CISO들의 이직률이 높아지고 있다. 번아웃이며 스트레스며 너무 과중하기 때문이다. 그런데 새로운 직장이라고 해서 크게 뭐가 달라지리라는 보장은 없다. 좋은 직장으로 옮기려면 반드시 살펴야 할 것들이 있다.
[보안뉴스= 캐리 팔라디 IT 칼럼니스트] 최근 IANS와 아르티코(Artico)가 공동으로 진행한 조사 결과가 쇼킹하다. CISO들의 75%가 이직을 꿈꾸고 있다는 것이다. IANS의 연구 국장인 닉 카콜로우스키(Nick Kakolowski)는 “2024년에는 많은 CISO들이 새로운 기회를 찾아나설 것으로 보이고, 기업들은 유능한 CISO를 영입할 기회를 잘 살려야 할 것으로 보인다”고 해석한다.
[이미지 = gettyimagesbank]
CISO들은 왜 이직이나 새로운 기회를 원하고 있는 것일까? 가장 큰 이유 중 하나는 번아웃이다. 그 다음은 리스크에 대한 CISO들의 책임이 지나치게 크다는 것이고, 그 다음은 날마다 새로운 도전을 마주쳐야 한다는 부담감이다. 이들이 정말로 구인 구직 시장에 대거 나오면 어떻게 될까? CISO 정도 되는 사람이라면 인재 부족에 시달리는 기업들이 너도 나도 러브콜을 보낼 가능성이 높다. 그렇기 때문에 온갖 제의를 잘 거를 수 있는 ‘선구안’이 필수적이다.
CISO 구직 시장
현재 사이버 보안 전문가에 대한 수요는 매우 높고 공급은 한참 뒤쳐진 상황이다. 인재 부족과 기술 격차는 멈추지 않는 대화의 주제다. 그렇기 때문에 CISO는 원하는 곳이면 아무 데나 갈 수 있을 것 같은데, 또 그렇지 않다. CISO들 간의 경쟁도 치열하다. 리비에라파트너즈(Riviera Partners)의 연구 책임인 바비 곰센(Bobby Gormsen)은 “보안 담당자에 대한 수요가 높다는 게 CISO에 대한 수요가 높다는 것과는 다른 의미인 것으로 보인다”고 풀이한다. “기업들이 원하는 건 ‘그냥’ 보안 전문가가 아니라 ‘실력 좋고 경험 많은’ 보안 전문가인 듯합니다. 그러니 CISO들끼리의 경쟁이 치열한 것이죠.”
그래서 블루맨티스(Blue Mantis)의 CISO인 제이 파스터리스(Jay Pasteris)는 “인적 커넥션이 중요하다”고 말한다. “아는 사람을 통해 더 유리한 점수를 얻을 수 있다는 것보다는, 아는 사람을 통해 채용 여부를 보다 확실하고 빠르게 알 수 있다는 게 큽니다. 그러면 채용이 되지 않더라도 시간 낭비 없이 다른 회사의 문을 두드려볼 수 있게 되니까요. 이렇게 시간을 아낄 수 있다는 것도 경쟁 심한 구직 시장에서는 큰 도움이 됩니다.”
CISO의 역할은 지난 수년 동안 계속해서 발전해 왔다. 특히 기술적인 전문성과 사업적 식견까지 갖춰져야 한다는 요구가 주류를 이뤘다. 여기에 더해 각 산업과 기업에 따라 세세하게 요구되는 것들이 천차만별이다. 어떤 곳에서는 CISO가 보안의 기술적인 면에 집중해야 하고, 어떤 곳에서는 인력들을 능수능란하게 다뤄야 하며, 어떤 곳에서는 유관 기관과의 관계를 안정적으로 유지하는 데 힘써야 한다. 심지어 커다란 사고를 수습해야 하는 상황에 입사하자마자 처할 수도 있다.
