불행히도 많은 CISO 직책은 유통 기한이 그리 길지 않다. 한 최근 보고서에 따르면, 평균 CISO 재직 기간은 24~48개월 불과하며 많은 이들이 더 빠르게 짐을 싼다. 이에 의문이 드는 점이 있다. 왜 CISO는 자주 자리를 옮기는 것일까?
CISO, 자주 직장을 바꾸는 4가지 이유
ESG와 정보시스템보안협회(Information Systems Security Association, ISSA)는 343명의 사이버보안 전문가와 ISSA 회원을 대상으로 실시한 최근 설문조사에서 이 질문에 대한 답을 얻고자 했다. 이에 도출된 이유 가운데 상위 순위 4가지는 다음과 같다.
- 응답자의 38%는 CISO가 다른 조직에서 높은 연봉이나 보상을 제안받을 때 직장을 옮긴다고 말했다. CISO에 대한 높은 수요와 사이버보안 기술 부족으로 보안전문가들의 연봉 인플레이션이 발생한 것을 감안한다면 놀랄 일이 아니다. 거절할 수 없는 높은 연봉을 제안받았을 때, 많은 CISO가 기꺼이 자리를 옮긴다.
전능한 돈을 제쳐두고 데이터를 살펴보면 일부 다른 패턴이 나타난다.
- 응답자의 36%는 현재의 고용주가 사이버보안을 강조하는 기업 문화를 갖고 있지 않을 때 CISO는 자리를 옮긴다고 말했다. CISO의 취업 시장을 고려할 때, 기업에서 보안 문화에 집중하지 않는 것을 사이버보안 책임자가 이를 가만 보고 있을 것이라 생각해서는 안된다.
- 응답자의 34%는 CISO가 경영진 및 이사회의 일원이 아닌 경우 자리를 옮긴다고 말했다. CISO는 IT 분야를 감독하는 비즈니스 관리자다. 이 데이터는 조직에서 CISO를 허울좋은 시스템 관리자로 대할 때, 해당 CISO는 자리를 박차고 나간다는 걸 의미한다.
- 응답자의 31%가 CISO가 사이버보안 예산이 조직의 규모나 산업에 맞지 않을 때 자리를 옮긴다고 말했다. 2018년에도 CISO를 비용을 적게 들여 영입해 탄탄한 보안을 정착시키려는 조직이 아직도 많이 있을 것이다. 이는 장기적인 CISO 유지 및 사이버보안 전략이 아니다.
분명 CISO에게 돈이 중요하지만 많은 CISO는 사이버보안에 대한 자금을 지원해 줄 의지가 있는 경영진과 조직 전체가 사이버보안 노력에 참여하고 응원해주는 곳에서 일하기를 원한다.
이 기사에서 인용된 보고서는 최근 게시된 <사이버보안 전문가들의 삶과 시간(The Life and Times of Cybersecurity Professionals)>이라는 EGS/ISSA 연구 보고서다. editor@itworld.co.kr