2021.05.04

인터뷰ㅣ"전략적 리더십·다양성 확보가 혁신의 관건" HP CISO

Clint Boulton | CIO
HP(Hewlett-Packard Company)의 조안나 버키는 CISO가 비즈니스 파트너로 자리 잡는 게 성공적인 사이버 보안 혁신에 필수적이라고 밝혔다. 또한 그는 여성들이 사이버 보안 분야에 참여하도록 격려하는 것도 이러한 혁신에서 중요하다고 말했다. 
 
Joanna Burkey ⓒHP

산업 전반에서 ‘디지털화’가 선택 아닌 필수로 자리 잡으면서 많은 IT 리더들이 요청만 처리하던 역할에서 벗어나 어엿한 비즈니스 파트너가 되고 있다. 사이버 보안 리더들도 점점 더 같은 방향으로 나아가는 추세다. 

조안나 버키는 이러한 변화를 주도하는 CISO 가운데 하나다. 그는 HP에서 13년 동안 근무한 경력이 있으며, 지멘스로 옮겨 5년간 사이버 보안 부문을 이끌다가 1년 전 HP에 다시 합류했다. 

버키는 CISO가 비즈니스의 전략적 파트너로 역할을 수행한다면 HP에 더 큰 도움이 될 것이라고 전했다. 그는 <CIO닷컴>과의 인터뷰에서 “집중해야 한다고 판단했던 영역은 비즈니스를 활성화하는 것이었다. 이제 비즈니스 전략 테이블에 앉아야 할 필요가 있다. IT 테이블에만 앉기엔 충분하지 않다”라고 언급했다. 

비즈니스 파트너가 된 CISO
HP가 CEO 엔리케 로레스 하에서 다년간 디지털 트랜스포메이션을 추진하면서 버키는 비즈니스 전략 테이블에서 한 자리를 차지할 수 있었다고 말했다. 

최근 몇 년간 데이터 침해 사고가 초래한 위협은 CEO와 이사회로 하여금 정보보안 리더들을 비즈니스 전략 테이블에 참여하도록 만들었다. 그리고 많은 CISO가 비즈니스 전략에 영향을 미치고, 이를 수립하는 데 도움을 줄 기회를 잡게 됐다. 

그에 따르면 CISO의 역할은 기술 솔루션 제안에 단순히 ‘예’ 또는 ‘아니오’라고 말하던 것에서 나아가 질문을 하는 역할로 바뀌고 있다. 또 CISO는 위협 방지 지표로만 영향을 평가하는 데 그치지 않고 위협 벡터 및 공격이 소속 기업의 위험 관리 방식에 어떤 영향을 미치는지 설명해야 한다. 

즉 CISO가 위험 허용 한도와 전략에 관해 비즈니스 부문 동료와 생산적인 대화를 나눌 수 있도록 난해한 지표를 비즈니스 언어로 바꿔야 한다는 것이다. 

버키는 “CISO가 지표만 중시하기 쉽다. 하지만 이는 위험 관련 논의에 반영되지 않는다면 의미가 없다”라면서, “그리고 이러한 설명은 사이버 보안과 관련해 적절한 의사결정을 내리는 데 도움을 줄 것”이라고 전했다. 

“사이버 보안 분야의 다양성을 개선해야 한다”
버키는 ‘다양성(Diversity)’이 사이버 보안 혁신을 효과적으로 이끄는 열쇠라고 진단했다. 다양한 관점을 갖춘 팀이 (디지털 방어에서 중요한) 문제를 더 잘 해결하고 정보를 더욱더 잘 공유할 수 있는 위치에 있기 때문이다. 

다양성을 확보하기 위해서는 사이버 보안 포렌식 전문가, 위협 인텔리전스 전문가, 사이버 보안 역량을 갖춘 클라우드 전문가 등에 여성과 유색인종, 소외계층의 인재들이 늘어나야 한다고 그는 밝혔다. 

또 소프트스킬을 갖춘 인재도 중요하다고 버키는 덧붙였다. 비즈니스 케이스 분석을 수행하고, 이해관계자 관리를 지원할 수 있는 인력을 예로 들 수 있다. 특히 엔터프라이즈 위험 프레임워크 맥락에서 위험을 적절하게 표현 및 설명할 수 있는 인력이 필요하다면서, “인력 격차를 메워야 한다”라고 그는 강조했다.  

