새로운 글로벌 설문 조사 결과 82%의 CISO가 이제 CEO에게 직접 보고하며, 이는 2023년의 47%에서 증가한 수치이다. 또한 83%는 이사회 회의에 어느 정도 자주 또는 대부분의 시간 동안 참여하는 것으로 나타났다.

글로벌 사이버 보안 기업 스플렁크(Splunk)가 시장 분석 기관 옥스퍼드 이코노믹스(Oxford Economics)와 협력해 600명의 CISO, CSO, 보안 리더, C레벨 인사를 대상으로 CISO의 인식을 조사한 ‘2025년 CISO 보고서’를 발표했다.

이 설문 조사는 호주, 프랑스, 독일, 이탈리아, 인도, 일본, 뉴질랜드, 싱가포르, 영국 및 미국의 10개국과 농업, 건설/엔지니어링, 교육, 에너지 및 유틸리티, 금융, 정부, 의료, 소매, 통신 등 16개 산업을 대상으로 2024년 6월과 7월에 실시됐으며, CISO 및 이사회 구성원과의 심층 인터뷰 8회를 거쳤다.

설문 조사에 따르면 82%의 CISO가 CEO에게 직접 보고하며, 이는 2023년의 47%에서 증가한 수치다. 또한 83%의 CISO가 이사회 회의에 어느 정도 자주 또는 대부분의 시간 동안 참여한다고 조사됐다.

60%는 사이버 보안 배경을 가진 이사회 구성원이 보안 결정에 더 많은 영향을 미친다고 인정하지만, 29%의 CISO만이 이사회에 사이버 보안 전문 지식을 가진 구성원이 최소 한 명 포함됐다고 전했다.

CISO-이사회 조정의 영향

사이버 보안 업무 경력을 지닌 이사회 구성원은 다른 이사회 구성원보다 조직 보호에 충분하지 않다고 생각할 가능성이 낮았다(경력 보유 경험 有 37% 대비 미보유 62%, 설문 조사 평균). 즉, 사이버 보안 업무 경력을 보유한 CISO는 조직의 보안에 대부분 적합하다는 반응을 보였다는 것이다.

특히 이는 ▲전략적 사이버 보안 목표 설정 및 조정(사이버 보안 배경 이사회 80% 대 비배경 이사회 27%) ▲마일스톤 달성, 보안 목표 달성 및 기록 계획의 진행 상황 커뮤니케이션(사이버 보안 배경 이사회 60% 대 비배경 이사회 16%) ▲목표 달성을 위한 적절한 예산 책정(사이버 보안 배경 이사회 50% 대 비배경 이사회 24%)에서 그 차이가 강조됐다.

또한 이들은 IT 운영(82% 대 다른 CISO의 69%) 및 엔지니어링(74% 대 다른 CISO의 63%)과의 파트너십을 보고했는데 ▲위협 감지 규칙 생성(43% 대 다른 CISO의 31%) ▲데이터 소스 분석(45% 대 다른 CISO의 28%) ▲사고 대응 및 포렌식 조사(42% 대 다른 CISO의 29%) ▲프로액티브 위협 헌팅(46% 대 다른 CISO의 28%)등의 부문에 생성AI를 도입했다고 답했다.

CISO와 이사회 간의 주요 우선 순위 격차

CISO와 다른 이사회 임원들이 보안을 최우선 순위로 두는 기업이 증가하고 있으나, 여전히 인식에 대한 격차가 존재했다.

신기술을 통한 혁신을 52%의 CISO가 우선 순위로 간주하는 반면, 이사회 구성원은 33%만 우선 순위로 간주했다. 또한 보안 직원의 교육 및 조정을 51%의 CISO가 우선으로 둔 반면, 이사회 임원들은 27%만 우선으로 여겼으며, 수익 성장과 이니셔티브는 CISO는 36%, 이사회 임원들의 24%가 우선 순위로 두었다.

한편, 이사회는 CISO가 더 나은 비즈니스 리더가 되기 위해 새로운 기술을 배워야 한다고 기대한다고 응답했다. 그러나 새로운 기술을 배우는 것은 CISO의 일을 더 복잡하게 만들며, 53%는 직무 책임과 기대가 더 어려워졌다고 응답했다.

특히, CISO가 개발해야 할 기술에 대한 응답의 격차는 ▲비즈니스 감각(이사회 55% 대 CISO 40%) ▲감성 지능(이사회 45% 대 CISO 35%) ▲규제 및 컴플라이언스 지식(이사회 44% 대 CISO 57%)이 컸다.

한편, 이사회와 CISO가 핵심 사이버 보안 KPI에 동의했으나. 79%의 CISO는 보안 팀의 KPI가 최근 몇 년 동안 상당히 변경되었다고 전했다. 46%의 CISO는 보안 목표 달성이 자신의 성공을 나타낸다고 말한 반면, 이사회 응답자는 19%가 그러한 인식을 가지고 있었다.

컴플라이언스 유지와 비즈니스

규제 환경이 더 복잡하고 그 범위가 확장됨에 따라, 더 빠른 사고 보고를 요구하고 CISO에게 더 많은 책임을 부과한다.

컴플라이언스 유지가 비즈니스에 중요하지만, 15%의 CISO만이 컴플라이언스 상태를 최고 성과 지표로 순위매기는 반면, 이사회는 45%가 그렇다고 답했다. 21%의 CISO는 컴플라이언스 문제를 보고하지 말라는 압력을 받았다고 밝히지만, 59%는 조직이 컴플라이언스 요구 사항을 무시하고 있을 경우 내부 고발자가 될 것이라고 전했다.

예산과 보안 운영

사이버 보안 예산은 일관되지 않은 지원과 조정 부족을 반영하며, 29%의 CISO는 사이버 보안 이니셔티브와 보안 목표 달성을 위한 적절한 예산을 받는다고 말하는 반면, 41%의 이사회 구성원은 사이버 보안 예산이 충분하다고 답했다. 또한 64%의 CISO는 현재의 위협 및 규제 환경이 충분하지 않다고 우려하고 있었다.

18%의 CISO는 지난 12개월 동안 예산 삭감으로 인해 비즈니스 이니셔티브를 지원할 수 없었다고 밝혔으며, 64%는 지원 부족이 사이버 공격으로 이어졌다고 말했다. CISO는 또한 보안 솔루션 및 도구 감소(50%), 보안 채용 동결(40%), 보안 교육 감소 또는 제거(36%)를 주요 비용 절감 조치로 보고했다.

94%의 CISO는 파괴적인 사이버 공격의 피해자가 되며, 55%는 최소 몇 번의 사이버 공격을 경험했으며, 27%는 여러 번(2번 이상) 경험했다고 전했다.

스플렁크의 마이클 패닝(Michael Fanning) CISO는 “사이버 보안이 비즈니스 성공의 핵심이 됨에 따라 CISO와 이사회는 격차를 해소하고, 더 나은 조정을 이루며, 디지털 복원력을 강화하기 위해 서로를 더 잘 이해할 수 있는 기회를 가지게 된다.”라며 “CISO는 IT 환경을 넘어 비즈니스를 이해하고, 보안 이니셔티브의 ROI를 이사회에 전달하는 새로운 방법을 찾아야 하며, 이사회 구성원은 보안 우선 문화를 약속하고, 기업 위험 및 거버넌스에 영향을 미치는 결정에서 CISO를 주요 이해 관계자로 고려해야 한다.”라고 전했다.