“언론은 몰려오고, 내부는 혼돈에 빠지고”···CISO가 직접 겪고 깨달은 보안 사고 교훈 8가지

이런 상황은 CISO에게 딜레마를 안긴다. 조직은 개선 지표와 성과를 보고 싶어 하지만, CISO는 갑작스러운 예산 회수와 인력 축소가 어떤 의미를 갖는지 설명해야 하는 입장에 처하게 된다.

거초는 “CISO는 사고 대응에 따른 리스크와 개선 상황은 보고하지만, 예산이 줄거나 인원이 빠지는 상황은 굳이 언급하지 않으려는 경향이 있다”라고 말했다.

8. 자신을 지키는 것이 가장 중요하다

모든 CISO가 공통적으로 느끼는 중요한 교훈은 ‘스스로를 지키는 것’이다. 법적으로, 직업적으로, 정신적으로 자기 자신을 보호하지 않으면 오래 버티기 어렵다는 의미다.

CISO는 과중한 업무, 극심한 스트레스, 점점 늘어나는 책임에 시달리고 있다. 여기에 보안사고는 추가적인 스트레스를 더하는데, 공격 빈도가 증가하면서 사고 자체는 이제 더 이상 드문 일이 아니다.

토르센은 “불행하게도 보안사고는 일상이 됐다. 이젠 업무의 일부”라고 말했다.

브라운은 CISO가 고강도 스트레스에 노출된 상황에서 건강에 어떤 영향을 줄 수 있는지를 인식하고, 사고 발생 시 꼭 필요한 지원 체계를 미리 갖춰야 한다고 강조했다. 특히 위기 한가운데 있는 상황이 개인의 스트레스 대응능력을 얼마나 무너뜨릴 수 있는지 과소평가해서는 안 된다고 지적했다.

브라운은 “사람들은 자신이 스트레스를 잘 관리하고 있다고 생각하지만, 실제로는 그렇지 않을 수 있다”라고 말했다. 그는 “CISO의 일 자체가 매우 힘들기 때문에 각자 스트레스를 해소할 방식을 반드시 찾아야 한다. 사고가 터지면 상황은 더 악화되기 때문에, 자신만의 스트레스 관리 계획을 세워야 한다. 모든 사람에게 통하는 단일한 방법은 없다”라고 조언했다.
dl-ciokorea@foundryco.com