IANS 리서치와 아티코 서치의 보고서는 CISO 이직률은 2022년 21%, 2023년 12%, 2024년 상반기 기준 연환산 11%로 점차 안정세를 보이고 있다고 밝혔다. 하지만 기업은 여전히 명확한 현실에 직면해 있다. 보안 총괄 책임자가 퇴사할 때, 그 자리를 바로 이어받을 준비가 된 인재가 기업 내에 거의 없다는 점이다.

표면적인 안정세 이면에는 더 심각한 문제가 있다. 대다수 기업은 CISO에 대한 명확한 승계 계획도, 차세대 보안 리더를 육성하는 체계적인 프로그램도 갖추지 못하고 있어, 리더십 공백이 발생할 경우 그대로 노출될 수밖에 없는 구조다.

이 문제는 단순히 기술 역량을 갖춘 인력을 찾는 수준에 그치지 않는다. 기업 내부에서 경영진과 소통하고 전략적 사고를 할 수 있는 보안 리더를 체계적으로 육성하지 못하는 것이 핵심이다. 보안 전문가가 CISO로 성장하려면 비즈니스 관점의 사고, 경영진과의 커뮤니케이션 능력, 전략적 리더십을 갖춰야 한다. 하지만 사이버 위협이 고도화되고 규제가 복잡해지는 상황에서, 실무 보안과 경영 리더십 간의 간극은 더욱 벌어지고 있다.

CISO 승계 계획의 공백

기업이 CISO 승계 계획을 공식적으로 수립하는 경우는 얼마나 될까? 인재 관리 컨설팅 업체 콘페리의 매기 마이어스 전무는 “거의 전무하다”라고 단언한다. 바로 이러한 준비 부족이 그녀의 회사에 수많은 의뢰가 들어오는 이유라는 설명이다.

내부 리더를 육성하는 전략이 없는 기업은 결국 외부 채용에 의존하게 된다. 이 과정은 수개월이 걸릴 수 있으며, 그동안 핵심 보안 직무가 공석으로 남는 위험도 있다.

마이어스가 고객사에서 가장 자주 듣는 이야기는 대부분 비슷하다. ‘보안 책임자 직위에 도전하고 싶어하는 2인자가 있다며 ‘기술적으로는 뛰어나다. 세계 최고 수준의 운영도 가능하다’고 강조한다. 하지만 마이어스는 대다수 경우, 사이버 보안과 기업 전략, 사업 전략, 인수합병 성장 전략 간의 연계를 고민한 경험이 부족하다는 점이 문제라고 분석했다.

심지어 내부에서 CISO를 승계한 사례도 계획에 따른 것이 아닌 우연적 전환이 대부분이다. 헬스케어 업체 지핀(XiFin)의 CISO인 마티 배럭은 2018년 법무 책임자로 입사한 후 자연스럽게 CISO 직책까지 맡게 됐다. 배럭은 “애초에 승계 계획이 없었다”라며 보안 기능에 대한 방향성과 감독 역할을 하면서 자연스럽게 해당 직책을 맡게 됐다고 밝혔다.

특화 보험 솔루션 업체 크럼 앤 포스터(Crum & Forster)의 CISO 크리스 홀든 역시 전임자가 퇴사한 후 뒤를 이었지만, 당시에도 공식적인 승계 계획은 없었다고 밝혔다.

기술과 전략 사이의 간극

중간 관리자급 보안 전문가가 CISO로 성장하지 못하는 가장 큰 장벽은 기술 역량 부족이 아니라, 전략적 사고와 비즈니스 파트너 역할로의 전환이다. 이 전환에는 전혀 다른 역량과 사고 방식이 요구된다.

홀든은 “대다수 CISO는 매우 기술 중심적인 배경에서 출발했다”라며, “이제는 전체 시간의 절반 이상을 비기술 경영진과 소통하는 데 쓰고 있다. 이들은 사이버 보안을 전혀 다른 관점에서 이해한다”라고 설명했다.

