오랜 기간 보안 기업을 이끌어온 조지 거초우는 팀을 구성하기 위해 최고 수준의 보안 엔지니어와 개발자를 찾는 데 집중했다.
거초우는 이런 인재를 ‘슈퍼스타’로 여겼고, 여러 측면에서 그 판단은 옳았다. 뛰어난 인재는 “들어오자마자 압도적인 성과를 냈고 훌륭하게 일했지만, 곧 다른 기회를 찾아 떠났”다.
거초우는 이런 슈퍼스타들의 집합이 반드시 고성과 팀을 만드는 것은 아니라는 사실을 깨달았다. 거초우가 정의하는 고성과 팀은 기업을 보호하기 위해 유기적으로 협력하고, 적극적으로 참여하며, 팀 내부와 비즈니스 부서 간 신뢰를 구축하는 기업이다. 뛰어난 팀을 만들기 위해서는 구성원 유형의 균형이 필요하다는 결론에 이르렀다.
이런 팀은 저절로 만들어지지 않는다. 거초우는 “모두가 더 나은 팀을 만들기 위해 노력해야 한다”라고 말했다.
아래에서는 거초우와 다른 보안 분야 베테랑 리더들이 공유한 6가지 전략을 소개한다.
- - 다양한 구성원의 팀을 구축하라
과거 기업에서 CISO를 맡았던 경험을 통해 단일 유형의 인재만으로는 최적의 팀을 만들 수 없다는 점을 깨달은 거초우는 채용 방식을 바꿨다. 거초우는 혁신과 대형 프로젝트를 위해 야심 차고 추진력이 강하지만 재직 기간이 짧을 수 있는 엔지니어와, 보안 기업 업무의 대부분을 차지하는 일상적인 운영 업무를 성실하고 안정적으로 수행하는 ‘록 스타’형 인재를 균형 있게 채용하려 했다.
현재 베드록 시큐리티 최고보안책임자이자 아이언스 리서치 교수로 활동 중인 거초우는 “두 유형이 모두 필요하다”라고 말했다.
거초우는 또한 다양한 배경을 가진 인재 채용을 강조했다. 거초우는 “서로 다른 배경은 서로 다른 관점을 가져오며, 이런 관점이 보안 전략에 반영될 때 시너지가 만들어진다”라고 말했다.
- - 미션을 명확히 하라
딜로이트에서 미국 사이버 방어 및 복원력 리더를 맡고 있는 샤론 찬드는 고성과 팀의 핵심 특성으로 팀 미션에 대한 정렬을 꼽았다.
이를 위해서는 팀 구성원이 미션이 무엇인지 명확히 알고, 해당 미션에 공감해야 한다. 찬드는 “리더가 명확하게 정의한 미션이 필요하다”며, 미션은 모든 구성원이 무엇을 해야 하는지에 대한 기준을 제공한다고 설명했다.
CISO는 보안 부서의 미션이 명확하다고 생각하거나, 단순히 ‘기업을 위협으로부터 보호한다’는 문구로 충분하다고 여길 수 있다. 그러나 찬드는 산업 특성과 비즈니스 맥락에 따라 기업 고유의 위험, 위협, 보안 우선순위를 구체적으로 제시하는 미션이 있어야 팀이 명확한 목표를 공유하고, 매번 보고 체계를 거치지 않고도 방향성에 맞게 행동할 수 있다고 말했다.
이런 명확한 미션은 공격 속도가 가속화되는 환경에서 보안 팀에 필수적인 속도를 가능하게 한다고 찬드는 설명했다.
찬드는 “고성과 팀의 특징은 단순히 중요 경고를 줄이거나 정해진 서비스 수준 협약 내에서 사고에 대응하는 것이 아니라, 비즈니스가 지속적으로 운영될 수 있도록 돕는 역할을 이해하는 데 있다”며 “그 이해가 목적의식과 동기를 만든다”라고 말했다.
거초우 역시 미션의 중요성에 공감했다. 거초우는 “개발자에게 규정 준수를 위해 무언가를 하라고 말하는 것은 흥미를 주지 못한다”며 “리스크와 비즈니스 성장을 중심으로 설명하면 동기가 달라진다”라고 말했다.
- - 미션 수행에 필요한 역량을 갖추게 하라
찬드는 고성과 팀을 위해서는 미션을 수행할 수 있는 적절한 교육, 도구, 기술이 필요하다고 말했다.
모든 요구를 충족할 수 있는 무제한 예산을 가진 CISO는 존재하지 않기 때문에, 팀원의 강점을 파악하고 추가 교육이 필요한 영역, 최적화할 수 있는 도구, 개선이 필요한 분야를 전략적으로 판단해야 한다.
찬드는 “CISO는 팀이 미션을 달성할 수 있도록 적절한 교육과 기술로 역량을 강화해야 한다”라고 말했다.
여기에는 인공지능을 활용해 보안 인력의 역할을 전환할 수 있도록 지원하는 것도 포함된다. 찬드는 “데이터와 분석을 활용하는 방법, 인공지능을 새로운 방식으로 사용하는 방법을 가르치는 것”이라고 설명했다.
찬드는 인공지능 활용 확대가 보안 부서의 업무 여력을 넓혀, 사후 대응 중심의 업무에서 벗어나 재교육과 역량 강화를 위한 시간과 자원을 확보하는 데 도움이 된다고 덧붙였다.
