고위급 IT 인재를 채용하는 리크루터들은 진정으로 숙련되고 경험이 풍부한 최고보안책임자(CSO)를 찾는 일이 IT 직군 가운데서도 가장 어려운 과제 중 하나라고 말한다. CSO는 대개 C레벨 임원에 속하며, 경우에 따라 최고경영자(CEO)에게 직접 보고하기도 하는 등 책임 범위가 매우 넓기 때문이다.
이로 인해 조직은 빠르게 채용을 마무리해야 한다는 상당한 압박을 받을 수 있고, 그 과정에서 검증 절차가 충분히 이뤄지지 못하는 상황이 발생하기도 한다. 반대로 보안 전문가 역시 자신의 역량과 지식을 과장해 실제로 제공할 수 있는 가치 이상을 제시하려는 유혹에 빠질 수 있다.
이 같은 양측의 상황을 고려해 CSO는 시니어급 기술 리크루터와 현직 CSO들에게 개인과 조직이 어떻게 CSO 직함 인플레이션을 피하고, IT 보안 리더가 ‘진짜 실력자’인지 판별할 수 있는지 물었다. 이들이 공유한 인사이트에 따르면 성공적인 CSO는 기술 솔루션, 비즈니스 프로세스, 커뮤니케이션 전략 전반에 걸쳐 균형 잡힌 역량을 갖춘 인물이다.
미국 샌디에이고에 본사를 둔 인재 채용 기업 키스멧서치(Kismet Search)의 설립자이자 최고경영자 카나니 브레켄리지는 “강한 리더는 ‘보안을 위한 보안’ 수준을 넘어 리스크를 정교하게 조율하는 능력을 갖춘다”라며 “이를 위해서는 기술에 대한 이해와 경영진 수준의 판단력이 결합돼야 한다”라고 설명했다.
브레켄리지는 “유능한 IT 보안 리더는 위협 환경을 충분히 깊이 이해해 정보에 기반한 결정을 내리며, 전문 용어 뒤에 숨지 않는다”라며 “이들의 진짜 가치는 리스크의 우선순위를 정하고, 비기술 이해관계자와 명확하게 소통하며, 보안을 비즈니스 성과로 전환하는 능력에서 드러난다”라고 전했다. 이어 “언제 사안을 상위로 보고해야 하는지, 언제 거절해야 하는지, 그리고 언제 ‘충분히 좋은’ 선택이 실제로 최선인지 판단할 줄 안다”라고 말했다.
또한 최상위 CSO는 단순히 ‘안 된다’라고 말하는 데서 가치를 찾지 않는다. 브레켄리지는 이들의 진정한 역할은 ‘가능하다’는 답을 설계하는 데 있다고 설명했다. 리스크를 완전히 제거하는 것이 아니라, 조직이 경쟁력을 유지하기 위해 감수해야 할 적절한 리스크를 선택하도록 만드는 것이 CSO의 핵심 임무라는 의미다.
‘잘못된 보안 리더+과도한 권한’의 위험
브레켄리지는 주요 위험으로 ‘잘못된 자신감’을 꼽았다. 조직이 실제보다 더 안전하다고 믿게 되는 상황이다. 이는 단순한 예산 낭비를 넘어 조직의 취약성을 키운다. 직함이 과도하게 부풀려진 리더는 ‘보안 문화’가 아니라 ‘컴플라이언스 문화’를 만드는 경향이 있다. 그 결과 막대한 비용을 투입하고도 대형 침해 사고가 발생하는, 브레켄리지가 말하는 ‘이중 실패’에 직면할 수 있다. 많은 돈을 쓰고 CSO 직함까지 부여했음에도 불구하고 대규모 침해를 겪는 상황이다.
인재 채용 기업 이그제큐티브 얼라이언스(Executive Alliance)의 리크루팅 부사장 더그 월드는 조직이 잘못된 CSO를 채용하거나 승진시키는 사례로, 최상급 보안 프레임워크와 아키텍처를 정의하고 배포할 수 있는 보안·제품 기술 전도사에 과도하게 매료되는 경우를 들었다. 그러나 이러한 인물은 통합 커뮤니케이션 전략, 협업 문화, 채용, 전사적 교육, 전반적인 비즈니스 운영 측면에서 일관된 전략이 부족할 수 있다고 월드는 설명했다.
