Cloud CISO Perspectives: Phil Venables가 제시하는 'CISO 팩토리'와 보안 리더십의 미래

해당 블로그의 원문은 2025년 XX월 XX일 Google Cloud 블로그(영문)에 게재되었습니다.

2025년 11월 두 번째 Cloud CISO Perspectives에 오신 것을 환영합니다. 오늘은 Google Cloud의 현 보안 전략 고문이자 전 CISO이며 이 뉴스레터의 창시자인 Phil Venables가 AI 시대에 CISO의 역할이 어떻게 진화하고 있는지, 그리고 조직이 사이버 보안 접근 방식을 '소방서'에서 '플라이휠'로 전환해야 하는 이유에 대한 그의 생각을 공유합니다.

모든 Cloud CISO Perspectives와 마찬가지로, 이 뉴스레터의 내용은 Google Cloud 블로그에 게시됩니다. 현재 웹사이트에서 이 글을 읽고 계시며 이메일 버전을 받아보고 싶으시다면, 여기에서 구독하실 수 있습니다.

Phil Venables가 제시하는 'CISO 팩토리'와 보안 리더십의 미래

Alicja Cade, Senior Director, Financial Services, Office of the CISO, and David Homovich, Advocacy Lead, Office of the CISO

이러한 행동을 장려하는 조직들은 비범한 수의 성공적인 CISO를 배출하기에 Venables가 'CISO 팩토리(CISO 공장)'라고 묘사했는데, 이는 결코 마법 같은 것이 아닙니다. 이 조직들은 복제 가능한 12가지 공통된 특징을 공유하고 있습니다.

이러한 CISO 커뮤니티 행사와 연중 이어진 논의를 통해 Google Cloud의 CISO 오피스는 CISO의 역할이 매우 다양하고 종종 오해받고 있음을 확인했습니다. 그럼에도 불구하고, 성공적인 보안 프로그램은 개인이 현대 기업에 기여할 수 있는 가장 영향력 있는 활동 중 하나로, 고객과의 복원력과 지속적인 신뢰를 구축합니다.

CISO는 자신의 역할이 진화함에 따라, 조직의 사이버 보안 접근 방식을 재난에 대응하는 '소방서' 모델에서, 스스로 동력을 유지하며 비즈니스를 지속적으로 강화하는 '플라이휠' 모델로 발전시켜 나가야 합니다.

아래 대화록은 일부 편집되었습니다.

Alicja Cade: CISO로서 30년을 보내셨는데, 2025년에 CISO가 된다는 것이 어떤 의미인지 의견을 나눠주시겠어요?

Phil Venables: 저는 여전히 전 세계 CISO 커뮤니h티 및 보안 커뮤니티와 매우 깊이 연결되어 있습니다. 저는 CISO 역할이 어떻게 변화하고 있는지 관찰하고 생각하는 데 더 많은 시간을 할애하고 있으며, 그 변화의 속도는 점점 더 빨라지는 것 같습니다.

저는 또한 차세대 보안 리더를 양성하고 구축하는 것이 어떤 의미인지에 대해 많은 시간을 할애해 생각했습니다. 제가 꽤 많이 목격하고 있는 것 중 하나는 CISO의 역할이 여러 다른 방향으로 나아가고 있다는 점입니다. 많은 조직에서 CISO는 사실상 또는 실제로 최고 기술 책임자(CTO)가 되어가고 있으며, 조직의 기술을 업그레이드하고 향상시키도록 더욱 강력하게 추진하고 있습니다.

많은 경우, 리더십과 이사회는 그들에게 CTO의 책임을 부여하거나, CISO는 CTO 또는 인프라 책임자와 더욱 긴밀한 파트너십을 형성하여 기술을 대대적으로 업그레이드함으로써 본질적으로 더 안전하고 방어 가능하게 만들고 있습니다.

저는 이것이 좋은 진전이라고 생각합니다.

Alicja Cade: AI는 CISO의 역할을 어떻게 바꾸고 있나요?

Phil Venables: 이사회는 회사가 AI로 하는 일이 안전하고 규정을 준수하는지, 개인정보 보호와 모든 신뢰 및 안전 경계를 존중하는지 알고 싶어 하며, 그에 대한 논의를 위해 CISO를 찾고 있습니다.

물론, 모든 조직이 그런 것은 아닙니다. 많은 대규모 금융 기관들은 자신들의 역할을 해내는 상당히 성숙한 규정 준수 및 위험 관리 기능을 갖추고 있습니다. 하지만 다른 조직들, 특히 역사적으로 매우 엄격하게 규제되지 않았던 산업의 조직들에서는 CISO가 거의 최고 디지털 위험 책임자(Chief Digital Risk Officer)처럼 되어가고 있습니다. CISO는 AI의 결과로 발생하는 이 모든 다른 기술 위험에 대해 걱정해야 하는 임무를 맡고 있습니다.