물론 버키는 사이버 보안 분야에서 성별과 관련된 다양성 문제를 누구보다 잘  알고 있다. 그는 사이버 보안팀에서 혼자만 여자였던 시절을 회상하면서, “여기에 적응하기 위해 스스로를 바꿔야 했다”고 전했다. 

시간이 지나면서 그는 성공하기 위해 필요하다고 생각했던 일을 하는 과정에서 진정한 자기 자신으로서 살아가지 못하고 있다는 걸 깨달았고, 더 이상은 그렇게 하지 않는다고 덧붙였다. 

하지만 성별에 따른 격차가 끊임없이 지속되는 한 다양성 문제 해결은 말처럼 쉽지 않은 일일 수 있다. ISC2에 따르면 사이버 보안 분야에 종사하는 여성의 비율은 24%에 불과하다. 직급과 직책이 높아질수록 이 격차는 훨씬 더 커진다. 포춘 500대 기업의 CISO 가운데서 여성은 13%에 그치며, 그나마도 영국 FTSE 100 지수에 포함된 기업으로 살펴보면 9%밖에 되지 않는다. 

버키는 젊은 여성을 과학, 기술, 엔지니어링 분야에 데려오기가 점점 더 어려워지고 있다고 밝혔다. 하지만 경험 및 경력이 적더라도 할 수 있다고 생각하게끔 만드는 방식으로 역할을 설명하면서 변화를 시도하고 있다고 그는 언급했다. 

예를 들면 여성 및 소외계층의 인재들이 사이버 보안 분야를 기피하는 이유는 직무 기술서 대부분이 중년의 남성 사이버 전문가를 대상으로 하는 것처럼 보이는 기술 요건으로 가득 차 있기 때문이라고 버키는 지적했다. 

이어서 그는 채용 공고에 포함돼 있는 여러 자격증과 기술 요건과 관련해 “개인적으로 이런 기술 배경을 갖고 있긴 하지만 CISO가 갖춰야 할 기술 및 역량 톱 5만 꼽으라고 한다면 이는 거의 포함되지 않는다”라면서, “역할과 업계에 관해 이야기하는 방식을 바꿀 필요가 있다”라고 말했다. 

한편 버키가 리더십을 발휘하고자 하는 여성들에게 도움이 될 만한 팁을 공유해왔다. 그 내용은 다음과 같다. 

1. 진정한 나 자신으로 살아갈 것 
동료들과 어울리기 위해 그들처럼 행동해야 한다고 생각하기 쉽다. 하지만 버키는 진정한 나 자신으로 살아야 한다고 조언했다. 그는 커리어를 쌓던 초창기 자신과 같지 않고, 자신과 다르게 행동하는 사람들처럼 행동하려고 하면서 이러한 교훈을 얻었다고 설명했다. 

2. 수평적으로 확장하는 것도 괜찮다
마스터 플랜이나 목표의 일부로 커리어에 따라 각 단계를 계획하는 사람도 있다. 하지만 버키는 수평적으로 확장하는 것도 괜찮다고 말했다. 즉 각 단계에서 새로운 기술을 습득하는 것이다. 

예를 들어 버키만 하더라도 사이버 보안 리더를 맡기 전에 소프트웨어 엔지니어링, R&D, 제품 관리 및 전략 등 여러 역할을 경험했다. 심지어는 컨트리뷰터 역할에 관심이 생겨 스스로 관리직에서 내려온 적도 있다. 그는 “이러한 경험은 남은 커리어 동안 활용할 수 있는 역량으로 전환될 수 있다”라고 전했다. 

3. 네트워크가 중요하다 
대부분은 커리어 기회를 얻기 위해 네트워크(인맥)를 구축한다. 하지만 버키는 스스로의 지식 및 역량을 성장시키기 위해서 네트워크를 해야 한다고 강조했다. 언젠가 써먹을 일이 있기 때문이다. 

이를테면 버키는 재무 관련 업무를 맡은 적이 없었다. 그러나 재무 전문가들과는 인맥을 쌓았다. 이를 통해 그는 효과적으로 사이버 보안 예산을 관리하고 비즈니스 부문과 대화할 수 있는 실무 지식을 얻을 수 있었다고 설명했다. 버키는 “결국 사이버 보안 역시 다른 부문과 마찬가지로 비즈니스 성과를 극대화하는 게 중요하다. 모두 돈에 관한 것이다”라고 말했다.
 
ciokr@idg.co.kr



 



2021.05.04

인터뷰ㅣ"전략적 리더십·다양성 확보가 혁신의 관건" HP CISO

Clint Boulton | CIO
HP(Hewlett-Packard Company)의 조안나 버키는 CISO가 비즈니스 파트너로 자리 잡는 게 성공적인 사이버 보안 혁신에 필수적이라고 밝혔다. 또한 그는 여성들이 사이버 보안 분야에 참여하도록 격려하는 것도 이러한 혁신에서 중요하다고 말했다. 
 