- - 우선순위 설정에 능숙해져라
사이버 보안 기업 옵티브에서 고객 자문 부문 필드 CISO를 맡고 있는 네이선 웬즐러는 명확한 우선순위 설정과 공유가 고성과 팀 구축의 핵심이라고 말했다.
웬즐러는 “모든 취약점을 패치할 수 없고, 모든 코드 라인을 수정할 수 없으며, 모든 문제를 해결할 자원도 없다”며 “우선순위 설정이 유일한 해법”이라고 말했다. 웬즐러는 “많은 사람이 우선순위를 정한다고 말하지만, 실제로 잘 실행하는 경우는 드물다”라고 덧붙였다.
웬즐러는 보안 도구에서 수집한 데이터를 통합해 위협과 취약점에 대한 전체적인 관점을 확보하고, 보안 전략을 비즈니스와 연계하는 CISO가 우선순위를 명확히 설정하고 팀을 효과적으로 이끌 수 있다고 설명했다.
웬즐러는 “쉽게 해결할 수 있는 문제는 아니지만, 해결에 성공하면 가장 큰 위험 영역을 객관적으로 비교하고 필요한 작업을 우선 배치하기가 훨씬 수월해진다”라고 말했다.
- - 소프트 역량을 강화해 비즈니스와의 협업을 높여라
보안 전문가는 기술 역량은 뛰어나지만, 비즈니스 이해도나 커뮤니케이션, 리더십 역량이 부족한 경우가 적지 않다. 웬즐러는 “지난 20년간 기술 역량을 강화하는 데 집중해 왔지만, 이제는 팀의 소프트 역량을 키워야 한다”라고 말했다.
웬즐러는 특히 커뮤니케이션 역량의 중요성을 강조했다. 보안 정책과 절차를 비즈니스가 이해하고 따르도록 설명하기 위해서는 명확한 전달력이 필수적이라는 설명이다.
웬즐러는 “현재 가장 성과가 좋은 팀은 다른 기업 구성원들이 보안 활동에 공감하고 동참하도록 만드는 팀”이라며 “보안을 정보기술 부서의 한 기능이 아니라 비즈니스를 가능하게 하는 역할로 인식시키고, 비즈니스가 이해하는 언어로 소통할 때 그런 결과가 나온다”라고 말했다.
비즈니스 이해, 공감 능력, 커뮤니케이션 역량이 향상되면 보안 전문가는 비즈니스에 중요한 리스크를 더 잘 이해하게 되고, 이런 통찰을 실제 보안 업무에 반영할 수 있다.
비즈니스 부서와 긴밀한 협업 관계를 구축한 보안 팀은 부서 간 영향력과 신뢰 수준이 높아지며, 보안 규칙과 요구 사항에 대한 수용성도 함께 높아진다는 평가도 나온다.
웬즐러는 “그 결과 보안이 실제로 실행되고 실질적인 개선이 이뤄진다”라고 말했다.
- - 대리 책임자를 임명하고 권한을 부여하라
아이언스 리서치 교수이자 아르티코 서치 사이버 보안 부문 파트너인 스티브 마르타노는 고성과 팀을 이끄는 CISO는 모든 일을 혼자 처리할 수 없다는 사실을 인식하고, 대리 책임자에게 역할을 위임한다고 말했다.
마르타노는 CISO가 핵심 대리 책임자를 식별해 운영과 전략적 과제를 맡겨야 한다고 설명했다. 그렇게 해야 CISO가 최고재무책임자와 제품 책임자, 손익 책임자와 동등한 위치에서 비즈니스 리스크 임원 역할을 수행할 수 있다고 강조했다.
이 같은 접근은 CISO 개인을 위한 변화처럼 보일 수 있지만, 실제로는 보안 조직 전반에 긍정적인 영향을 미친다. 대리 책임자가 권한을 갖게 되면 팀원의 질문과 이슈에 신속하게 대응할 수 있어, 모든 사안을 CISO에게 상향 보고하며 대기하는 구조에서 벗어날 수 있다.
마르타노는 강력한 대리 책임자가 존재할 경우 CISO가 일상적인 운영 업무에서 벗어나 더 중요한 영역에 집중할 수 있다고 말했다.
다만 권한 위임은 쉽지 않은 과제다. 마르타노는 지나친 신중함으로 팀을 미시적으로 관리하는CISO도 적지 않다고 지적했다.
또한, 먼저 조직이 현재 보유한 인재의 역량을 평가하고, 추가로 필요한 역량을 정의한 뒤, 임원급 역할을 수행할 수 있도록 체계적인 교육 계획을 수립해야 한다고 조언했다.
의사결정 권한을 부여하고 실수를 허용하며, CISO를 조언자로 활용하도록 해야 한다는 점도 강조했다. 회의에서는 대리 책임자가 CISO를 대표하도록 하고, 비즈니스 관점과 전략적 사고를 강화할 필요가 있다고 설명했다.
이러한 리더십 구조는 조직 전반으로 확산되며, 대리 책임자는 자신이 관리하는 인력에게도 동일한 방식으로 권한을 위임하게 된다. 그 결과 모든 직급의 구성원이 역량을 확장하고 더 많은 책임을 맡게 된다.
마르타노는 이러한 접근을 택한 CISO가 조직 전반에 걸쳐 리더를 육성하는 환경을 만들고 있다고 평가했다.
dl-itworldkorea@foundryco.com
Mary K. Pratt editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.