단순한 커뮤니케이션을 넘어, 사고의 전환이 필요하다는 점은 배럭도 강조했다. 홀든은 “CISO가 되기 위해서는 전술적 보안 활동 중심의 사고에서 벗어나, 기업 전반의 리스크와 비즈니스 프로세스를 이해하고, 그 속에서 사이버 보안의 역할을 재정의할 수 있어야 한다”라고 말했다.

이러한 관점은 단순한 IT, 컴플라이언스, 고객 관계, 업체 관리뿐 아니라, 환경·사회·지배구조(ESG)까지 포함하는 포괄적인 이해로 확장되어야 한다.

배럭은 “이슈를 기업 전체 관점에서 분석하고, 이사회와 경영진, 외부 이해관계자에게 전달할 수 있어야 한다”라며 “여기에는 적절한 분석 틀과 균형 잡힌 리스크 판단, 그리고 회사의 전략과 우선순위를 반영한 대응이 요구된다”라고 밝혔다.

리스크 인식의 진화

CISO 인력풀이 얕은 또 다른 이유는 많은 보안 리더가 리스크를 바라보는 방식 자체를 전환하지 못하기 때문이다. 기존에는 모든 취약점을 수정하고 모든 위협을 차단해야 한다는 흑백논리식 접근이 주를 이뤘다. 그러나 CISO 역할은 보안과 비즈니스 요구 간의 균형을 설정하고, 그 선택을 이사회에 설득력 있게 설명하는 능력까지 포함한다. 이런 인식 전환이 없다면, 내부에서 리더 후보를 찾기 어려운 것은 당연하다.

배럭은 이 변화를 직접 체감했다고 말했다. “변호사로서의 리스크 관점은 올바른 방향이 아니라는 것을 꽤 빨리 깨달았다”라고 회고한 배럭은 ISACA의 정보 시스템 통제 및 리스크 관리 인증(CRISC)을 취득하며, 보안 관점과 비즈니스 관점에서 리스크를 재조명하는 데 큰 도움을 받았다고 설명했다.

이어 “법률가는 대체로 모든 리스크를 동일한 수준으로 다뤄야 한다고 생각하기 때문에, 리스크 우선순위 설정에 서툴다”라며 “CISO에게 중요한 것은 수많은 위협 중 어떤 리스크가 가장 중요한지 판단하고, 기업의 전략적 우선순위에 맞춰 정렬하는 능력”이라고 강조했다.

사이버 보안은 오늘날 단종된 소프트웨어, 숨은 취약점, 피싱 이메일, 사기, 내부자 및 외부자 위협 등 끊임없이 진화하는 공격에 대응해야 하는 분야다. CISO는 이런 위협을 모두 다룰 수 없다는 전제하에, 어떤 리스크를 감수하고 어떤 부분을 방어할지를 선택해야 하는 위치에 있다.

그리고 이러한 리스크 관리적 관점은 기업 전반에 효과적으로 공유돼야 한다. 배럭은 “CISO 역할은 리스크 관리의 책임자이자, 그 관리가 제대로 수행되고 있음을 기업 전반에 명확히 전달할 수 있는 소통자여야 한다”라고 분석했다.

구조적 장벽과 개발의 한계

보안 리더 역할은 개인의 역량만으로는 달성하기 어렵다. 마이어스는 기업의 기업 구조 자체가 중간 관리자급 보안 리더가 성장할 수 있는 기회를 제한하는 경우가 많다고 설명했다.

또한 “기업마다 CISO의 보고 체계가 CIO, CFO, CEO 중 어디에 속하느냐에 따라 매우 달라진다”라며 “이러한 구조는 전략적 가시성과 영향력을 제한해, 넘버투 리더가 임원 회의나 이사회와 교류할 기회 자체를 갖지 못하게 된다”라고 분석했다.

