칼럼 | 보안 조직 내 번아웃 증후군이 발생하는 이유

정보 보안에 있어 직원의 번아웃(burnout)을 초래하는 요인에는 어떤 것들이 있을까. 필자가 CISO로 일한 지 벌써 10년이 되었다. 정보 보안 분야에서 일한지는 15년이 넘었고, IT 업계에서 일한 것은 이보다 더 오래다.



그동안 신입 분석가에서부터 필자의 동료들에 이르기까지 번아웃을 경험하고 퇴사하거나, 아예 업계를 떠나는 이를 많이 봐왔다. 그런데 켈리 셰리던이 다크 리딩(Dark Reading)에 기고한 "우수 인재 몰아내는 번아웃과 기업 문화(Burnout, Culture, Drive Security Talent Out The Door)"에 따르면, 이는 IT 업계의 고질적 문제에 가깝다.

이 기고는 CISO나 보안 업계 전문가들이 읽으라고 쓰는 것이 아니다. 그보다는 실질적으로 이 문제를 개선할 수 있는 위치에 있는 CIO나 관리자들을 위한 기고다. 실제로 필자가 목격한 번아웃을 초래하는 문제들은 기술적인 것이 아니었다. 커뮤니케이션이나 기업 문화와 관련된 문제가 훨씬 많았다. 무엇이 우수한 인재들을 떠나게 하는지, 하나씩 살펴보도록 하자.

- 보안에 충분한 시간을 투자하는 대신 변명만 늘어놓는 것
팀원이나 책임자가 보안을 개선하기 위한 노력을 하나도 하지 않으면서 변명만 하고, 다른 이들로부터 일을 얻으려는 노력을 공개적으로 한다면, 문제가 복잡하다. 말하자면 이중고인 셈이다. 우선 일에 대해 리스크에 기반한 접근을 하는 것이 아니라 공개적으로 리스크를 다루고 있다.

두번째는 조직의 목표보다 관리자의 우선 순위를 중시했다는 것이다. 어느 쪽이든, 이를 허용할 경우 심각한 보안 문제에 노출될 수 있으며 자신도 모르는 사이에 조직에 대한 통제를 잃게 될 수도 있다. 또한 보안 직원들을 배제하는 결과를 낳게 될지도 모른다.

- 보안 팀에게 모든 리스크 처리를 떠맡기려는 태도
일정 규모 이상의 기업에는 거의 예외 없이 잠재적 위험을 발견해내는 일을 하는 내부 감사팀이 존재한다. 하지만 이들의 업무는 이를 찾아내는 것이지, 해결하는 것은 아니다.

정보 보안 팀에서 리스크 평가를 할 때도 마찬가지다. 이들이 리스크 요인을 발견해냈다고 해서 그것을 고치는 것까지 정보 보안팀의 책임이라는 의미는 아니다. 보안은 개인 혼자 할 수 없는 분야이며, 팀 스포츠처럼 대해야 한다. 조직 내 각 부처가 협력해 리스크를 감소하기 위해 노력해야 하는데, 누군가에게 업무를 몰아줄 수 있는 성격의 것이 아니다. 만약 리스크를 해결하고 개선하려는 노력이 이뤄지지 않고 있다면, 해당 조직은 침체 상태에 있다고 볼 수 있을 것이다.

- 리스크를 무시하거나, 리스크 평가 및 해결을 게을리하는 경우
리스크 평가 결과 어떤 것이 고 위험군에 속한다는 결론이 나왔음에도 이를 무시하고, 아무것도 하지 않는다면, 결국 진짜 사고가 터졌을 때 책임은 자신이 지게 될 것이다.

미국 보건사회복지부 인권담당부는 의료기관들에 벌금을 부과하는 업무를 맡고 있다. 하지만 데이터 유출이 발생했다는 사실만으로 벌금을 부과하거나 처벌을 하지는 않는다. 피해 기관이 리스크 평가를 완수하지 않았거나, 완수했음에도 불구하고 보안 계획을 통해 문제를 해결하려 노력하지 않았을 때 범칙금이 부과된다. 반대로 앞선 의무를 충실히 다 했다면 데이터 유출이 발생한다 해도 처벌을 받을 확률은 매우 낮다.