아르티코의 파트너인 스티븐 마르타노(Steven Martano)는 “CISO 개인이나 CISO를 채용하려는 회사나 조용히 앉아서 좀 더 고민해야 하는 시간을 가져야 한다”고 말한다. “CISO 개인이라면 ‘나는 어떤 유형의 CISO이며 어떤 역할을 더 잘 수행하는가’를 객관적으로 파악해야 하겠고, CISO를 채용하려는 회사라면 ‘어떤 유형의 보안 전문가를 필요로 하는가’를 세밀하게 알고 있어야 합니다. 그러려면 과거에 어떤 일을 겪어 왔고, 지금 어떤 문제에 직면해 있는지를 꼼꼼하게 이해해야 하겠지요.”
그래서...제안이 들어왔다면?
상황이 이렇다 보니 CISO들이라 하더라도 입사 제안이 들어올 경우 흥분부터 하기 마련이다. 냉정하게 자신을 되돌아보고 회사가 요구하는 인재를 차근차근 되짚어보는 일을 하기가 어렵다. 그래서 CISO들은 엉뚱한 곳에 들어가게 되고, 금방 번아웃과 스트레스에 지치게 된다. 그렇기 때문에 사회 생활을 충분히 했다고 느껴봄직한 CISO라 하더라도 입사 제안이 들어왔을 때 ‘마음 가다듬기’부터 할 줄 알아야 한다. 그러고 나서 제안의 내용을 확인하고, 자신에게 필요한 것이 있는지 혹은 거부해야 할 이유가 있는지 찾아야 한다.
가장 먼저는 급여 조건을 확인하는 게 중요하다. 물론 이건 시키지 않아도 누구나 제일 먼저 확인하는 항목일 것이다. CISO들은 할 일이 많아지는 만큼 급여 역시 올라야 한다고 생각하고, 그건 당연한 것이다. 기업들도 CISO를 말도 안 되는 값에 영입하려 하지는 않는다. 문제는 ‘어떻게’ 급여를 책정하는가라고 할 수 있다. 현금으로 전액 주는 게 보통이지만 기업 주식 등으로 대신하는 경우도 의외로 적지 않기 때문이다. CISO들 중 근속 기간이 긴 편에 속하거나, 앞으로 더 이직할 마음이 없는 경우라면 주식으로 타협을 봐도 괜찮지만 앞으로 어떻게 될지 모른다고 생각한다면 되도록 현금을 받는 게 안전하다. 참고로 미국 기준, CISO의 평균 근속 기간은 4년이 채 되지 않는다.
급여와 관련된 사안을 회사와 협상해 CISO가 흡족할 만큼 맞추는 데 성공했다고 해서 무조건 좋아할 것만은 아니다. 왜냐하면 기업이란 조직은 늘 주는 것 이상으로 요구하기 때문이다. 기분 좋을 정도로 CISO의 말을 잘 들어줬다면, 그 CISO는 회사에서 해야 할 일이 무척 많을 거라고 봐도 이상하지 않다. 그러므로 CISO는 제안을 받은 회사로부터 어떤 성과를 거둬야 하는지를 상세히 들어두어야 한다. 1년차에 거둬야 할 성과가 무엇이고, 2년차에 거둬야 할 것이 무엇인지 확실하게 파악한 후에 급여를 받아도 늦지 않다. “하지도 못할 일을 돈 액수부터 보고 덮썩 받아들인다면 근무 기간이 내내 고통스러울 것입니다.” 마르타노의 설명이다.
회사가 요구하는 것을 파악했다면, 그 다음으로 확인해야 할 건 ‘그 목표를 CISO가 달성하기 위해 필요한 것을 회사가 충분한 지원해 주는가’이다. 높은 급여만 주고 높은 목표치를 제시해주고 입 씻는 회사도 정말 많다. 즉 ‘돈 이 정도 줬으면 맨 땅에 헤딩해서라도 이뤄내야 하는 거 아니냐’라는 태도로 CISO를 대하는 경우가 상당수라는 것이다. CISO로서는 차라리 돈 덜 받아도 회사의 지원을 받는 편이 더 낫겠다라는 말이 나오는 상황으로 이어질 확률이 높다. 카콜로우스키는 “보안 문화가 어느 정도 수준으로 올라온 곳이 일하기 좋다”며 “기업이 보안에 어떤 지원을 해주는지 알아내는 게 그래서 중요하다”고 귀띔한다.