Joanna Burkey ⓒHP

산업 전반에서 ‘디지털화’가 선택 아닌 필수로 자리 잡으면서 많은 IT 리더들이 요청만 처리하던 역할에서 벗어나 어엿한 비즈니스 파트너가 되고 있다. 사이버 보안 리더들도 점점 더 같은 방향으로 나아가는 추세다. 

조안나 버키는 이러한 변화를 주도하는 CISO 가운데 하나다. 그는 HP에서 13년 동안 근무한 경력이 있으며, 지멘스로 옮겨 5년간 사이버 보안 부문을 이끌다가 1년 전 HP에 다시 합류했다. 

버키는 CISO가 비즈니스의 전략적 파트너로 역할을 수행한다면 HP에 더 큰 도움이 될 것이라고 전했다. 그는 <CIO닷컴>과의 인터뷰에서 “집중해야 한다고 판단했던 영역은 비즈니스를 활성화하는 것이었다. 이제 비즈니스 전략 테이블에 앉아야 할 필요가 있다. IT 테이블에만 앉기엔 충분하지 않다”라고 언급했다. 

비즈니스 파트너가 된 CISO
HP가 CEO 엔리케 로레스 하에서 다년간 디지털 트랜스포메이션을 추진하면서 버키는 비즈니스 전략 테이블에서 한 자리를 차지할 수 있었다고 말했다. 

최근 몇 년간 데이터 침해 사고가 초래한 위협은 CEO와 이사회로 하여금 정보보안 리더들을 비즈니스 전략 테이블에 참여하도록 만들었다. 그리고 많은 CISO가 비즈니스 전략에 영향을 미치고, 이를 수립하는 데 도움을 줄 기회를 잡게 됐다. 

그에 따르면 CISO의 역할은 기술 솔루션 제안에 단순히 ‘예’ 또는 ‘아니오’라고 말하던 것에서 나아가 질문을 하는 역할로 바뀌고 있다. 또 CISO는 위협 방지 지표로만 영향을 평가하는 데 그치지 않고 위협 벡터 및 공격이 소속 기업의 위험 관리 방식에 어떤 영향을 미치는지 설명해야 한다. 

즉 CISO가 위험 허용 한도와 전략에 관해 비즈니스 부문 동료와 생산적인 대화를 나눌 수 있도록 난해한 지표를 비즈니스 언어로 바꿔야 한다는 것이다. 

버키는 “CISO가 지표만 중시하기 쉽다. 하지만 이는 위험 관련 논의에 반영되지 않는다면 의미가 없다”라면서, “그리고 이러한 설명은 사이버 보안과 관련해 적절한 의사결정을 내리는 데 도움을 줄 것”이라고 전했다. 

“사이버 보안 분야의 다양성을 개선해야 한다”
버키는 ‘다양성(Diversity)’이 사이버 보안 혁신을 효과적으로 이끄는 열쇠라고 진단했다. 다양한 관점을 갖춘 팀이 (디지털 방어에서 중요한) 문제를 더 잘 해결하고 정보를 더욱더 잘 공유할 수 있는 위치에 있기 때문이다. 

다양성을 확보하기 위해서는 사이버 보안 포렌식 전문가, 위협 인텔리전스 전문가, 사이버 보안 역량을 갖춘 클라우드 전문가 등에 여성과 유색인종, 소외계층의 인재들이 늘어나야 한다고 그는 밝혔다. 

또 소프트스킬을 갖춘 인재도 중요하다고 버키는 덧붙였다. 비즈니스 케이스 분석을 수행하고, 이해관계자 관리를 지원할 수 있는 인력을 예로 들 수 있다. 특히 엔터프라이즈 위험 프레임워크 맥락에서 위험을 적절하게 표현 및 설명할 수 있는 인력이 필요하다면서, “인력 격차를 메워야 한다”라고 그는 강조했다.  