중요한 사실은 이것이다. 만일 정보 보안 팀에게 리스크를 평가하고, 이를 해결할 계획을 세우고 수행할 권한이나 수단이 주어지지 않는다면 결국 문제가 생겼을 때 책임을 지는 것은 CIO나 관리자다. 또한 CISO가 회사를 그만 둘 때 "내가 뭐랬어?"라고 질책섞인 소리를 듣는 것도 CIO이다.

- 부탁하는 사람에 따라 변하는 중간급 관리자들의 태도
CISO로 10년 넘게 재직하면서 가장 인상깊었던 것들 가운데 하나는 C-레벨 경영자들과의 커뮤니케이션이었다. 대부분 C-레벨 관리자는 리스크나 보안, 프로세스 및 기획을 잘 이해하고 있으며, 또한 무척 유쾌한 사람들이다.

하지만 문제는 많은 기업에서 중간급 관리자들이 C-레벨 관리자의 이름을 빌어 보안 예산을 삭감하려 하거나, 충분한 주의를 기울이지 않은 채 뭔가를 밀어 붙이려 하는 경우가 적지 않다는 것이다. 물론 C-레벨 관리자들 중에서도 이런 행동을 하는 이들이 없는 것은 아니지만, 우리가 생각하는 것보다는 훨씬 드물다.

필자는 실제로 이런 일을 전 직장에서 경험한 바 있는데, 중간급 관리자 가운데 한 명이 어떤 일을 처리하지 않으려 하는 상황이었다. 필자는 아는 부사장에게 전화를 걸어 대신 지시를 내려달라고 부탁했다. 얼마 지나지 않아 그 관리자에게 전화가 왔는데, 예의 부사장이 부탁한 일이라며 빨리 뭔가를 해달라고 요구했다. 이 사건으로 필자는 이 사람이 어떤 사람인지 확실히 알게 되었음은 물론이다.

만일 이 글을 읽고 있는 자신이 중간급 관리자라면, 꼭 알아야 할 3가지가 있다. 첫째, C-레벨 관리자들은 자신이 책임을 소홀히 하는 것을 목소리만 듣고도 안다.

둘째, 높이 올라갈수록 자신에게 우호적인 사람들의 도움과 커넥션 없이는 성공하기 힘들다. 만일 자신이 C-레벨 관리자의 이름을 팔아서 주어진 책무를 소홀히 하거나 규정을 어기려 한다면 반드시 C-레벨 관리자들 가운데 누군가는 이를 알아채고 다른 동료들에게 경고할 것이다.

마지막으로, C-레벨 관리자에게 잘 보이기 위해 '꼼수'를 쓴다 해도 결국 정말 중요한 질문에 제대로 답하지 못한다면 자신의 그릇이 그 정도라는 것이 들통나는 것은 시간 문제다.

반대로 만약 이 글을 읽는 자신이 경영자이고, 알게 모르게 중간급 관리자들의 이런 행동을 묵인한다면 자신의 커리어에는 하등의 도움이 되지 않는 다음과 같은 결과에 직면하게 될 것이다.

중간 관리자들의 이런 행동은 조직에 과도한 리스크를 부과하는 체계를 허용하게 되며, 이로 인해 심각한 보안 및 법적 책임이 발생할 수 있다. 이는 더 많은 규칙과 정책 위반, 그리고 리스크로 이어질 것이며 결국 선량한 정보 보안 직원들만 회사를 떠나게 될 지도 모른다.

뿐만 아니라 '줄타기'와 배신, 편애 같은 건강하지 못한 조직 문화가 자리잡기 딱 좋은 토양이 된다. 이런 분위기에서 직원들의 애사심이나 참여, 신뢰에 기반한 문화를 기대하기는 어렵다. 조직에 해로운 것은 말 할 것도 없다. 이쯤 되면 보안 직원들이 퇴사하는 문제는 문제 축에도 못 끼게 될지도 모른다.

- 보안/마이크로매니지먼트에 있어 '영웅 문화'가 통할 것이라는 생각
사람들은 흔히, 성공하는 기업은 소수의 슈퍼맨 또는 슈퍼우먼들이 중심이 되어 이끌어 간다고 생각한다. 고인이 된 스티브 잡스나 일론 머스크, 래리 엘리슨, 빌 게이츠, 마이클 블룸버그, 마크 저커버그 같은 거인들이 혼자서 제국을 건설하고, 산을 옮겼다고 말이다.