비슷한 맥락에서 보고 체계를 확인하는 것도 빼먹을 수 없는 일이다. CISO들이 가장 일하기 편리한 보고 체계는, CISO가 직접 CEO에게 보고하는 환경이라고 알려져 있다. 하지만 대부분의 기업들은 CIO나 부회장에게 CISO가 보고하도록 하고 있다. CTO나 CFO의 하급자인 경우도 적지 않은 것으로 알려져 있다. 직급이 낮은 보안 담당자인데 타이틀만 CISO로 해두는 회사도 수두룩하다. 물론 무조건 CEO에게 단독으로 보고하도록 하는 회사에만 가라는 뜻은 아니다. 회사의 상황과 목표에 따라 다른 보고 체계가 더 효과적이거나 효율적일 수도 있다. 중요한 건 그 기업이 보안을 어떤 식으로 보고 있느냐를 파악하는 것이다.
파스테리스는 “보고 체계가 어느 정도는 보안의 위치나 보안에 대한 조직원들의 인식을 보여주는 게 사실”이라고 말한다. “보안이 중요하다고 하면서 보안 담당자의 직급이 낮아 결정을 주도적으로 내릴 수 없다면 말의 앞뒤가 안 맞는 것이죠. 이걸 바꿀 의향이 있는 회사라면 가도 되지만 그렇지 않다면 망설여지는 게 사실입니다. 보안 사고가 터진 상황에서 혹은 다급히 뭔가를 막아야 하는 상황에서 CISO가 지지부진 보고서만 작성해야 한다면 아무 일도 이뤄낼 수 없습니다.”
카롤로우스키는 “가능하다면 왜 그런 구조가 되었는지, 왜 그런 구조가 유지되는지도 물어서 알 수 있으면 좋다”는 의견이다. “정말 보안을 별 일 아니라고 생각해서 CISO에게 낮은 권한을 주는 곳이 있을 수도 있겠지만, CISO라는 직책을 이제 막 신설하고 보안을 키워나가려는 회사라서 그럴 수도 있습니다. 혹은 CISO의 광범위한 역할을 다른 C레벨들이 나눠서 하고 있을 수도 있지요. 여러 사정이 있을 수 있으니 단적으로 보지 않는 편이 좋습니다.”
경고의 신호들
파스터리스는 “다른 건 몰라도 CISO가 CFO의 밑에 있는 경우, 그래서 CFO에게 실적 보고를 해야만 하는 기업이라면 아무리 백만금을 줘도 안 간다”는 의견이다. “그런 회사들은 거의 대부분 수익이나 비용의 측면에서만 보안을 바라보고 있더군요. 즉 보안에 대한 투자를 하지 않는 곳이라는 뜻입니다. 정말 가끔 어떤 계기가 있어야만 겨우 예산을 허락하지요. 보안을 돈의 개념으로 이야기해 소통하는 게 중요하지만, 그건 어디까지나 보안을 이해시키기 위한 것일 뿐입니다. 수익이나 비용의 논리로 보안을 다루는 것과는 전혀 다른 이야기입니다.”
곰센의 경우 “보고 체계에서 누군가 예외적인 대접을 받는다고 하면 좋지 않은 신호로 받아들인다”고 말한다. “보고 체계라는 건 무작위로 정해지지 않습니다. 오랜 업무 프로세스가 굳어져서 형성된 것이므로 나름 논리적이고, 나름의 이유가 있지요. 그런데 특정 인물이나 부서가 예외로 취급된다? 예를 들어 CEO는 영수증을 내지 않아도 회사 법인카드를 쓸 수 있다면 회사 재무 구조가 건강할까요? 누군가 결제선을 뛰어넘을 수 있다면, 거기에는 납득할 만한 이유가 있어야 할 겁니다. 보고 체계 바깥에 있는 사람들은 보안 규칙도 어길 가능성이 높습니다.”