월드는 채용팀이 당장의 보안 솔루션과 아키텍처 요구사항에 지나치게 집중할 때 이런 실수가 발생한다고 분석했다. 종합적인 보안 전략의 핵심 축으로서, 최고 보안 리더가 반드시 수행해야 할 역할을 간과한다는 것이다. 여기에는 전 직원과 팀을 대상으로 한 지속적 교육, 개인정보 보호를 위한 법무 협업, 벤더 검증, 비즈니스 연속성 확보, 변화 관리 프로세스 등 미션 크리티컬 프로그램을 정의·배포·최적화하는 업무가 포함된다.
브레켄리지는 “안타깝게도 이런 사례는 많은 사람이 생각하는 것보다 훨씬 흔하며, 그래서 내가 대체 인재를 찾는 일을 맡게 된다”라며 “이는 종종 ‘위기 주도형 권한’ 형태로 나타난다”라고 말했다. 이어 “업계에서 대형 침해 사고가 발생하면 이사회가 공포에 휩싸여 CSO에게 긴급 권한을 부여하는 경우가 많다”라며 “그러나 해당 리더가 그 영향력을 성숙하게 행사할 준비가 돼 있지 않다면, 회사 내부에 비용만 크고 비대하며 제품 로드맵과 IT 환경과 동떨어진 ‘보안 산업 복합체’를 만들 수 있다”라고 설명했다.
경험과 책임의 균형이 관건
미국 보스턴에 본사를 둔 로펌 폭스 로스차일드(Fox Rothschild LLP)의 파트너이자 최고 AI·IT 보안 책임자인 마크 G. 맥크리어리는 보안이 완전히 배제된 경우와, 보안 전문가에게 과도하고 정당하지 않은 권한이 부여된 경우를 모두 목격했다고 밝혔다.
맥크리어리는 일부 기업에서 신임 CSO가 충분한 거버넌스 체계나 운영 매뉴얼, 파트너 간 정렬 없이 ‘문지기’ 역할로 배치되는 사례가 있다고 설명했다. 거부권을 행사할 수 있는 위치에 놓이지만, 이를 뒷받침할 체계는 갖춰지지 않은 상태라는 의미다. 정책은 존재하지만 위기 상황에서 누가 어떤 역할을 맡는지 실제로 훈련하지 않았다면 이러한 불균형은 곧 드러난다. 법무 및 위기 대응, 기술적 조치, 커뮤니케이션, 고객 대응 등 각 영역의 역할을 사전에 지정하고 반복적으로 점검하는 조직이 성숙한 조직이라는 설명이다.
브레켄리지는 이에 동의하며 “소위 CSO 가운데 상당수는 예산을 직접 책임져본 적도, 대규모 데이터 또는 보안 사고를 이끌어본 경험도 없다”라고 말했다.
그렇다면 이렇게 중요한 직책에 왜 경험이 부족한 인물을 임명하는 것일까. 브레켄리지는 시기적 요인, 대외적 이미지, 방어적 채용 전략이 복합적으로 작용한 결과라고 설명했다. 내부적으로 합리적인 판단이라기보다 외부 요인에 의해 결정되는 경우가 적지 않다는 분석이다.
예를 들어 규제기관이나 보험사를 만족시키기 위해 ‘감사용 직함’으로 CSO 타이틀을 활용하는 경우가 있다. 또 다른 사례로는 인재 유출을 막기 위한 유지 전략이 있다. 유능한 기술 아키텍트에게 C레벨 직함을 부여해 경쟁사로의 이직을 방지하는 방식이다. 그러나 해당 인물이 손익(P&L) 관리, 이사회 거버넌스, 조직 설계 경험을 갖추지 못했을 가능성도 있다.