많은 기업에서 CISO는 위험 관리, 컴플라이언스, 거버넌스, 업체 관리, 데이터 프라이버시, 위기 대응 등 광범위한 업무를 총괄하고 있다. 하지만 보안 조직은 대개 인력이 적고 기능별로 나뉘어 있어, 부책임자들은 조직의 일부만 경험하게 되는 경우가 많다. 이러한 구조에서는 리더로 성장하는 데 필요한 전사적 시야를 갖추기 어렵다.

이사회 경험의 부족도 또 다른 구조적 문제다. 마이어스는 “산업군이나 지배 구조에 따라 차이는 있지만, CISO는 이사회와의 직접적 경험이 반드시 필요하다. 이 부분은 하루아침에 준비되는 것이 아니며, 장기간 경험을 통해 신뢰와 존재감을 쌓아야 한다”라고 지적했다.

또한, 일부 뛰어난 기술 인재는 아예 관리직 자체에 관심이 없다는 현실적인 어려움도 존재한다. 홀든은 “지금까지 만난 최고의 기술 인재 일부는 사람을 관리하기보다는 개인 기여자로서 얻는 만족감을 선호한다”라고 말했다.

효과적인 승계 프로그램 설계 방안

성공적으로 승계 프로그램을 운영하는 기업에는 몇 가지 공통점이 있다. 가장 핵심적인 요소는 ‘새로운 CISO가 부임하는 첫날부터’ 후계 계획을 세운다는 점이다.

마이어스는 “선도적인 CISO는 첫날 팀의 인재 수준을 평가하고, 기업 내에서 승계 가능성이 있는 인물을 식별하는 작업을 곧바로 시작한다”라고 말했다.

핵심은 단순히 기능별 리더를 끌어올리는 것이 아니라, ‘진짜’ 부책임자 역할을 할 수 있는 ‘부CISO’ 직책을 설계하는 것이다. 마이어스는 “여러 보안 기능을 통합 관리하고, 수평적 시야를 확보할 수 있는 위치를 부여해야 한다”라고 설명했다.

이들은 경영진 및 필요한 경우 이사회와도 실제 교류할 수 있는 기회를 제공받아야 하며, 단순히 발표 자료만 작성하는 것이 아니라 회의에 참여하고 논의에 기여하는 경험이 필수적이다.

직무 순환 프로그램 역시 효과적인 도구다. 기업 내 다양한 영역을 경험하게 하여, 차세대 리더가 전사적 맥락을 이해할 수 있도록 하는 접근법이다. 마이어스는 “모든 기능에서 실질적인 경험을 쌓게 되면, 향후 CISO로 올라섰을 때 기반이 되는 강력한 리더십 자산이 된다”라고 설명했다.

배럭은 학습 친화적인 환경 조성의 중요성을 강조했다. “경보나 보고가 잘못됐다고 해도 이를 벌주는 것이 아니라 학습의 기회로 삼아야 한다”라며 “성장하려면 리스크를 감수하고 기회를 줘야 한다. 성공할 수 있도록 토대를 마련하되, 스스로 성장하게 두는 것이 핵심”이라고 말했다.

승계 계획 수립은 단지 리더를 키우는 것 이상의 효과를 가져온다. 마이어스는 “기술적으로 강하고, 동시에 경영진과 소통할 수 있는 인재를 내부에서 육성할 수 있다면, 기업은 비용을 절감하고 기업 전반의 리스크도 낮출 수 있다”라고 분석했다. 선제적 투자는 안정성과 연속성, 비용 절감 측면에서 충분히 보상받을 수 있다는 것이다.

전문가는 CISO가 기업을 떠난 뒤에야 후임을 고민하는 방식은 더 이상 용납되지 않는다고 입을 모은다. 사이버 위협은 계속 진화하고 있고, 보안 리더십의 중요성은 갈수록 커지고 있다. 차세대 CISO를 육성하는 것은 이제 ‘있으면 좋은’ 선택이 아니라, 반드시 갖춰야 할 핵심 전략 과제다. 지금 준비를 시작한 기업만이, 다음 위기가 닥쳤을 때 흔들리지 않는 리더십을 확보하게 될 것이다.

dl-itworldkorea@foundryco.com