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스= 캐리 팔라디 IT 칼럼니스트] 최근 IANS와 아르티코(Artico)가 공동으로 진행한 조사 결과가 쇼킹하다. CISO들의 75%가 이직을 꿈꾸고 있다는 것이다. IANS의 연구 국장인 닉 카콜로우스키(Nick Kakolowski)는 “2024년에는 많은 CISO들이 새로운 기회를 찾아나설 것으로 보이고, 기업들은 유능한 CISO를 영입할 기회를 잘 살려야 할 것으로 보인다”고 해석한다.
[이미지 = gettyimagesbank]
CISO들은 왜 이직이나 새로운 기회를 원하고 있는 것일까? 가장 큰 이유 중 하나는 번아웃이다. 그 다음은 리스크에 대한 CISO들의 책임이 지나치게 크다는 것이고, 그 다음은 날마다 새로운 도전을 마주쳐야 한다는 부담감이다. 이들이 정말로 구인 구직 시장에 대거 나오면 어떻게 될까? CISO 정도 되는 사람이라면 인재 부족에 시달리는 기업들이 너도 나도 러브콜을 보낼 가능성이 높다. 그렇기 때문에 온갖 제의를 잘 거를 수 있는 ‘선구안’이 필수적이다.
CISO 구직 시장
현재 사이버 보안 전문가에 대한 수요는 매우 높고 공급은 한참 뒤쳐진 상황이다. 인재 부족과 기술 격차는 멈추지 않는 대화의 주제다. 그렇기 때문에 CISO는 원하는 곳이면 아무 데나 갈 수 있을 것 같은데, 또 그렇지 않다. CISO들 간의 경쟁도 치열하다. 리비에라파트너즈(Riviera Partners)의 연구 책임인 바비 곰센(Bobby Gormsen)은 “보안 담당자에 대한 수요가 높다는 게 CISO에 대한 수요가 높다는 것과는 다른 의미인 것으로 보인다”고 풀이한다. “기업들이 원하는 건 ‘그냥’ 보안 전문가가 아니라 ‘실력 좋고 경험 많은’ 보안 전문가인 듯합니다. 그러니 CISO들끼리의 경쟁이 치열한 것이죠.”
그래서 블루맨티스(Blue Mantis)의 CISO인 제이 파스터리스(Jay Pasteris)는 “인적 커넥션이 중요하다”고 말한다. “아는 사람을 통해 더 유리한 점수를 얻을 수 있다는 것보다는, 아는 사람을 통해 채용 여부를 보다 확실하고 빠르게 알 수 있다는 게 큽니다. 그러면 채용이 되지 않더라도 시간 낭비 없이 다른 회사의 문을 두드려볼 수 있게 되니까요. 이렇게 시간을 아낄 수 있다는 것도 경쟁 심한 구직 시장에서는 큰 도움이 됩니다.”
CISO의 역할은 지난 수년 동안 계속해서 발전해 왔다. 특히 기술적인 전문성과 사업적 식견까지 갖춰져야 한다는 요구가 주류를 이뤘다. 여기에 더해 각 산업과 기업에 따라 세세하게 요구되는 것들이 천차만별이다. 어떤 곳에서는 CISO가 보안의 기술적인 면에 집중해야 하고, 어떤 곳에서는 인력들을 능수능란하게 다뤄야 하며, 어떤 곳에서는 유관 기관과의 관계를 안정적으로 유지하는 데 힘써야 한다. 심지어 커다란 사고를 수습해야 하는 상황에 입사하자마자 처할 수도 있다.
