성과를 내는 보안팀은 무엇이 다른가··· 글로벌 CISO 3인이 전하는 보안 조직 운영 팁
2024.08.19
Dan Roberts | CIO
글로벌 기업의 최고정보보안책임자(CISO) 세 명에게 보안 조직 리더에게 필요한 핵심 역량과 높은 성과를 만드는 보안 조직을 구축하는 방법에 대해 들어보았다.
IT 및 정보 보안 리더라면 ‘VUCA’라는 용어에 익숙할 것이다. 변동성(volatility), 불확실성(uncertainty), 복잡성(complexity), 모호성(ambiguity)의 앞 글자를 따서 만든 VUCA는 우리가 오늘날 직면하고 있는 세상을 잘 설명하는 용어다. 앞으로 우리가 사는 세상은 VUCA 특성이 더욱 강화될 가능성이 높다. 그리고 뛰어난 사이버 보안 리더는 이 현실을 명확히 인식하고 있다. 그뿐만 아니라, VUCA가 가득한 세상에서 성공하기 위해 전략을 개발하고 이를 실행하는 데 주력한다. 여기에 차세대 리더를 양성하여 지속적인 변화에 대비한다.
지난달 뉴욕에서 열린 보안 행사인 시큐어IT(SecureIT)에서는 보안 관련 회복탄력성 문화를 조성하는 방안에 대해 논의하는 시간을 가졌다. 이 자리에는 에스티로더컴퍼니(Estée Lauder Companies, ELC)의 나다 노아만, 미국 금융 기업 노스웨스턴 뮤추얼(Northwestern Mutual)의 로라 디너, 리서치 기업 랜드(RAND)의 리즈 로저스라는 세 명의 CISO가 참석했다.
세 명의 CISO는 위협이 증가하는 상황 속에서 사이버 보안 팀이 비즈니스의 언어를 이해하고 구사할 수 있어야 하고, 고객과 이해관계자에게 더 큰 가치를 제공하는 전략에 보다 관심을 가져야 한다고 강조했다.
노아만은 “사이버 보안 업계에서 일하려면 강한 의지와 정신력을 가지고 있어야 한다”라며 “그래서 보안 분야가 흥미진진하기도 하다. 이 분야에서 성공하려면 기술력 이상의 것이 필요하다”라고 표현했다. 세 명의 CISO에게 오늘날의 뛰어난 보안 리더는 무엇이 다르고, 강력한 보안 리더십이 비즈니스에 어떤 영향을 주는지 들어보았다.
사이버 보안의 북극성 ‘비즈니스 목표’
사이버 보안 조직은 기업에 대한 종합적인 관점을 통해 문제와 요구사항을 예측할 수 있다. 또한 비즈니스 전략에 영향을 미치며 변화를 선제적으로 주도할 수 있는 독보적인 위치에 있다. 그러나 많은 사이버 전문가가 세부적인 일에만 몰두해 비즈니스 목표를 달성하는 역할에 대해서는 자세히 이해하지 못한다. 그렇기에 뛰어난 CISO는 조직 구성원에게 각자의 업무가 비즈니스와 어떻게 연결되는지 명확히 설명해 준다. 이런 설명을 통해 보안 부서 직원은 단순한 지시 수행자나 신뢰할 수 있는 조언자를 넘어 미래 지향적이고 혁신 파트너로 성장한다.
ELC의 나다 노아만은 조직 전반에 비즈니스 우선 사고방식을 개발하는 것에 많은 투자를 하는 인물이다. 노아만은 “나는 직원에게 어떤 역할을 맡든 여러분은 각각 퍼즐의 한 조각을 맡고 있으며, 모든 조각이 모여야 큰 그림의 퍼즐을 제대로 완성할 수 있다고 설명한다. 여기에 퍼즐을 완성하기 위해서는 모든 조각이 정확한 위치에 있어야 하듯이, 조직의 목표를 달성하기 위해서는 모든 구성원이 자신의 역할을 제대로 수행해야 한다고 강조한다. 직원 스스로 자신이 어디에 속하는지, 자신이 하는 일이 최종 목표에 어떻게 기여하는지 아는 것은 매우 중요하다”라고 설명했다.
이러한 사고방식은 비즈니스 동료와 함께 일하는 방식에도 영향을 미친다. 자신의 역할을 제대로 이해한 보안 부서 직원은 맡은 업무를 처리할 뿐만 아니라 고객을 중심으로 보안 과제를 고민할 수 있기 때문이다. 궁극적으로 노아만은 조직 운영을 성공적으로 수행하기 위해서는 팀 내부의 강한 공감대 형성이 필요하다고 보고 있다.
노아만은 “보안 조직 리더는 무엇을 이루려 하는지, 그 이유를 이해하도록 팀을 이끌어야 한다. 직원은 보안 조치의 기술적 맥락은 이해하고 있지만 사업상 왜 해야 하는지 이해하지 못 할 수 있다. 따라서 사업적 맥락을 알려주며, 같은 방향으로 나아가도록 동기부여 요소를 제공해야 한다. 목표가 무엇인지 알려줘야 한다”라고 강조했다.
