최고정보보호책임자(CISO)가 C레벨 경영진의 주요 경영진으로 자리를 잡으면서 기업 내 영향력이 강화됐다는 조사결과가 나왔다.

스플렁크가 글로벌 연구 보고서 ‘CISO 리포트 2025’를 발표했다. 영국 경제연구기관인 옥스퍼드이코노믹스와 함께 작성한 이 보고서는 최고정보보호책임자(CISO)와 이사회를 대상으로 비즈니스 목표와 전략, 주요 우선순위 등에 대해 조사한 내용을 담고 있다. 

보고서에 따르면, CISO는 이사회와 더 자주 협업하고 CEO와 직접 소통하는 등 비즈니스 의사결정에서의 영향력이 확대됐다. 설문에 응답한 CISO의 82%가 CEO에게 직접 보고하고 있다고 답했는데, 이는 2023년(47%) 대비 크게 증가한 수치다. 

또 83%의 CISO는 이사회 회의에 자주 또는 대부분 참석한다고 답했으며, 응답자 60%는 사이버보안 경력을 보유한 이사회 구성원이 보안 관련 결정에 더 큰 영향을 미친다고 답했다.

반면, 이사회에 최소 한 명 이상의 보안 전문성을 가진 구성원이 있다는 응답은 29%에 불과했다.

마이클 패닝 스플렁크 CISO는 “사이버보안이 비즈니스 성공의 핵심 요소로 자리 잡으면서 CISO와 이사회는 보안 격차를 해소하고 더 긴밀히 협력하면서 상호 이해를 높일 더 많은 기회를 얻게 됐다”며 “이는 CISO가 단순히 IT 분야를 넘어 비즈니스 전체를 폭넓게 이해하고 보안 투자로 얻을 수 있는 이익(ROI)을 이사회에 효과적으로 설명할 수 있는 새로운 방법을 찾아야 한다는 것을 의미한다”고 말했다.

이어 “이사회는 보안을 최우선으로 고려하는 기업 문화를 만들고, 기업의 리스크 관리와 운영 방식과 관련된 중요한 의사 결정을 내릴 때 CISO를 핵심 이해관계자로 인정하고 CISO의 역할을 적극적으로 반영해야 한다”며 “이를 위해 이사회가 사이버보안에 대한 세부 내용을 학습하고, CISO는 비즈니스 언어와 요구 사항을 깊이 이해하면서 보안을 단순한 방어 수단이 아닌 비즈니스 성장의 촉진 요소로 인식하는 것이 필요하다”고 강조했다.

실제로 이번 조사에서 CISO 경력을 가진 이사회 구성원들은 보안 팀과 더 긴밀하게 협력하며 조직의 보안 상황에 대해 더 확신하게 됐다고 답했다. 이러한 CISO들은 ‘우리 조직이 보안을 충분히 강화하지 못하고 있다’고 걱정하는 비율(37%)이 다른 이사회 구성원들의 평균(62%)보다 상대적으로 낮았다. 

또 CISO 출신 구성원을 포함한 이사회와 CISO 출신 구성원이 없는 이사회는 사이버 보안 목표 설정·조율 등에서도 각각 80%와 27%로 차이를 보였으며, 보안 목표 달성과 진행 상황 공유, 보안 목표 달성을 위한 충분한 예산 확보 등에서도 각각 60%대 16%, 50%대 24%로 차이를 보였다.

조직 전반에서 다양한 부서들과의 협력에서도 차이를 보였다. IT운영팀과 협력한다고 답한 CISO들의 비율이 82%였던 반면, 이사회와 관계가 원활하지 않은 CISO들의 69%에 그쳤으며, 엔지니어링팀과 협력하는 경우도 74%대 63%의 격차가 나타났다. 

보안 업무에 생성형 인공지능(AI)을 활용하는 기회도 다른 CISO 대비 더 많이 얻고 있다고 조사됐다. 

특히 위협탐지 규칙 생성(43% vs. 31%)이나 데이터 분석 수행 (45% vs. 28%), 사이버공격 대응·조사(42% vs. 29%), 사전위협 탐지(46% vs. 28%) 등으로 차이를 보였다.

한편, 보안의 중요성에 대한 인식차가 줄어들고 있지만 CISO와 이사회가 여전히 시각 차이를 보이는 부분도 있음도 드러났다.

CISO와 이사회가 중요하게 여기는 부분에서 가장 큰 차이를 보이는 부분은 ▲새로운 기술을 통한 혁신(CISO 52%, 이사회 33%), ▲보안팀 직원의 역량 강화·재교육(CISO 51%, 이사회 27%) ▲회사 수익 성장에 기여(CISO 36%, 이사회 24%) 등으로 조사됐다.

CISO가 발전시켜야 할 역량에 대한 부문에서도 ▲비즈니스 감각(이사회 55%, CISO 40%) ▲감성 지능(이사회 45%, CISO 35%) ▲의사소통 능력 (이사회 52%, CISO 47%) ▲규제·컴플라이언스 지식(이사회 44%/CISO 57%) 등으로 차이를 보였다.

이외에 규정 준수를 주요성과지표로 보는 부분에서도 CISO들은 15% 불과했던 반면, 이사회에서는 45%가 규정 준수 최우선 성과 지표로 꼽았다.

반대로 CISO의 46%가 보안 목표 달성을 최우선으로 생각한 것과 달리 이사회에서는 보안 목표 달성을 최우선으로 답한 비율이 19%에 불과했다.

사이버보안 예산의 경우에도 그룹 간 인식차가 확인됐다. 보안 목표를 달성하는 데 필요한 예산을 받고 있다고 답한 CISO는 29%에 그쳤으며, 64%가 예산 삭감이 결국 사이버공격으로 이어졌다고 답했지만, 이와 달리 이사회 구성원은 사이버보안 예산이 적절하다고 생각했다. 

한편, CISO들은 비용절감 조치로 인해 지난 1년 간 보안 솔루션·도구 축소(50%), 보안인력 채용 중단(40%), 보안 교육 축소 또는 폐지(36%)와 같은 영향을 받았다고 답했다. 이들 중 94%는 사이버공격을 경험하고 55%는 최소 2회 이상의 사이버공격을, 27%는 여러 번 사이버공격을 경험했다고 답했다.