아르티코의 파트너인 스티븐 마르타노(Steven Martano)는 “CISO 개인이나 CISO를 채용하려는 회사나 조용히 앉아서 좀 더 고민해야 하는 시간을 가져야 한다”고 말한다. “CISO 개인이라면 ‘나는 어떤 유형의 CISO이며 어떤 역할을 더 잘 수행하는가’를 객관적으로 파악해야 하겠고, CISO를 채용하려는 회사라면 ‘어떤 유형의 보안 전문가를 필요로 하는가’를 세밀하게 알고 있어야 합니다. 그러려면 과거에 어떤 일을 겪어 왔고, 지금 어떤 문제에 직면해 있는지를 꼼꼼하게 이해해야 하겠지요.”
그래서...제안이 들어왔다면?
상황이 이렇다 보니 CISO들이라 하더라도 입사 제안이 들어올 경우 흥분부터 하기 마련이다. 냉정하게 자신을 되돌아보고 회사가 요구하는 인재를 차근차근 되짚어보는 일을 하기가 어렵다. 그래서 CISO들은 엉뚱한 곳에 들어가게 되고, 금방 번아웃과 스트레스에 지치게 된다. 그렇기 때문에 사회 생활을 충분히 했다고 느껴봄직한 CISO라 하더라도 입사 제안이 들어왔을 때 ‘마음 가다듬기’부터 할 줄 알아야 한다. 그러고 나서 제안의 내용을 확인하고, 자신에게 필요한 것이 있는지 혹은 거부해야 할 이유가 있는지 찾아야 한다.
가장 먼저는 급여 조건을 확인하는 게 중요하다. 물론 이건 시키지 않아도 누구나 제일 먼저 확인하는 항목일 것이다. CISO들은 할 일이 많아지는 만큼 급여 역시 올라야 한다고 생각하고, 그건 당연한 것이다. 기업들도 CISO를 말도 안 되는 값에 영입하려 하지는 않는다. 문제는 ‘어떻게’ 급여를 책정하는가라고 할 수 있다. 현금으로 전액 주는 게 보통이지만 기업 주식 등으로 대신하는 경우도 의외로 적지 않기 때문이다. CISO들 중 근속 기간이 긴 편에 속하거나, 앞으로 더 이직할 마음이 없는 경우라면 주식으로 타협을 봐도 괜찮지만 앞으로 어떻게 될지 모른다고 생각한다면 되도록 현금을 받는 게 안전하다. 참고로 미국 기준, CISO의 평균 근속 기간은 4년이 채 되지 않는다.
급여와 관련된 사안을 회사와 협상해 CISO가 흡족할 만큼 맞추는 데 성공했다고 해서 무조건 좋아할 것만은 아니다. 왜냐하면 기업이란 조직은 늘 주는 것 이상으로 요구하기 때문이다. 기분 좋을 정도로 CISO의 말을 잘 들어줬다면, 그 CISO는 회사에서 해야 할 일이 무척 많을 거라고 봐도 이상하지 않다. 그러므로 CISO는 제안을 받은 회사로부터 어떤 성과를 거둬야 하는지를 상세히 들어두어야 한다. 1년차에 거둬야 할 성과가 무엇이고, 2년차에 거둬야 할 것이 무엇인지 확실하게 파악한 후에 급여를 받아도 늦지 않다. “하지도 못할 일을 돈 액수부터 보고 덮썩 받아들인다면 근무 기간이 내내 고통스러울 것입니다.” 마르타노의 설명이다.
회사가 요구하는 것을 파악했다면, 그 다음으로 확인해야 할 건 ‘그 목표를 CISO가 달성하기 위해 필요한 것을 회사가 충분한 지원해 주는가’이다. 높은 급여만 주고 높은 목표치를 제시해주고 입 씻는 회사도 정말 많다. 즉 ‘돈 이 정도 줬으면 맨 땅에 헤딩해서라도 이뤄내야 하는 거 아니냐’라는 태도로 CISO를 대하는 경우가 상당수라는 것이다. CISO로서는 차라리 돈 덜 받아도 회사의 지원을 받는 편이 더 낫겠다라는 말이 나오는 상황으로 이어질 확률이 높다. 카콜로우스키는 “보안 문화가 어느 정도 수준으로 올라온 곳이 일하기 좋다”며 “기업이 보안에 어떤 지원을 해주는지 알아내는 게 그래서 중요하다”고 귀띔한다.