비즈니스 언어 구사하기
비즈니스 파트너들과 소통할 때 주요 보안 이니셔티브에 대한 지지를 얻으려면, 그들의 언어를 구사하는 것이 중요하다. 기술적인 용어를 몰라도, 상대방이 이해할 수 있도록 간단하고 명확하게 설명해야 한다.
노스웨스턴 뮤추얼의 로라 디너는 “우리 팀에는 놀라울 정도로 능동적이며 기술 전문성이 뛰어난 인재들이 있다. 하지만 비즈니스 및 기타 이해관계자들과 대화를 나눌 때 기술적 내용은 핵심이 아니다. 그들은 싱글사인온이나 멀티 팩터가 무엇인지 잘 모른다. 그들이 알고 싶어 하는 것은 문제 해결 방법뿐이다”라고 말했다.
기술적인 용어에 빠져 아무도 이해하지 못하는 대화를 하는 것보다는 간단하게 전달하는 것이 중요하다. 노아만은 “명확하고 모호하지 않으며 직설적으로 말해야 한다. 필요한 것을 정확하게 설명하고 ‘이것이 왜 필요한지’에 대한 이유를 설명하면, 기술적인 세부 사항을 설명하지 않아도 모두가 그 이유를 이해하게 된다”라고 설명했다.
비즈니스의 현실을 고려한 소통도 중요하다. 디너는 특히 비즈니스 조직의 동료가 매일 경험하고 있는 상황에 대해 잘 알고 있어야 한다고 조언했다. 가령 직원은 비즈니스에 대해 구체적으로 알아보고, 콜센터를 방문하고, 고객센터 통화 내용을 들어보면서 ‘상대방이 어떤 감정을 느끼고 있는지’ 알아볼 수 있다.
랜드의 로저스는 “모든 업무나 대화에서 비즈니스의 최우선 과제를 항상 염두에 두고 행동해야 한다”라고 밝혔다.
뛰어난 사이버 리더가 가진 특징
고위 직급으로 올라갈수록 중요해지는 것은 소통 능력이다. 그리고 리더 사이에서 이런 소통 역량의 차이는 크게 드러난다. 문제는 사이버 보안 및 기타 기술 전문가는 보통 기술적 성과를 기반으로 리더로 승진한다는 점이다. 자연스레 많은 보안 리더가 기술적인 능력은 최고 수준일지 몰라도 소통, 영향력 행사 능력, 고객 중심 사고, 비즈니스 감각과 같은 리더십 역량은 제대로 키워놓지 않은 경우가 많다.
로저스는 “CISO 자리를 맡게 된 것은 기술력 덕분이지만, 앞으로 더 나아가려면 다른 것이 필요하다. 방화벽 설정 방법은 알고 있는가? 그럼 그 내용을 경영진에게도 설명할 줄 알아야 한다. 다시 말해 비즈니스를 이해하고 비즈니스 언어로 기술, 보안, 솔루션에 대해 이야기할 수 있어야 한다. 이러한 대화를 할 수 있는 능력이야말로 훌륭한 리더만 갖고 있는 특별한 요소다”라고 말했다.
훌륭한 소통 능력은 리더십의 핵심 기둥 같은 것이다. 소통 능력이 뛰어나다면 그만큼 리더십이 강력하게 발휘되기도 한다. 실제로 투명한 소통은 신뢰 구축에 도움이 되며, 이는 더 효과적인 협업과 협력을 이끌어낸다. 노아만은 “원활한 소통을 통해 상대방의 의도를 제대로 이해할 수 있다. 서로 이야기를 자주 나누다 보면 왜 이 일을 해야 하는지 의도를 정확히 파악할 수 있다. 진정한 협업 문화를 만들려면 메시지를 투명하고 단순하게 만들어야 한다. 한 배에 타고 있다고 여길 수 있으나, 같은 방향을 바라보며 함께 노를 젓지 않는다면 진정한 소통이 이루어지지 않는 것이다”라고 말했다.
소통 능력은 심지어 CISO의 스트레스 감소에도 도움을 준다. 디너는 “담당자들과 CVSS 스코어(컴퓨터 시스템 보안 취약점의 심각도를 평가하기 위한 개방형 표준)에 대해 이야기를 나눌 수 있다. 불안감을 조성하거나 불확실성을 강조하는 대신, 그들이 처한 상황에 맞춰 쉽게 이해할 방법으로 접근하는 것이 좋다고 이야기해 보자. 상대방의 입장을 고려한 소통 방식이 더 나은 결과를 가져올 수 있다”라고 밝혔다.
리더 차원 또는 팀 차원의 회복력 높이기
수많은 보안 위협이 존재하는 상황에서 CISO가 성공하기 위해서는 ‘용기’를 갖고 있어야 한다. 뻔한 이야기처럼 들리지만 사실 용기는 다른 근육과 마찬가지로 개발할 수 있다. 또한 용기는 하나의 마음가짐이기도 하다. 실제 세 CISO는 자기 일에 대한 깊은 애정과 그 일의 중요성에 대한 명확한 이해를 바탕으로, 어려운 상황에서도 회복력과 적응력을 유지하며 더 용기 있게 행동할 수 있다고 설명했다.