AI가 유일한 이유는 아니지만, 우리는 확실히 CISO의 역할이 'CISO 버전 2'라고 부를 수 있는, 훨씬 더 진화된 역할로 발전하는 것을 목격하고 있습니다.

David Homovich: CISO의 이러한 레벨업은 완전히 새로운 현상은 아니지만, 이를 주도하는 상황이 AI 시대로 인해 바뀌었습니다. 현재의 'CISO 2.0' 버전을 어떻게 설명하시겠습니까?

Phil Venables: CISO는 절대적으로, 부인할 수 없이 다른 모든 임원들과 나란히 하는 동료 비즈니스 임원이 되어가고 있습니다. 우리 비즈니스의 대부분을 차지하는 디지털 비즈니스를 어떻게 보호하고 방어하느냐가 매우 중요해지고 있기 때문에 CISO는 진화해야만 합니다.

'버전 2 CISO'의 사고방식은 진정으로 비즈니스를 최우선으로 생각하는 것입니다. 우리가 수년간 이에 대해 이야기해왔지만, 많은 경우 CISO는 비즈니스가 가고자 하는 방향을 따라잡기에 급급했고, 비즈니스를 필요한 곳으로 이끌지는 못했습니다. 'CISO 2.0'에는 세 가지 핵심 요소가 있습니다.

1. CISO는 자신이 동등한 비즈니스 임원임을 깨달아야 합니다. 그들은 단순히 비즈니스 이니셔티브가 안전한지 확인하기 위해 따르는 것이 아니라, 안전하고 보안이 유지되는 방식으로 디지털화를 수행한 결과 어떤 기회가 생길 수 있는지에 대해 비즈니스를 이끌고 교육해야 합니다.
2. CISO는 동료 기술 리더가 되어야 하며 기술적 공감 능력을 가져야 합니다. 가장 성공적인 CISO들이 주로 엔지니어링 리더는 아니지만, 그들은 확실히 기술적으로 깊이가 있거나 최소한 기술에 대한 이해가 있어야 하며, 기술 및 엔지니어링 리더 및 책임자들과 세부적인 수준에서 협력할 수 있어야 합니다. CISO는 조직이 기본적으로 안전하고, 설계상 안전한 구현을 만드는 데 도움이 되도록 기술을 엔지니어링하는 방법을 제안할 수 있어야 합니다.
3. CISO는 장기적인 플레이어가 되어야 합니다. 우리 모두가 추진해야 하는 많은 보안 활동과 위험 완화 활동들이 분기 단위로 끝나기를 바라지만, 실제로는 수년이 걸리는 일이라는 것을 알고 있습니다. 이것이 약간의 선택 편향일 수는 있지만, 가장 성공적인 CISO는 변화의 결과를 보고 그 결과를 이끌어내기 위해 가장 오랫동안 자리를 지키는 사람들입니다.

저는 일부 조직에서는 사람들이 더 이상 영향을 미칠 수 없다는 것을 깨닫고 떠나야만 하는 상황이 있다는 사실을 모르는 바가 아닙니다. 하지만 우리 자신에게도 솔직해져야 합니다. 저항에 부딪혔을 때, 그것을 극복하고 더 장기적인 성공을 실현하는 대신, 첫 저항 지점에서 다음 직장을 구하러 떠나기로 결정하는 보안 리더들의 경우도 많습니다.

Alicja Cade: CISO는 어떻게 하면 장기적인 성공을 구축할 수 있는 방식으로 참여할 수 있을까요?

Phil Venables: 전체적인 'CISO 2.0' 전략을 살펴보면, 그것은 실제로 전략을 갖는 것에 관한 모든 것입니다. CISO는 자신의 전략을 살펴볼 때 스스로에게 정말 가혹해져야 하며, 자신의 전략이 정말로 전략인지, 아니면 그냥 앞에 '전략'이라는 단어만 쓰인 장기 계획인지 자문해야 합니다.

전략은 조직을 위해 어떻게 이길 것인가에 대한 이론이며, 계획과는 다릅니다. 계획은 전략에서 나오지만, 전략은 예를 들어, '비즈니스가 보안팀으로부터 어떻게 도움을 끌어낼 수 있게 할 것인가'가 될 수 있습니다.

그것은 비즈니스의 참여를 증폭시키는 의도적인 전략입니다. 그런 다음 계획을 세우고, 그 '끌어냄(pull)'을 창출하기 위해 필요한 일들을 실행합니다.

