제150차 CISO포럼, 기술적 방어자 넘어 ‘비즈니스 파트너’로서의 CISO 역할론 재정립
반형철 현대면세점 CISO “예산 한계 극복하려면 ‘맥락’ 읽는 동적 통제 필수”
김재귀 호텔롯데 CISO “정보보호 공시, 규제 아닌 ‘투자 확보’ 위한 설득 도구”

[보안뉴스 조재호 기자] 정보보호최고책임자(CISO)의 역할이 단순한 ‘기술적 방어자’를 넘어 ‘경영의 번역가’이자 ‘현장의 지휘관’으로 진화하고 있다. 화려한 인프라 자랑이 아닌, 척박한 현실 속에서 임직원을 보안의 주체로 변화시키고 경영진을 설득해낸 ‘현장의 해법’이 공개됐다.

한국CISO협의회가 개최한 ‘제150차 CISO포럼’에서는 반형철 현대면세점 CISO의 ‘화려하지 않은 곳에서 가장 단단하게 - 비즈니스의 흐름을 읽고 가치를 더하는 CISO 실전노트’와 김재귀 호텔롯데 CISO의 ‘정보보호공시, 보안을 경영의 언어로 풀어가는 여정’을 주제로 2026년 기업 보안의 실질적인 고민과 생존 전략을 공유했다.


100% 차단은 환상... ‘맥락(Context)’을 읽는 동적 통제
첫 번째 연사로 나선 반형철 현대면세점 CISO는 “우리는 예산과 인력이 무한하지 않은 ‘평범한 조직’”이라며 제한된 리소스 내에서의 고효율 보안 전략을 제시했다.

그가 제안한 해법은 ‘핵심 속성 조합 동적 통제’다. 모든 것을 무조건 차단하는 제로트러스트는 현실적으로 불가능하므로, 사용자·기기 등의 정적 속성과 접속 상황(Context)이라는 동적 속성을 결합해 위험도에 따라 데이터 노출을 제어하는 방식이다.

반 CISO는 “권한이 있는 사용자라도 안전하지 않은 상황이라면 데이터를 보여주지 않는 것이 현실적인 제로트러스트”라고 설명했다. 기술적 통제의 한계를 보완하는 것은 결국 ‘사람’과 ‘문화’였다. 반 CISO는 임직원을 잠재적 내부 위협자가 아닌, 보안 사고를 가장 먼저 감지하는 ‘휴먼 센서’(Human Sensor)로 정의했다.

그는 “모의해킹 훈련에서 악성 메일을 신고한 직원에게 치킨 쿠폰이나 기프트 카드를 제공하며 ‘성취감’을 줬다”며 “이러한 긍정적 경험이 쌓이자 실제 악성 메일 유포 시에도 직원들이 자발적으로 신고해 사고를 예방하는 성과로 이어졌다”고 밝혔다.


정보보호 공시, ‘규제’가 아닌 ‘경영의 언어’로 치환해야
이어 발표한 김재귀 호텔롯데 CISO는 정보보호 공시제도를 ‘경영진과의 소통 창구’로 재정의했다. 그는 공시 준비 과정에서 겪는 가장 큰 어려움으로 ‘모호한 투자 경계’를 꼽았다.

김 CISO는 “IT 예산과 보안 예산의 경계가 불분명해 자료 준비부터 난항을 겪는 것이 현실”이라면서도 “공시는 기업의 보안 수준을 수치화해 경영진에게 객관적 데이터를 제시하고, 미래 투자를 이끌어낼 수 있는 가장 강력한 무기”라고 강조했다.

다만 제도의 경직성에 대해서는 우려를 표했다. 김 CISO는 “제도 초기와 달리 최근의 검증 과정은 회계 감사처럼 수치의 정합성만 따지는 ‘면도날 검증’으로 변질된 측면이 있다”며 “도입이 논의 중인 ‘공시 등급제’가 자칫 기업 줄 세우기로 변질되어 현장의 피로도를 높이지 않도록 신중한 접근이 필요하다”고 제언했다.

이번 150차 CISO포럼은 CISO들이 겪는 예산의 한계와 규제 준수의 압박, 그리고 이를 극복해 나가는 구체적인 노하우가 공유되며 참석자들의 호응을 얻었다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>