특히 스티브 잡스는 전자 제품의 디자인을 중요시하고, 사소한 것 하나 하나에까지 자신만의 고집을 지켰던 인물로 유명하다. 이런 '거인'들은 분명 대단히 똑똑하고, 훌륭하며 성공적인 사람들이다. 하지만 그런 사람들조차도 자신을 도와줄 사람들이, 팀이 필요했다. 이런 거인들이 가진 비전을 구체적인 계획으로 바꾸고, 실행하며, 또 그들의 리더십에 영감을 받아 그들 혼자서는 절대로 도달할 수 없었을 곳까지 기업을 이끌어 온 것은 개인이 아닌 조직이었다.

스티브 워즈니악이 없었다면, 밥 마이너가 없었다면 오늘날의 스티브 잡스도, 래리 엘리슨도 없었을 것이다. 모든 위대한 리더는 팀이 있었기에 가능했다. 빌 게이츠가 훌륭한 코드나 제품(예컨대 오리지널 탠디(Tandy) 노트북 운영체제와 같은)을 만든 것은 사실이지만, 그조차도 결국 데이브 커틀러나 마크 러시노비치에게 경영을 일임했었다.

그러니 이들이 혼자서도 로켓을 쏘고, 스마트폰을 만들고, 데이터베이스를 구축했다고 생각해서는 곤란하다. 또 회사에 정말 똑똑한 사람이 있다고 해서 그 사람에게 보안 문제를 일임해 버려서도 안 된다. 그 유능한 인재가 결국 지치고 질려서 번아웃을 경험하고, 회사를 박차고 나가는 모습을 보고 싶지 않다면 말이다. 의욕이나 의지로도 안 되는 일도 있다.

그런가 하면, 직원들을 믿고 맡기지 못하는 경영자도 있다. 이들은 모든 일의 세부 사항을 일일이 통제하고 관리하며, 직원들에게 자신이 어떤 일을 얼마나 잘 하는지를 자꾸 과시하려 하거나, 마치 자기가 일론 머스크라도 된 것처럼 행동한다.

그러나 이런 태도는 다음과 같은 결과를 불러 올 뿐이다. 첫째, 성공하고자 하는 열망이 있는 리더에게 야망을 가질 기회를 빼앗음으로써 이들을 조직에서 몰아내게 된다.

둘째, 모든 팀원들의 일을 대신해 주느라고 정작 자신의 삶은 사라지고 만다. 팀원들을 함께 관리해야 할 다른 관리자들이 다 떠나고 없을 것이므로 관리 업무도 혼자서 하게 될 것이다.

셋째, 마이크로매니징은 직원들에게 '네가 하는 일은 믿을 수 없다'는 메시지를 주게 된다. 신뢰받지 못한다고 느끼는 직원들은 회사를 떠나게 되어 있다. 좋은 사람들을 잃는데 더할 나위 없이 좋은 방법이다.

넷째로, 배신이 판치는 유해한 기업 문화를 만들게 된다. 이제 직원들이 신경쓰는 것은 오로지 상사에게 잘 보이는 것뿐이기 때문에 동료 직원끼리 모함하고 책임을 전가하는 일이 빈번하게 발생한다. 심지어 '관리자'라는 사람조차도 동료들을 배신하는 데 주저하지 않을 것이다.

왜냐하면 보고 배운 것이 그런 것이기 때문이다. 고객의 환심을 사기 위해서라면 정해진 규정이나 절차를 무시하는 데에도 거리낌이 없을 것이다. 건전한 절차와 운영 원칙을 확립해 나가도 부족할 사람들이 말이다.

이런 조직 문화는 그 무엇보다도 뿌리 깊고 유해한 영향을 미치게 된다. IT와 보안 팀도 대등한 관계가 아니라 수직 관계를 형성하게 된다. IT 팀은 배제 당하고, 보안 팀은 CIO와의 전화 한 통이면 그냥 우회가 가능한 장애물 정도로 취급받게 된다.

이런 태도는 경영자 자신의 의견을 제외한 다른 모든 객관적인 시선이나 의견을 차단해버리기 때문에 위험하다. 세상에 항상, 100% 옳은 의견만 내놓는 사람은 없다. 만일 자신이 그럴 수 있다고 생각한다면, 그것은 정말로 해로운 착각이다.