물론 버키는 사이버 보안 분야에서 성별과 관련된 다양성 문제를 누구보다 잘  알고 있다. 그는 사이버 보안팀에서 혼자만 여자였던 시절을 회상하면서, “여기에 적응하기 위해 스스로를 바꿔야 했다”고 전했다. 

시간이 지나면서 그는 성공하기 위해 필요하다고 생각했던 일을 하는 과정에서 진정한 자기 자신으로서 살아가지 못하고 있다는 걸 깨달았고, 더 이상은 그렇게 하지 않는다고 덧붙였다. 

하지만 성별에 따른 격차가 끊임없이 지속되는 한 다양성 문제 해결은 말처럼 쉽지 않은 일일 수 있다. ISC2에 따르면 사이버 보안 분야에 종사하는 여성의 비율은 24%에 불과하다. 직급과 직책이 높아질수록 이 격차는 훨씬 더 커진다. 포춘 500대 기업의 CISO 가운데서 여성은 13%에 그치며, 그나마도 영국 FTSE 100 지수에 포함된 기업으로 살펴보면 9%밖에 되지 않는다. 

버키는 젊은 여성을 과학, 기술, 엔지니어링 분야에 데려오기가 점점 더 어려워지고 있다고 밝혔다. 하지만 경험 및 경력이 적더라도 할 수 있다고 생각하게끔 만드는 방식으로 역할을 설명하면서 변화를 시도하고 있다고 그는 언급했다. 

예를 들면 여성 및 소외계층의 인재들이 사이버 보안 분야를 기피하는 이유는 직무 기술서 대부분이 중년의 남성 사이버 전문가를 대상으로 하는 것처럼 보이는 기술 요건으로 가득 차 있기 때문이라고 버키는 지적했다. 

이어서 그는 채용 공고에 포함돼 있는 여러 자격증과 기술 요건과 관련해 “개인적으로 이런 기술 배경을 갖고 있긴 하지만 CISO가 갖춰야 할 기술 및 역량 톱 5만 꼽으라고 한다면 이는 거의 포함되지 않는다”라면서, “역할과 업계에 관해 이야기하는 방식을 바꿀 필요가 있다”라고 말했다. 

한편 버키가 리더십을 발휘하고자 하는 여성들에게 도움이 될 만한 팁을 공유해왔다. 그 내용은 다음과 같다. 

1. 진정한 나 자신으로 살아갈 것 
동료들과 어울리기 위해 그들처럼 행동해야 한다고 생각하기 쉽다. 하지만 버키는 진정한 나 자신으로 살아야 한다고 조언했다. 그는 커리어를 쌓던 초창기 자신과 같지 않고, 자신과 다르게 행동하는 사람들처럼 행동하려고 하면서 이러한 교훈을 얻었다고 설명했다. 

2. 수평적으로 확장하는 것도 괜찮다
마스터 플랜이나 목표의 일부로 커리어에 따라 각 단계를 계획하는 사람도 있다. 하지만 버키는 수평적으로 확장하는 것도 괜찮다고 말했다. 즉 각 단계에서 새로운 기술을 습득하는 것이다. 

예를 들어 버키만 하더라도 사이버 보안 리더를 맡기 전에 소프트웨어 엔지니어링, R&D, 제품 관리 및 전략 등 여러 역할을 경험했다. 심지어는 컨트리뷰터 역할에 관심이 생겨 스스로 관리직에서 내려온 적도 있다. 그는 “이러한 경험은 남은 커리어 동안 활용할 수 있는 역량으로 전환될 수 있다”라고 전했다. 

3. 네트워크가 중요하다 
대부분은 커리어 기회를 얻기 위해 네트워크(인맥)를 구축한다. 하지만 버키는 스스로의 지식 및 역량을 성장시키기 위해서 네트워크를 해야 한다고 강조했다. 언젠가 써먹을 일이 있기 때문이다. 

이를테면 버키는 재무 관련 업무를 맡은 적이 없었다. 그러나 재무 전문가들과는 인맥을 쌓았다. 이를 통해 그는 효과적으로 사이버 보안 예산을 관리하고 비즈니스 부문과 대화할 수 있는 실무 지식을 얻을 수 있었다고 설명했다. 버키는 “결국 사이버 보안 역시 다른 부문과 마찬가지로 비즈니스 성과를 극대화하는 게 중요하다. 모두 돈에 관한 것이다”라고 말했다.
 
ciokr@idg.co.kr



 

X