스플렁크 “CISO, 경영진·이사회에 전보다 큰 영향력 미쳐”

[아이티데일리] 최고정보보호책임자(CISO) 중 82%가 최고경영자(CEO)와 직접 소통하며 비즈니스 의사결정을 내릴 수 있는 권한을 확보했다는 조사 결과가 나왔다. 이는 지난 2023년 대비 두 배가량 증가한 수치다.

스플렁크는 6일 영국 경제 연구기관 옥스퍼트 이코노믹스(Oxford Economics)와 함께 이 같은 내용이 담긴 글로벌 연구 보고서 ‘CISO 리포트 2025’를 발표했다. 해당 보고서에는 CISO와 이사회를 대상으로 조사한 비즈니스 목표와 전략, 주요 우선순위 등에 대한 내용이 실렸다.

이번 보고서는 전 세계 10개국 CISO, CSO(최고보안책임자), 또는 이에 준하는 보안 책임자 500명과 이사회 구성원 100명 등 총 600명을 대상으로 조사한 결과다. 옥스퍼드 이코노믹스는 심층적 분석을 위해 CISO 및 이사회 구성원과 8차례 인터뷰를 추가 진행했다.

보고서에 따르면, 설문에 응답한 CISO 82%가 CEO에게 직접 보고하고 있다고 밝혔다. 이는 2023년(47%) 대비 큰 폭으로 늘어난 수치다. CISO 83%는 이사회 회의에 자주 또는 대부분 참석한다고 밝혔다.

이전보다 높아진 CISO의 입지에 비해 이사회 내 보안 전문성은 아직 부족한 상황이다. 응답자 60%는 사이버보안 경력을 보유한 이사회 구성원이 보안 관련 결정에 더 큰 영향을 미친다고 답했다. 하지만 이사회에 최소 1명 이상의 보안 전문성을 갖춘 구성원이 있다는 응답은 29%에 불과했다.

CISO 경력을 보유한 이사회 구성원은 보안 팀과 긴밀히 협력하며 조직 보안 상황을 신뢰하고 있었다. 이들이 ‘우리 조직이 보안을 충분히 강화하지 못하고 있다’고 걱정하는 비율은 37%로, 다른 이사회 구성원 평균(62%)보다 상대적으로 낮았다.

대체로 CISO와 이사회 모두 보안을 중요하게 여기고 있으나 일부 지점에서는 여전한 시각 차이를 확인할 수 있었다. ‘보안 팀 직원의 역량 강화 및 재교육’에 대해 CISO는 51%가 중요하다고 답했는데, 이사회의 경우 27%에 그쳤다. ‘새로운 기술을 통한 혁신’이 중요한지를 두고도 CISO(52%)와 이사회(33%) 간 의견 차이를 엿볼 수 있었다.

스플렁크 마이클 패닝(Michael Fanning) CISO는 “이사회가 위험 관리와 운영 방식에 관련된 의사결정을 내릴 때 CISO를 핵심 관계자로 인정하고 그 역할을 적극 반영해야 한다”며 “이를 위해선 이사회는 사이버보안의 세부 내용을 학습하고 CISO는 비즈니스 언어와 요구 사항을 이해하며, 보안을 단순한 방어 수단이 아닌 비즈니스 성장의 촉진 요소로 인식하는 것이 필요하다”고 밝혔다.

일리노이 시카고 대학교 셰팔리 무켄체리(Shefali Mookencherry) 최고정보보호 및 프라이버시 책임자는 “CISO는 맡는 역할이 점점 더 복잡해짐에 따라 보안 요구 사항과 비즈니스 목표, 조직 문화를 균형 있게 조율할 수 있어야 한다”며 “다양한 부서와 이해관계자들과 탄탄한 관계를 구축함으로써, CISO는 사이버보안과 프라이버시를 발전시키는 데 필요한 리더십과 방향성을 제공할 수 있다”고 말했다.