이 구조적 불합리를 해결할 현실적인 방법은 없을까요?
CEO나 CISO가 새로 선임됐을 때, 취임 초기에 독립 기관을 통해 조직 보안 전반을 점검하는 '취임 보안 실사(Initial Independent Security Posture Review)'를 해보건 어떨까요. 

새로 선임된 CEO나 CISO가 취임 초기에 외부 독립 기관을 통해 조직의 보안 상태를 객관적으로 점검하고, 그 결과를 공식 기록으로 남기는 절차입니다. 

해외 실무 흐름을 보면, 이 방향은 충분히 현실적이고 설득력이 있습니다. EY는 신임 CISO의 첫해 전략에서 회사의 현재 보안 상태를 먼저 점검해야 하며, 그 출발점으로 독립적인 보안 태세 평가(independent assessment of cybersecurity posture)가 중요하다고 설명합니다. 핵심은 취약점 스캔은 물론이고 정책·절차·기술·조직 운영 전반을 함께 보는 것입니다.

왜 이런 절차가 필요할까요.
이유는 간단합니다. 사람도 새로운 병원에 가면 먼저 기초검사를 받습니다. 회사도 마찬가지입니다. 새 리더가 조직을 맡았으면, 지금 보안 상태가 어떤지 먼저 확인하는 것이 정상입니다. 

그런데 현실에서는 오히려 반대로 움직이는 경우가 많습니다. 문제를 공식적으로 발견하는 순간 설명 책임과 개선 책임이 함께 생기기 때문입니다. 그래서 어떤 조직에서는 “정확히 들여다보지 않는 것”이 오히려 편한 선택이 되기도 합니다. 하지만 그렇게 모른 척한다고 리스크가 사라지는 것은 아닙니다. 다만 기록되지 않을 뿐입니다.

특히 CISO 역할에서는 이 문제가 더 날카롭게 드러납니다. 조사에 따르면 CISO의 평균 재임 기간은 약 18~26개월로, 일반 C레벨 평균 4.9년보다 훨씬 짧습니다. 또 Heidrick & Struggles 조사에서는 CISO들이 꼽은 가장 큰 개인적 리스크가 스트레스 71%, 번아웃 54%였고, 29%는 침해 사고 이후 직무를 잃을 수 있다고 우려했습니다. 이 수치가 말해주는 것은 분명합니다. CISO는 단순히 기술을 잘 아는 사람이 아니라, 불확실한 위험과 책임을 동시에 떠안는 자리라는 점입니다. 그렇다면 더더욱 “내가 어떤 상태를 물려받았는가”를 공식적으로 확인하는 장치가 필요합니다.

해외 제도 변화도 이 문제의식을 뒷받침합니다.
미국 증권관리위원회(SEC)는 2023년 사이버보안 공시 최종 규칙을 채택했습니다. 상장사는 사이버 사고를 중대하다고 판단한 뒤 4영업일 이내 공시해야 합니다. 연차보고서에는 사이버보안 리스크 관리·전략·거버넌스 체계를 설명해야 합니다. 경영진이 “보안을 어떻게 관리하고 있는가”를 투자자와 시장 앞에서 설명해야 하는 구조가 만들어졌다는 사실입니다. 보안은 더 이상 내부 실무팀만의 일이 아니라, 경영 설명 책임의 대상이 됐습니다.

유럽은 한 걸음 더 나아갔습니다. 네트워크 및 정보 시스템 보안 지침2(NIS2)는 경영진과 관리기구가 사이버보안 위험관리 조치를 승인하고, 그 이행을 감독해야 한다고 명시합니다. 또 위반 시 상당한 수준의 행정벌 체계도 두고 있습니다. 디지털 운영 회복력법(DORA) 역시 금융권에서 ICT 리스크 관리에 대한 관리기구의 전면적이고 최종적인 책임을 분명히 합니다. 

다시 말해, “보안은 IT팀이 알아서 하는 일”이라는 말이 제도적으로 더 이상 통하지 않고, 경영 책임이 강화되고 있다는 흐름입니다.