자신이 떠난 뒤 자신의 자리에 오게 되는 사람은, 설령 그 사람이 엄청나게 유능한 사람이라 할지라도 이처럼 무너진 팀을 재건하는 데 엄청나게 애를 먹을 것이다. 자신의 리더십 부재로 인해 발생한 여러 가지 문제들을 해결하느라 임기 대부분을 쓰게 될지도 모른다. 결국 후임자는 조직 문화 개선에 모든 시간과 에너지를 쏟느라 리스크 대처를 소홀히 하게 될 수도 있다. 이 모든 것이 리더의 역할에 대한 이해 부족에서 생겨나게 될 일이다.

- 워크 라이프 밸런스(work life balance)의 부재
1년 365일, 하루 24시간 쉼 없이 일을 해야 하고, 언제나 준비 상태여야 한다는 생각은 자신을 피폐하게 만든다. '워라밸', 즉 워크 라이프 밸런스가 좋지 않은 기업이 워라밸을 개선하기 위한 정책이나 절차, 조직 문화 및 전략 수립에도 소홀할 경우 직원들이 번아웃을 경험하게 된다.

모두가 수퍼히어로처럼 일할 수 있고 그래야만 한다는 생각 때문에 충분히 유능한 사람들조차도 개인적 삶은 물론 커리어까지 망치고 있다. 필자에게 많은 것을 가르쳐 준 두 사람이 이 문제를 제기했고, 필자 역시 '워라밸'의 불균형으로 인한 피해를 직접 경험했다.

워라밸의 부재로 인한 문제를 처음 제기한 것은 우리 팀의 폴 매캐닉이었고, 코발트아이오(Cobalt.io)의 캐롤린 웡이 이를 블로그에 게재했다. 직원들이 충분히 사생활을 가질 수 있고, 운동과 몸에 좋은 식사를 하며, 여가를 즐길 수 있도록 보장해 주는 기업 문화는 무척 중요하다. 또한 직원의 개인 시간을 존중하고, 사생활과 업무의 경계를 지켜줘야 한다. 또 일을 시킬 때에도 "이것이 정말 중요한 일인가, 꼭 지금 지시해야만 하는가"를 자문해야 한다.

우리는 수퍼맨이 아니다. 그리고 수퍼맨이 될 필요도 없다. 워크 라이프 밸런스가 없고, 그것이 당연하게 여겨지는 조직에서는 유능하고 좋은 사람조차 번아웃을 경험하고, 떠나게 된다.

수퍼히어로에 필적하는 성과와 노력만이 인정받을 만하고, 이에 못 미치는 노력은 무능이나 별 것 아닌 것으로 치부하는 분위기는 직원들뿐 아니라 그들의 가족과 친구들까지도 불행하게 만든다. 자신이 영웅이 되고자 하는 것은 별개의 문제지만, 그렇다고 주변 사람들을 희생해가면서까지 영웅이 되지는 말자.

번아웃을 야기하는 요소들을 제거하라
보안 문제의 거의 대부분이 비기술적 요소에 그 뿌리를 두고 있다. 변명을 허용하고, 업무를 보안 팀에게만 일임하는 것. 리스크를 무시하고, 일을 지시하는 사람에 따라 태도를 다르게 하며, 소수의 똑똑한 천재나 영웅들이 모든 문제를 해결할 것이라고 생각하는 것. 그리고 부하 직원들의 일 하나 하나에 간섭하려 드는 마이크로매니징 등은 모두 직원에게 번아웃을 야기하는 유해한 요소들이다.

이런 요인들을 파악하는 데 수년의 시간이 걸렸다. 이런 조직 문화는 단순히 보안 팀뿐만 아니라 조직 내 그 누구의 성공에도 도움이 되지 못한다. 대체 왜 우리 회사의 보안 팀 직원들이 번아웃을 경험하고, 회사 또는 업계를 아예 떠나려 하는 것인지 궁금하다면, 자신과 자신이 속한 조직의 문화부터 되돌아 보자. 앞서 언급한 요인들 때문일지도 모른다.

사람들이 번아웃을 경험하는 건 반드시 자금이나 자원이 부족해서만은 아니다. 조직의 리더로서 자신이 보여주는 태도, 자신이 형성하는 분위기가 더 큰 문제가 될 수 있다. 리더 스스로가 조직의 목표나 가치를 존중하지 않는다면, 부하 직원들도 똑같이 행동할 수밖에 없다. editor@itworld.co.kr