칼럼 | IT 리더가 이사회 회의에서 흔히 저지르는 실수 5가지

이사회 발표는 도전적인 기회다. CIO와 CISO는 자신의 선입견을 점검해 보고, 청중을 파악하고, 의제에서 벗어난 질문을 예상하고, 겁을 주는 이야기를 피하는 것이 현명하다.
 

CIO와 CISO, 때로는 담당자가 이사회 회의에 참여하거나 이사회에 IT 전략 및 계획을 발표하는 경우는 흔하다. 만약 이사회 회의에 자주 참여하지 않는다면 준비가 중요하다. 임원들의 배경을 알아보고 이전 회의록을 검토하는 것부터 시작한다. 직접 발표하는 경우, 이전 이사회 안건 자료를 공부하고, 이사들이 주요 의사 결정을 어떻게 논의하고 토론하고 마무리하는지 동료들과 상의할 필요가 있다.

이사회 발표의 모범 사례는 많다. 프레젠테이션할 때는 미리 연습하고, 비즈니스 언어로 소통하고, 대비를 철저하게 해 이사회 구성원의 마음을 사로잡아야 한다. 주요 혁신과 디지털 트랜스포메이션 투자를 발표할 때 미리 프레젠테이션을 점검하고, 고객 피드백 실험이 필요한 부분을 준비하고, 완벽주의자의 질문에 대비한다. 사이버 대비, 기술 로드맵, 인력 계획 등 이사회에서 나올 법한 일반적인 질문에 대한 답변도 준비한다.

개인적인 경험을 되돌아볼 때, 기억에 남는 것은 단순한 실수다. 필자와 대화를 나눈 많은 IT 리더가 그랬다. IT 리더가 이사회 회의에 참석할 때 흔히 저지르는 실수 5가지를 소개한다. 

이사회에 기술적 전문성이 부족하다고 가정한다
2019년 MIT는 매출 10억 달러 이상의 미국 기업에 있는 이사회 중 24%만이 디지털에 능숙하다고 보고했다. 최근 한 조사에 따르면 포춘지 선정 100대 기업 중 51%, 200~500대 기업 중 9%만이 일정 수준의 사이버 보안 경험이 있는 이사를 보유하고 있는 것으로 나타났다.

이 수치는 대기업 이사회 사이에 상당한 기술 및 보안 격차가 있음을 시사한다. 하지만 CIO 또는 CISO가 이사회에 디지털, 데이터, 보안 혹은 기타 기술적 통찰력이 부족하다고 추측하는 것은 실수다.

스바루 캐나다의 CIO 마노지 티와리는 “지난 몇 년 동안 이사회의 구조가 변했다. 많은 기업이 전직 CIO 같은 기술 전문가를 보강하고 있다”라고 언급했다. 그는 “따라서 이사회 구성원 중 한 명을 옹호자로 정하고, 이사회 전부터 기술 전략의 지지와 채택을 보장하기 위해 옹호자와 협력해야 한다”라고 말했다.

기술 전문 용어와 복잡한 답변을 선호한다
필자의 책 <디지털 개척자>에는 초창기 인터넷 시절 한 이사에게 ‘쿠키가 무엇인지’ 질문을 받은 일화가 등장한다. 필자는 처음에 기술적인 대답을 하려고 했지만, 이사회에서 그런 식의 대답은 적절하지 않다는 사실을 금방 깨달았다.

전직 CIO이면서 현재 투자자, 고문, 이사회 멤버로 활동 중인 조 퍼글리시는 “CIO는 주요 IT 이슈 관련 질문에 의도적이지 않든 의도적이든 혼란을 주는 방식으로는 대답해선 안 된다”라며 “최신 기술 용어를 복잡하게 나열하는 것만큼 이사회를 당황하게 만드는 일은 없다”라고 말했다.

복잡한 전문 용어를 되도록 쓰지 않는 것이 중요하지만, 때때로 기술 용어를 정의하거나 설명해야 할 때가 있다. 퍼글리시와 필자의 추천은 전문 용어를 업계에 비유해 설명하는 방법이다. 예를 들어 건설 업계에서 일한다면, 소프트웨어 개발에서 ‘스크럼’을 경영진에게 이해시키기 위해 디자인-빌드, 애자일 건설 프로젝트 방법론과 비교할 수 있다.

‘겁주기 전술’이나 보안 위협을 언급하는 데 의존한다
흔히 “위기를 허비해선 안 된다”라는 말이 있다. 누구도 나설 엄두를 못 내는 대규모 투자에 관심을 이끌 때 쓰는 말이다.

긴박감을 조성하려면 자극이 필요할 때도 있지만, 이 접근 방식을 남용해선 안 된다. 필자는 어느 CISO에게 “이사회를 설득할 수 없다면 겁을 줘야 한다”라는 말을 들은 적이 있다. ‘겁주기 전술’은 눈앞의 투자에 찬성을 이끌어낼 수는 있어도, 시간이 지나면 신뢰를 잃게 된다.

CISO는 설명하고자 하는 내용을 풀어서 이사회에게 충분히 전달할 수 있지만, 이는 시간이 충분히 주어진 경우에 가능하다.

애자일블루(AgileBlue)의 사장 겸 공동 설립자인 토니 피에트로콜라는 발표에 능숙하지 않거나 발표 시간이 몇 분밖에 없는 경우, 기술적 설명이 이사회를 혼란스럽게 할 수 있다고 말했다. 그는 “기업이 사이버 위협으로부터 보호되는지 이사회가 정확히 이해하는 데 있어 흔한 문제는, 그들이 기술 전문가가 아니라는 점이다. 따라서 CIO나 CISO의 대답은 혼동을 줄 수 있다”라고 말했다.