또 다른 예는, 전략의 큰 부분이 위험에 대한 투명성과 책임성을 장려하여 환경 내에서 더 많은 자체 교정이 이루어지도록 하는 것입니다. 그런 다음 그 전략을 실행하기 위한 조치들을 취해야 합니다.

David Homovich: CISO와 이사회 간의 관계는 종종 부족하게 느껴질 수 있습니다. 이사회와 CISO가 왜 서로에게 더 중요해져야 하는지에 대해 말씀해 주시겠습니까?

Phil Venables: 우리는 이사회와의 상호작용과 이사회가 기대하는 바에 대해 많이 이야기합니다. 최고의 보안 조직들에서 나타나는 훌륭한 공통 패턴 중 하나는, 그들이 단지 이사회와 상호작용을 잘하지 못한다는 것입니다. 그들은 이사회에 올바른 지표를 제공하지 않았거나, 새로운 이사회 멤버를 교육하는 방법을 알아내지 못했습니다.

이사회를 교육하고, 이사회 멤버들과 관계를 구축하며, CISO가 해야 할 일을 효과적으로 감독할 수 있도록 이사회를 준비시키는 것은 CISO와 더 넓은 리더십 팀의 통제하에 있습니다. 좋은 소식은 실제로 이사회 멤버들과 이야기해보면, 그들은 교육받기를 간절히 원한다는 것입니다. 그들은 보안을 감독하는 더 나은 이사회 멤버가 되고 싶어 합니다.

CISO는 이사회 멤버에게 영향을 미칠 수 있고, 이사회는 비즈니스 리더에게 영향을 미치는 데 도움을 줄 수 있습니다. 한 가지 예로, 조직이 공급업체의 올바른 행동을 유도하기 위해 구매력을 더 의식적으로 사용하는 경우가 있습니다. 한 공급업체가 고객에게 '기본적으로 있어야 할 필수 보안 개선을 요청하는 회사는 당신들뿐'이라고 말한다고 가정해 봅시다. 실제로는 그 공급업체가 모든 사람에게 그 비용을 청구하고 싶어 하는 것뿐인데도 말입니다.

상당한 규모의 몇몇 회사들이 해당 회사의 CEO를 직접 지적하기만 해도 더 나은 행동을 촉발하기 시작할 수 있습니다. 우리가 보안 및 비즈니스 커뮤니티 전반에서 우리의 모든 역할을 더 넓게 생각하는 것이 중요합니다.

2026년 CISO 커뮤니티 행사에 대한 최신 정보를 받으려면, 지금 등록하세요.

Google Cloud Security 최신 소식

이달 들어 지금까지 저희 보안팀에서 전해드리는 최신 업데이트, 제품, 서비스 및 리소스는 다음과 같습니다.

• Google의 방식: 네트워크 보안 요약: Google에서는 심층 방어(defense in depth)에 의존하기 때문에 기본적인 네트워크 보안 경계를 최첨단으로 간주합니다. Google의 방식은 다음과 같습니다. 자세히 보기
• 모범 사례에 기반한 사이버 위협 인텔리전스(CTI) 프로그램 구축 방법: 많은 조직이 CTI를 운영에 적용하고 실행 가능한 보안 결과로 전환하는 데 어려움을 겪습니다. Mandiant가 제안하는 모범 사례 권장 사항을 확인해 보세요. 자세히 보기
• Google Security Operations에 새로운 위협 센터(Emerging Threats Center) 도입: 조직이 취약점의 영향을 받았는지 파악하는 데 도움을 주기 위해 Google Security Operations에 새로운 위협 센터(Emerging Threats Center)를 도입합니다. 자세히 보기
• Viksit Bharat 지원: 인도의 AI 투자 발표: 우리는 다양한 생태계를 조성하고, 규정 준수 및 AI 주권을 위한 제어 기능을 플랫폼에서 제공하기 위해 인도의 강력한 현지 도구에 투자하고 있습니다. 자세히 보기
• Google 통합 보안 권장(Google Unified Security Recommended) 프로그램 발표: 시장을 선도하는 보안 솔루션과 전략적 파트너십을 구축하는 새로운 프로그램인 Google 통합 보안 권장(Google Unified Security Recommended)을 소개합니다. 자세히 보기
• 실제 환경에서의 설계 기반 보안(Secure by design in the wild): 우리는 '설계 기반 보안(Secure by Design)' 접근 방식을 추구하기 위한 두 가지 새로운 이니셔티브를 발표합니다: W3C의 보안 웹 애플리케이션 가이드라인 커뮤니티 그룹에 기여하고, Angular에 Auto-CSP를 도입합니다. 자세히 보기
• EU DORA에 따른 중요 공급자로서 고객 지원: ESA는 Google Cloud EMEA Limited를 EU DORA에 따른 중요 ICT 제3자 서비스 제공업체로 공식 지정했습니다. 이것이 유럽 고객에게 어떤 의미인지 알아보세요. 자세히 보기

이달에 게시된 더 많은 보안 관련 소식은 Google Cloud 블로그를 방문하여 확인하세요.