비슷한 맥락에서 보고 체계를 확인하는 것도 빼먹을 수 없는 일이다. CISO들이 가장 일하기 편리한 보고 체계는, CISO가 직접 CEO에게 보고하는 환경이라고 알려져 있다. 하지만 대부분의 기업들은 CIO나 부회장에게 CISO가 보고하도록 하고 있다. CTO나 CFO의 하급자인 경우도 적지 않은 것으로 알려져 있다. 직급이 낮은 보안 담당자인데 타이틀만 CISO로 해두는 회사도 수두룩하다. 물론 무조건 CEO에게 단독으로 보고하도록 하는 회사에만 가라는 뜻은 아니다. 회사의 상황과 목표에 따라 다른 보고 체계가 더 효과적이거나 효율적일 수도 있다. 중요한 건 그 기업이 보안을 어떤 식으로 보고 있느냐를 파악하는 것이다.
파스테리스는 “보고 체계가 어느 정도는 보안의 위치나 보안에 대한 조직원들의 인식을 보여주는 게 사실”이라고 말한다. “보안이 중요하다고 하면서 보안 담당자의 직급이 낮아 결정을 주도적으로 내릴 수 없다면 말의 앞뒤가 안 맞는 것이죠. 이걸 바꿀 의향이 있는 회사라면 가도 되지만 그렇지 않다면 망설여지는 게 사실입니다. 보안 사고가 터진 상황에서 혹은 다급히 뭔가를 막아야 하는 상황에서 CISO가 지지부진 보고서만 작성해야 한다면 아무 일도 이뤄낼 수 없습니다.”
카롤로우스키는 “가능하다면 왜 그런 구조가 되었는지, 왜 그런 구조가 유지되는지도 물어서 알 수 있으면 좋다”는 의견이다. “정말 보안을 별 일 아니라고 생각해서 CISO에게 낮은 권한을 주는 곳이 있을 수도 있겠지만, CISO라는 직책을 이제 막 신설하고 보안을 키워나가려는 회사라서 그럴 수도 있습니다. 혹은 CISO의 광범위한 역할을 다른 C레벨들이 나눠서 하고 있을 수도 있지요. 여러 사정이 있을 수 있으니 단적으로 보지 않는 편이 좋습니다.”
경고의 신호들
파스터리스는 “다른 건 몰라도 CISO가 CFO의 밑에 있는 경우, 그래서 CFO에게 실적 보고를 해야만 하는 기업이라면 아무리 백만금을 줘도 안 간다”는 의견이다. “그런 회사들은 거의 대부분 수익이나 비용의 측면에서만 보안을 바라보고 있더군요. 즉 보안에 대한 투자를 하지 않는 곳이라는 뜻입니다. 정말 가끔 어떤 계기가 있어야만 겨우 예산을 허락하지요. 보안을 돈의 개념으로 이야기해 소통하는 게 중요하지만, 그건 어디까지나 보안을 이해시키기 위한 것일 뿐입니다. 수익이나 비용의 논리로 보안을 다루는 것과는 전혀 다른 이야기입니다.”
곰센의 경우 “보고 체계에서 누군가 예외적인 대접을 받는다고 하면 좋지 않은 신호로 받아들인다”고 말한다. “보고 체계라는 건 무작위로 정해지지 않습니다. 오랜 업무 프로세스가 굳어져서 형성된 것이므로 나름 논리적이고, 나름의 이유가 있지요. 그런데 특정 인물이나 부서가 예외로 취급된다? 예를 들어 CEO는 영수증을 내지 않아도 회사 법인카드를 쓸 수 있다면 회사 재무 구조가 건강할까요? 누군가 결제선을 뛰어넘을 수 있다면, 거기에는 납득할 만한 이유가 있어야 할 겁니다. 보고 체계 바깥에 있는 사람들은 보안 규칙도 어길 가능성이 높습니다.”
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