클라리오(Clario)의 EVP 겸 최고 정보, 기술 및 제품 책임자이자 알라타(Allata) 이사회 멤버인 제이 페로는, 이사회로부터 보안 위협 질문을 받았을 때 하지 말아야 하는 대답을 사례로 제시했다. 그는 “’우리가 최선을 다하고 있으니 보호되기를 바란다’라고 말하지 말라. 어느 누구도 완벽한 보안을 보장할 수 없지 않은가? 따라서 모든 위협에 안전하다고 말하기는 어렵다. 또한 ‘보안 태세는 견고하며 우리가 구현한 대응책이 모든 위협으로부터 조직을 완벽하게 보호한다’라는 식으로 보안 준비 상태를 과장해선 안 된다”라고 말했다.

그렇다면 CISO가 혼란스러운 기술적 설명이나 겁주기 전술을 사용하지 않고 이사회에게 보안 위험을 이해시킬 수 있는 방법은 무엇일까?

피에트로콜라는 보안 벤치마크를 사용하면 경영진이 위험을 이해하는 데 도움을 줄 수 있다며, “스코어링 알고리즘이 사이버 보안의 주요 양상과 기업의 주요 운영 부문에 등급을 매겨 가시화할 수 있다”라고 언급했다. 한편, 페로는 고위험 영역에 비즈니스가 어떤 영향을 받을지 논의하고 개선 계획을 검토하라고 권장했다.

모호하게 혹은 동떨어지게 대답한다
CIO와 CISO는 이사회 단계에서 공유해야 할 주요 정보가 무엇인지 파악해야 한다. 너무 많은 슬라이드를 보여줄 경우 이사들은 흥미를 잃는다. 반면 너무 적은 슬라이드로 요약할 경우 문제 진술, 성장 기회, 시장 동향, 비즈니스 및 고객 요구와 기술 전략을 연결하는 기타 세부 사항에서 핵심 정보가 누락될 수 있다.

“비즈니스 목표와 일치하지 않거나 이사회의 기대에 부합하지 않는 기술 전략을 생뚱맞게 이사회 회의에서 발표하는 일은 피해야 한다”라고 티와리는 말했다.

페로는 디지털 트랜스포메이션 이니셔티브에 대한 경영진의 질문에 뒤따를 수 있는 끔찍한 답변들을 사례로 보여줬다.
 

ㆍ한 이사가 이제 막 시작한 이니셔티브의 일정에 대해 질문했을 때 CIO는 “이제 막 시작했기 때문에 공유할 내용이 많지 않다. 아직 모든 것을 파악하기 위해 노력하고 있기 때문에 아직 이렇다 할 진전이나 인사이트가 없다”라고 답했다. CIO는 항상 질문에 먼저 답한 다음 이를 뒷받침하는 세부 정보를 제공해야 한다. 적절한 대답은 이렇다. “아직 일정이 정해지지 않았지만, 고객 조사를 진행하고 기술과 관련한 개념 증명을 실행하고 있다. 30일 이내에 조사 결과가 나오고 곧 타임라인 초안이 나올 것이다.”

ㆍ또 다른 이사는 생성형 AI와 관련해 IT가 무엇을 하고 있는지 물었다. CIO는 “AI를 비롯한 유행어가 흥미진진하게 들리지만, 솔직히 어떤 변화를 가져올지 잘 모르겠다. 아직은 새로운 기술이기 때문에 관망하는 자세로 접근하고 있다”라고 답했다. 이 답변에도 문제가 있다. 경영진이 기술 관련 업무의 우선순위를 정하지 않았더라도 이사회는 CIO에게 새로운 기술과 비즈니스 기회 및 위험에 대한 보다 실질적인 권고 사항을 기대한다.

CIO와 CISO는 비즈니스와 업계에 영향을 미치는 이니셔티브, 비즈니스 기회, 새로운 기술의 정보를 믿기 어려울 정도로 많이 알아야 한다. 안건에 없는 주제라고 하더라도 이사회가 CIO나 CISO에게 이를 물어보는 것은 당연하다. 

동료를 곤경에 빠뜨린다
필자는 CIO 대화(#CIOChat) 라이브 이벤트에서 CIO와 이사회의 관계에 대해 도발적인 질문을 던진 바 있다. “중요한 보안 또는 운영 투자에 대해 CEO의 지원을 받지 못한다면 이사회 회의에서 이 문제를 제기해야 하는가?”라고 말이다. 패널들은 단호하게 “아니오”라고 답했다.

이사회 회의에서 의견 차이를 공개적으로 드러내거나 안건에 없는 문제를 제기하여 동료들을 놀라게 하지 않는 것이 좋다. 이는 향후의 커리어를 제한하는 행동이다. 

아무리 노련한 CIO와 CISO라고 하더라도 이사회 참석 기회는 제한적이다. 계속 배우는 과정이다. 모범 사례를 배우고, 동료와 상의하고, 쉬운 실수를 피하도록 한다.

* Isaac Sacolick는 애자일, 데브옵스, 데이터 과학을 다룬 ‘Driving Digital: The Leader’s Guide to Business Transformation through Technology’의 저자다. ciokr@idg.co.kr