맥크리어리는 이를 ‘권한보다 앞선 직함’ 사례라고 표현했다. 고객 설문 대응이나 마케팅 목적을 위해 새로운 직함을 만들지만, 실제 권한과 예산, 책임 범위는 그에 미치지 못하는 상황이라는 설명이다.
CSO가 갖춰야 할 경험과 역량
겉치레를 제외하면, 최고 수준의 CSO는 어떤 역량을 갖춰야 할까.
맥크리어리는 “강한 리더는 리스크와 수익의 균형을 맞춘다”라며 “진정한 CSO는 복잡한 사이버, 개인정보, AI 리스크를 구체적인 고객 및 사안별 리스크로 전환하고, 이를 파트너들이 이해하기 쉬운 비즈니스 언어로 설명할 수 있어야 한다”라고 말했다.
폭스 로스차일드의 경우 이는 위협을 이해상충 문제, 변호사-의뢰인 비밀유지권, 외부 법률자문 가이드라인, 궁극적으로는 고객 신뢰와 직접 연결하는 것을 의미한다.
맥크리어리는 “효과적인 거버넌스는 취임 첫날부터 실제로 작동해야 한다”라며 “정책은 서류함에 보관된 문서로 머물러서는 안 되고, 실질적인 실행 매뉴얼과 명확히 정의된 역할, 그리고 조직이 정기적으로 훈련하는 보고 체계와 직접 연결돼야 한다”라고 설명했다. 사고 대응 정책과 사이버 이벤트 대응 프레임워크, 데이터 침해 대응 매뉴얼이 유기적으로 함께 작동해야 한다는 의미다.
직함 과장 여부를 판단하는 법
브레켄리지는 이를 ‘CSO 사칭 격차(imposter gap)’라고 부른다. 이러한 격차는 주로 이사회 회의실에서 드러나며, 성과를 만들어내기보다 권위와 결정 사항을 전달하는 데 더 많은 시간을 쓰는 경우 나타난다고 설명했다. 브레켄리지는 “기술적 취약점만 이야기하고 비즈니스 책임이나 손실 가능성에 대해 말하지 않는다면, CSO 직함을 단 디렉터에 가까울 가능성이 크다”라고 말했다.
월드는 기업마다 직무 구조가 다르기 때문에 직함의 위상 역시 조직의 규모와 시장 세그먼트, IT 보안 담당자의 전반적인 기능과 책임 범위에 따라 달라질 수 있다고 설명했다. 다만 일반적으로 직함은 시장에서 통용되는 경쟁 기준에 근거해 정해져야 한다고 전했다.
월드는 “대부분 IT 보안 전문가는 입사할 때 자신이 어떤 직함을 목표로 하는지 알고 있다”라며 “채용 기업은 해당 역할이 처음 제시된 직함과 업무 범위에 부합하도록 기능의 일관성을 유지해야 하며, 본래 정의와 다른 방향으로 변질되지 않도록 관리해야 한다”라고 말했다.
또한 고용주와 CSO 후보자가 동일한 기대치를 공유하려면, 보안 전문가는 제품 전략, 운영, 비즈니스, 재무, 법무 팀의 주요 이해관계자 및 직접적인 팀원과 대화할 기회를 가져야 한다고 월드는 조언했다. 이를 통해 조직의 성장 가능성, 요구사항, 로드맵, 주요 접점에 대한 통찰을 확보하고, 해당 기회가 실질적으로 타당한지에 대해 공감대를 형성할 수 있다는 설명이다.
‘진짜 CSO’임을 확인하는 기준
브레켄리지는 보안 이슈를 넘어선 사안에 대해서도 경영진이 조언을 구하고, 다른 비즈니스 의사결정과 관련해 도전받는 상황을 편안하게 받아들일 수 있을 때 비로소 ‘진짜’에 도달했다고 볼 수 있다고 설명했다.
브레켄리지는 “사업부 리더가 신규 시장 진출이나 인수합병(M&A)과 관련해 리스크를 반영한 관점을 요청한다면, 이미 자리 잡았다는 의미”라며 “출시의 비즈니스 가치가 기술적 부채를 상회한다고 판단해, 알려진 취약점에 대해 ‘정보에 기반한 리스크’를 감수하는 결정에 서명할 수 있다면 준비가 된 것”이라고 말했다.
