이사회, 규제 기관, 투자자의 압박이 거세지면서 사이버보안 사고에 따른 재정적, 법적 책임이 CISO를 넘어 기업 리더에게까지 확산되고 있다.
이달 초 호주 항공사 콴타스(Qantas Airways) 이사회가 CEO 바네사 허드슨과 주요 임원의 보너스에서 80만 호주 달러(한화 약 7억 3,610만 원)를 삭감하기로 결정했다. 지난 6월 30일 발생한 사이버 사고로 승객 약 600만 명의 개인 정보가 유출된 사고의 책임을 물은 것이다.
이사회가 사이버보안 사고를 이유로 CEO 보수를 삭감한 사실이 공개된 사례는 2017년 이후 처음이다. 2017년에는 야후(Yahoo) 이사회가 여러 차례 대규모 정보 유출을 제대로 처리하지 못한 책임을 물어 CEO 마리사 메이어의 200만 달러 보너스를 지급하지 않았다.
업계 전문가들은 콴타스 이사회의 처분이 CISO 입장에서는 환영할 만한 결정이라고 분석했다. 단순히 CISO가 사이버보안 사고의 책임을 지는 것이 아니라 CEO의 재정적 부담으로 확대되고 있다는 신호이기 때문이다.
과거 우버(Uber)의 CISO였던 조 설리번은 “이사회가 CEO와 경영진에게 재정적 제재를 가한 것은 사이버보안이 이제 그만큼 중요해졌으며, 모든 리더십의 공동 책임이라고 인식한 결과”라고 설명했다. 그는 우버 근무 당시 보안 침해 사건을 겪었으며, 업무 방해죄 등 논란의 여지가 있는 혐의로 유죄 판결을 받은 바 있다.
설리번은 “이번 사례는 책임 소재가 조직 최고 경영진으로 이동하는 흐름을 보여준다. 이사회가 자발적으로 내린 이번 결정은 보안 업계에서 큰 관심과 긍정적인 평가를 받았다. 참석한 런던과 샌프란시스코 보안 행사에서도 단연 화제였다”라고 말했다.
법적 조치와 규제 강화로 인한 CEO의 책임 확대
사이버보안 사고와 관련해 이사회가 공개적으로 CEO 보수를 삭감하는 사례는 매우 드물다. 콴타스 이사회는 성명을 통해 “견조한 재무 성과에도 불구하고 이번 사이버 사고가 고객에게 미친 영향을 고려해 연간 보너스를 15%포인트 줄이기로 했다”라며 “이는 경영진의 공동 책임을 반영하는 동시에, 고객 지원과 추가 보호 조치를 시행하기 위한 노력을 인정한 것”이라고 밝혔다.
콴타스 이사회 의장 존 멀런은 “CEO와 경영진이 고객 지원에 신속히 대응했지만, 이번 사건의 심각성을 고려했을 때 재정적 조치가 필요하다고 판단했다”라고 설명했다. 이는 CEO가 종종 간과되는 조직의 사이버보안 상태에 더욱 주의를 기울여야 한다는 분명한 경고로 해석될 수 있다.
콴타스의 이번 결정은 정부 기관과 규제 당국이 사이버 침해 사고 시 CEO에 대한 법적 제재를 강화하고 있는 흐름 속에서 나왔다.
예를 들어 지난 2022년 미국 연방거래위원회(FTC)는 현재 우버이츠에 인수된 주류 배송 서비스 드리즐리(Drizly)의 CEO 제임스 렐라스에게 책임을 물었다. 회사가 적절한 정보보안 체계를 마련하고 적용하지 않아 소비자 250만 명의 개인 정보가 유출됐다는 이유였다.
이어 2023년, 미국 증권거래위원회(SEC)는 새로운 규정을 도입해 CEO와 CFO가 중대한 사이버 보안 사고에 대해 관리, 보고, 정확한 공시 의무를 다하지 않을 경우 개인적, 직업적 제재를 받을 수 있도록 했다. 이를 통해 SEC는 위반 사항에 대해 경영진에게 수백만 달러에 달하는 벌금을 부과할 수 있게 됐다.
