%는 최소 두 번 이상의 공격을 받았다고 응답했다.

■AI, 사이버 보안의 게임 체인저가 될까?

AI는 사이버 보안의 미래에 중요한 역할을 할 것으로 전망된다. 하지만 CISO와 이사회는 AI의 영향에 대해 상반된 입장을 보였다. CISO의 53%는 AI가 사이버 공격자에게 유리한 환경을 제공할 것이라고 우려했으나, 22%는 AI 덕분에 보안 팀이 공격자보다 우위를 점할 것으로 예상했다.

AI를 활용한 보안 업무에서 CISO들은 멀웨어 분석 및 위협 탐지(47%), 위협 탐지 규칙 생성(39%), 데이터 분석(30%), 보안 정책 개발(25%) 등의 영역에서 AI를 적극 도입할 계획을 밝혔다.

■이사회와 CISO 간 협력이 기업 보안을 결정한다

이번 "CISO 리포트 2025"는 CISO와 이사회 간 협력이 기업 보안의 핵심 요소가 되고 있음을 분명히 보여준다. CEO에게 직접 보고하는 CISO가 증가하고, 이사회 회의 참여가 확대되는 것은 긍정적인 변화지만, 여전히 보안 목표와 예산 배정, 규정 준수 등에 대한 이견이 존재한다.

기업이 사이버 위협에 효과적으로 대응하기 위해서는 CISO와 이사회 간의 지속적인 협력과 상호 이해가 필수적이다. 특히 보안을 비즈니스 성장의 촉진 요소로 인식하고, AI와 같은 신기술을 전략적으로 활용하는 것이 향후 경쟁력을 좌우할 핵심 요소가 될 것이다.

[ISDP 2025] 2월 11일, 제13회 전반기 최대 정보보호&데이터 보안 컨퍼런스&전시회 개최(7시간 보안교육 이수 / 구 G-PRIVACY 컨퍼런스)

-주최: 데일리시큐

-후원기관: 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회

-일시: 2025년 2월 11일 화요일 오전 9시~오후 5시

-장소: 서울 삼성동 코엑스 3층 컨퍼런스룸E(1~6 전관) 및 로비

-참석인원: 개인정보보호 및 정보보안 실무자 1,000여 명

-참가비: 무료(현업 보안실무자에 한해 참석가능/이외 참석불가)

-점심 및 주차: 지원하지 않습니다.

-보안교육이수: 보안교육 7시간(CPPG, CISSP 등 자격증도 7시간 인정)

(※참석 후 설문을 제출해 주신 분에 한해 이수증을 보내드립니다.)

-등록마감: 2025년 2월 9일 오후 6시까지