세 CISO에 따르면, 뛰어난 보안 리더는 사이버 보안과 다른 부서 간의 중요한 상호작용 지점에 집중함으로써 조직을 전체적으로 보며 더 깊이 이해한다. 그리고 이를 바탕으로 더 효과적이고 전략적인 리더십을 발휘할 수 있다.
로저스는 경력 초기 고객 센터에서 일할 때 용기가 주는 이점을 배웠다고 설명했다. 하루 종일 불만을 처리하는 것은 그 자체가 용기가 필요한 일이었다. 로저스는 “하지만 불만 처리 과정에서 사람들과 그들의 업무 방식을 이해할 수 있었다. 그들이 무엇을 원할지 예측할 수 있게 되었고, 그때부터는 그들이 요구하기 전에 미리 원하는 바를 제공할 수 있었다. 그런 교훈을 리더십 발휘 과정에서 활용하여 비즈니스 부서가 필요할 것을 예측하고 있다”라고 말했다.
디너는 “고객을 파악하면 팀 업무 속도를 높이는 데 도움이 되고, 직원 자신이 하는 모든 업무가 무엇을 위한 것인지 이해하는 데도 도움이 된다. 보안 일을 하다 보면 아무리 능력이 있어도 ‘이번 업무는 버겁다’라는 생각이 드는 날을 종종 마주한다. 이때 고객 파악을 기반으로 일을 하다 보면, 어려운 상황에서도 동기부여를 잃지 않고 의미 있는 일을 한다는 자부심을 유지할 수 있다”라고 밝혔다.
노아만은 “보안 산업에서는 항상 긴장의 끈을 놓을 수 없는 무언가가 있다. 업무적으로 조심해야 하는 것이 많긴 하지만, 사이버 보안 분야에 오래 일하다 보면 자연스럽게 긴장이 생활화된다. 그러나 굳은살이 생기듯 여러 어려운 과정을 거치며 우리는 성장하게 된다”라고 말했다.
늘 긴장의 연속인 환경에 매몰되지 않고 발전하는 문화를 구축하려면 훌륭한 리더가 필요하다. 많은 직원이 번아웃을 겪는 요즘 같은 시대에선 더더욱 그렇다. 이런 환경을 고려해 뛰어난 CISO는 최고의 인재를 유치하고, 동기 부여하고 이탈하지 않게 만드는 것을 최우선 과제로 삼고 있다. 숙련되고, 적극적이고, 조직적인 팀이 있어야만 보안성을 높이고 주요 과제를 제대로 수행할 수 있다는 것을 알고 있기 때문이다.
노아만은 “국토 횡단 운전에 비유해 볼 수 있다. 우리는 A 지점에서 B 지점으로 가고 있으며, 목표 지점이 있다. 어떻게 가야 할지, 무엇을 해야 할지는 각 당사자가 알아서 정하면 된다. 리더의 일은 여정을 떠날 수 있도록 준비하는 것이다. 리더로서 나는 비전을 수립하고 직원들과 함께 그 목표를 향해 나아간다”라고 설명했다.
리더십 역량 균형 잡기
앞서 세 명의 CISO가 보여주듯, 최고의 리더는 겸손, 공감, 적응력, 회복력, 투명성(Humility, Empathy, Adaptability, Resiliency, Transparency, 줄여서 HEART)의 역량을 보여주며, 동시에 팀원들에게 책임감을 부여하고 성과 달성에 집중한다. 사실 이 모든 것을 다 보여주려면 균형을 잘 잡아야 한다. 성과에 너무 집중하면 사람을 잃고, HEART라는 가치에 너무 집중하면 성과를 내지 못할 수 있다.
사이버 보안 리더를 육성하고자 하는 기업은 다양한 역량을 균형 있게 개발할 수 있도록 지원해야 한다. 특히 후보자의 기술적 전문성, 비즈니스 통찰력, 그리고 리더십 역량을 종합적으로 평가하고 육성해야 한다.
로저스는 “인재를 육성하는 방법은 다양히다. 일단 리더 후보가 어떤 역량이 부족한지 잘 파악해야 한다. 리더 개인 또는 기업의 특성에 따라 어떤 역량을 더 키울 것인가가 달라진다. 내부 환경에 의해서도 방향성이 크게 좌우된다. 일부 인재들은 자신의 역량을 입증할 기회를 얻지 못했을 수 있다. 따라서 젊은 리더들의 성장을 촉진하기 위해서는 체계적이고 의도적인 접근이 필수적이다”라고 전했다.
세 CISO는 ‘목표를 명확히 하고 행동하라’고 조언했다. 우리를 둘러싼 세계의 급변하는 현실을 고려하면 새겨들어야 하는 조언이다. 변화의 속도는 앞으로 더욱 빨라질 것이며, 이에 따라 조직 문화, 인재 육성, 그리고 비즈니스 영향력에 대한 전략적 접근이 그 어느 때보다 중요해지고 있다.
ciokr@idg.co.kr