미국 주 차원에서는 캘리포니아 소비자 개인정보 보호법(CCPA), 뉴욕 쉴드법(SHIELD)과 같은 데이터 유출 규제가 사이버 보안 거버넌스와 사고 대응에 대해 CEO에게 직접적인 책임을 묻고 있다. 유럽연합(EU) 역시 NIS2(Network and Information Systems Directive 2), DORA(Digital Operational Resilience Act) 규제를 통해 사이버보안 규정 위반 시 CEO가 책임을 지도록 하고 있다.
법무법인 레드그레이브(Redgrave)의 파트너 마틴 털리는 “앞으로 CEO의 법적 책임은 줄어들기보다 늘어날 것”이라며 “규제 환경은 점점 더 최고경영진을 집중 조명할 것으로 보인다. 이는 조직 최고위층이 반드시 심각하게 받아들여야 할 문제”라고 설명했다.
경영 컨설팅 기업 올리버와이만(OliverWyman)의 파트너 폴 미는 데이터 유출 이후 대중에게 드러나지 않는 최고 경영진의 불이익이 훨씬 많을 수 있다고 지적했다. 그는 “해고, 승진 누락, 조기 퇴직 등이 대표적이지만, 이런 결과는 외부에서 잘 보이지 않는다. 언론에 ‘사고 때문에 해고됐다’는 식의 선정적인 기사가 나오는 경우는 드물고, 훨씬 더 조용한 방식으로 처리되는 경우가 많다. 이런 사례를 늘 목격한다”라고 말했다.
CISO와 CEO가 지금 해야 할 일
과거부터 사이버 침해 사고의 부담을 짊어져 온 CISO는 이제 변화하는 흐름을 주의 깊게 살펴야 한다. 털리는 “현재 환경과 기대치, 그리고 방향성을 인지해야 한다. 이사회와 경영진이 사이버보안 문제를 진지하게 받아들이도록 적극적으로 협력해야 한다”라고 말했다.
랜섬웨어 공격과 사이버 사고가 기업에 큰 피해를 주면서 외부 투자자들 또한 CEO의 책임을 강화할 것을 요구하고 있다. 털리는 “벤처캐피털을 투자하거나 인수·합병을 진행하는 기업들은 이제 사이버보안 및 프라이버시 실사를 재무 실사와 거의 같은 수준으로 다룬다. 그 중요성이 계속 커지고 있기 때문”이라고 설명했다.
따라서 CEO는 조직의 데이터 유출 및 사고 대응 매뉴얼을 이사회가 충분히 이해하고 참여할 수 있도록 긴밀히 협력해야 한다. 올리버와이만의 미는 “이사회는 반복 학습을 통해 위험을 완전히 인식할 수 있어야 한다. 그래야 실제 사고 발생 시 의사소통 능력을 발휘해 대처할 수 있다. 그렇지 않으면 상황은 빠르게 악화될 것”이라고 말했다.
그는 이사회가 점점 더 사이버보안 문제를 중요하게 인식하고 있다고 설명하면서, “이제 많은 이사회가 이 문제를 심각하게 받아들이고 있다. 현재 접하는 이사회에서 사이버보안은 항상 상위 3대 의제에 포함된다. AI가 1순위일 수 있지만, 사이버보안 역시 그만큼 중요한 사안으로 과거 어느 때보다 높은 주목을 받고 있다”라고 설명했다.
전문가들은 앞으로 데이터 유출의 최종 책임이 CISO와 보안팀이 아니라 CEO에게 있다는 점이 분명히 인식돼야 한다고 지적했다. 올리버와이만의 미는 “과거에는 보호와 위험 완화의 막중한 책임을 CISO 개인에게 떠넘겼지만, 그들은 변화에 필요한 권한, 영향력, 거버넌스 역량을 충분히 갖추지 못한 경우가 많았다”고 말했다.
설리번도 “어떤 보안팀도 혼자 힘으로 기업을 해커로부터 지켜낼 수는 없다”라며 “기업의 문화, 위험 수용 수준, 보안 투자는 CEO가 종합적으로 결정하는 것”이라고 설명했다.
dl-ciokorea@foundryco.com