위협 인텔리전스 소식

• 사이버 보안 예측 2026: 실제 동향과 데이터를 바탕으로, 저희의 예측은 Google Cloud 보안 리더들과 최전선에 있는 수십 명의 전문가, 분석가, 연구원 및 대응자들로부터 직접 나옵니다. 자세히 보기.
• 프론트라인 게시판: Triofox 취약점을 통한 인증되지 않은 원격 액세스: Mandiant Threat Defense는 Gladinet의 Triofox 파일 공유 및 원격 액세스 플랫폼 내에서 인증되지 않은 액세스 취약점 악용 사례를 발견했습니다. 현재 패치된 이 n-day 취약점은 공격자가 인증을 우회하고 애플리케이션 구성 페이지에 액세스하여 임의의 페이로드 업로드 및 실행을 가능하게 했습니다. 자세히 보기.
• .NET 프로세스 할로잉 사례 연구를 이용한 시간 여행 디버깅(Time Travel Debugging) 시작하기: 전통적인 라이브 디버깅과 달리, 이 기술은 프로그램 실행의 결정적이고 공유 가능한 기록을 캡처합니다. TTD를 분석에 통합하는 방법은 다음과 같습니다. 자세히 보기.
• 항공우주 및 방위 생태계를 겨냥한 UNC1549 분석: 작년에 중동의 항공우주, 항공 및 방위 산업을 겨냥한 이란 관련 의심스러운 스파이 활동에 대한 게시물에 이어, Mandiant가 대응한 사건들에서 관찰된 추가적인 전술, 기술 및 절차(TTP)에 대해 논의합니다. 자세히 보기.

이달에 게시된 더 많은 위협 인텔리전스 관련 소식은 Google Cloud 블로그를 방문하여 확인하세요.

Google Cloud 팟캐스트

• 에이전트 기반 SOC, 현실을 만나다: AI 에이전트 거버넌스와 성공 측정: 전통적인 SIEM에서 에이전트 기반 SOC 모델로 전환하는 것, 특히 규제가 엄격한 보험사에서 이는 엄청난 과업입니다. Allianz의 Alexander Pabst(그룹 부CISO)와 Lars Koenig(글로벌 탐지 및 대응 총괄)이 호스트인 Anton Chuvakin, Tim Peacock과 함께 데이터 충실도, '휴먼 인 더 루프(human in the loop)', 에이전트 기반 AI의 위험 등에 대해 논의합니다. 여기에서 듣기
• AI 레드팀은 정말 새로운 공격을 찾아낼 수 있을까?: RunSybil의 CEO인 Ari Herbert-Voss가 Anton, Tim과 함께 새로운 공격 경로를 발견할 수 있는 에이전트 구축에 대한 그의 관점을 공유합니다. 여기에서 듣기
• '모든 것을 수집'하는 시대의 종말?: Axoflow의 CEO이자 syslog-ng의 창립자인 Balazs Scheidler가 Anton, Tim과 함께 데이터 파이프라인이 어떻게 '모든 데이터 수집'에서 '보안 데이터 접근'으로 전환하는 데 도움을 줄 수 있는지, 그리고 그것이 SOC에 어떤 의미를 갖는지 탐구합니다. 여기에서 듣기
• 방어자의 이점: UNC5221과 BRICKSTORM 캠페인: Mandiant 컨설팅의 관리자인 Sarah Yoder와 Google 위협 인텔리전스 그룹의 선임 분석가인 Ashley Pearson이 호스트 Luke McNamara와 함께 UNC5221 및 BRICKSTORM 백도어와 관련된 그들의 작전에 대해 논의합니다. 여기에서 듣기
• 바이너리 이면의 이야기: FLARE 팀과 함께 FLARE-On 12를 마무리하며: 호스트 Josh Stroschein이 Nick Harbour, Blas Kojusner, Moritz Raabe, Sam Kim과 함께 FLARE-On 12의 설계와 실행에 대해 심도 깊게 파헤칩니다. 여기에서 듣기

Cloud CISO Perspectives 소식을 한 달에 두 번 이메일로 받아보시려면, 뉴스레터를 구독하세요. 몇 주 후에 Google Cloud의 더 많은 보안 관련 업데이트로 다시 찾아뵙겠습니다.