맥크리어리는 실행 역량 역시 중요한 판단 기준이라고 설명했다. 계획을 자신 있게 수행할 수 있어야 하며, 사고 대응 회의를 직접 개시하고 조직의 사고 대응(IR) 정책에 따라 침해 대응 매뉴얼을 실행하되, 법적 특권 침해나 윤리적 장벽 위반을 초래하지 않아야 한다는 것이다.
맥크리어리는 “조직의 변화를 실질적으로 이끄는 운영 리듬을 구축해야 한다”라며 “보안 스탠드업을 주도하고 AI 태스크포스나 소위원회에 적극 참여해, 새로운 정책과 통제, 교육으로 이어지는 구체적 결과를 만들어내야 한다”라고 말했다. 이어 “이해관계자를 효과적으로 교육하고, 조직이 실제로 활용하는 실용적인 AI 및 정보보안 가이드를 제공해야 한다”라고 전했다.
직함이 아닌 성과로 증명하라
월드는 CSO가 자신과 조직 모두에 적임자임을 입증하려면, 보안 전략과 프로세스, 보호 조치가 실제로 이행되고 있는지 점검해야 한다고 조언했다. 동시에 법무, 개인정보 보호, 컴플라이언스, 시스템 통합, 벤더 관계를 담당하는 프로그램 리더와 긴밀히 연계돼 있어야 한다고 설명했다. 보안이 조직 전반의 운영 체계와 유기적으로 연결돼 있어야 한다는 의미다.
브레켄리지는 미국 증권거래위원회(SEC)의 새로운 공시 규정이 시행되는 환경에서 직함 인플레이션은 더 이상 외형상의 문제가 아니라고 지적했다. 이는 실질적인 리스크에 해당한다는 것이다. 실제 권한과 예산, 프로그램에 대한 소유권 없이 CSO 직함만 보유할 경우, 통제할 수 없는 실패에 대해서까지 책임을 져야 하는 상황에 놓일 수 있다.
브레켄리지는 “내가 만난 가장 강한 보안 리더는 권한이 수반되지 않는 직함을 경계한다”라며 “이들은 외형이 아니라 역할의 범위와 성과, 의사결정 접근권을 중시한다”라고 말했다.
또한 브레켄리지는 CSO가 자신의 가치를 입증하려면 ‘무사고 일수’에서 ‘복원력 지표’로 성과 기준을 전환해야 한다고 설명했다.
브레켄리지는 “문제가 발생하지 않는다는 점을 내세우는 대신, 문제가 발생했을 때 복구 시간이 단축되고 피해 범위가 줄어들고 있음을 입증해야 한다”라며 “보안이 CI/CD 파이프라인의 마지막 관문이 아니라 마찰 없이 작동하는 일부라는 점을 보여줄 수 있을 때, 조직은 해당 기능이 건강하게 운영되고 있다고 신뢰하게 된다”라고 말했다. 이어 “동료들이 사후가 아니라 초기 단계에서 의견을 구한다면, 그것이 신뢰도를 보여주는 가장 강력한 신호”라고 전했다.
브레켄리지는 채용과 커리어 경로 측면에서도 직함 인플레이션이 장기적인 성장 궤적을 왜곡한다고 분석했다. 역량이 직함과 일치하지 않으면 향후 면접 과정에서 빠르게 드러난다는 것이다. 특히 성과와 거버넌스, 신뢰도가 직함보다 더 중요하게 평가되는 임원급에서는 더욱 그렇다.
브레켄리지는 “핵심은 시장이 객관적인 심판이라는 점”이라며 “리더가 다음 역할을 위해 면접에 나설 때 평가받는 것은 실제로 무엇을 책임졌고, 어떤 영향력을 행사했으며, 무엇을 성과로 만들어냈는지다”라고 말했다. 이어 “부풀려진 직함은 실제 성과와 운영 경험에 비춰 검증되는 순간 빠르게 힘을 잃는다”라고 설명했다.
dl-ciokorea@foundryco.com