실시간 뉴스



[강은성의 CISO 스토리] 경영진과의 소통법 – 비즈니스 커뮤니케이션


나는 아이와 친하다고 생각했는데 알고 보니 아이는 그렇게 생각하지 않았던 모양이다. 6개월 간의 일방적인 애정공세 끝에 알아낸 것이 아이가 f(x)를 좋아한다는 사실이었다. 이거 무슨 수학 함수가 가수 그룹 이름이라니! 브로마이드가 들어 있는 CD를 사주고, 기회가 되어 콘서트도 함께 가면서 이야기가 조금씩 되기 시작했다.

그때부터 열공 모드에 돌입하여 f(x)의 래퍼는 엠버, 가창력은 루나, 큰 아이가 좋아하는 가수는 크리스탈인 걸 알았고, 조금씩 공부를 바탕으로 화제를 넓혀 다비치의 이해리, 소녀시대 태연 등 걸그룹에도 가창력이 좋은 가수들이 있다는 얘기를 나눌 수 있는 데까지 발전했다. 그 뒤 SM 소속의 아이돌 그룹은 누가 있고, YG는 어떻고 하면서 그 쪽 비즈니스가 어떻게 돌아가는지 시야에 들어왔다. 아직도 아이돌 가수들의 얼굴은 구분하지 못하지만 말이다.

개인정보 및 정보보호 업무는 IT운영부서, 개발부서, HR부서, 경영지원부서 등 전사의 거의 모든 부서에 산재해 있다. 정보보호부서는 물론이고 회사의 각 부서가 업무를 수행하면서 보안 프로세스를 따르고, 구성원들이 보안수칙을 지켜야만 회사의 중요 자산을 보호할 수 있다. 따라서 정보보호최고책임자(CISO)나 개인정보보호책임자(CPO)가 자신의 관할 부서를 잘 챙기는 것 못지 않게 경영진과의 소통, 타 부서장들과의 소통과 협업이 중요하게 된다.

경영진 입장에서 정보보호부서를 보면 좀 갑갑한 생각이 든다. 언론을 통해 들리는 보안사고나 사회적 분위기를 보면 보안이 중요한 건 알겠는데, 정보보호부서의 설명은 이해하기 쉽지 않다. 비싼 보안장비를 사자고 하는데 그걸 사면 보안문제는 해결되는 건지 모르겠다. 작년에도 보안솔루션을 사자고 해서 승인했는데 이후 그것의 성과는 따로 보고받은 건 없다.

내가 아이를 키우며 깨달은 것은, 소통의 기반은 상대방의 관심을 아는 것이고 소통의 출발은 상대방의 용어를 쓰는 것이다. 그 위에 경청과 피드백이 쌓일 때 도움이 된다.

경영진이나 타 부서장과의 소통은 비즈니스 커뮤니케이션을 할 때 제대로 이뤄진다. 올해의 경영목표(매출, 영업이익 등 주요 지표)와 그것을 달성하기 위한 사업 전략, 핵심 제품이나 서비스를 머리에 가득 담고 있는 CEO와 소통하려면 그것들을 쫙 꿰고 있으면서 정보보호부서의 업무가 그것들과 직간접적으로 연계되어 있음을 설명하면 좋다. 예를 들어 모바일 사업이 중요한 시기에 정보보호부서의 경영계획에 모바일 보안성 검토, 이동단말관리(Mobile Device Management)와 같은 키워드가 있으면 경영진의 눈에 잘 들어온다.

또한 요즘처럼 언론에 개인정보 도난사고가 계속 날 때에는 해당 사고에 관한 현황과 원인, 우리의 현황과 대책을 포함한 보고서를 신속하게 작성하여 보고하는 것도 바람직한 소통 방법이다. 물론 회사나 최고경영진의 특성에 따라 어떤 항목을 원하는지 잘 선정해야 하겠다.

다른 부서장과의 소통 역시 비즈니스 커뮤니케이션이어야 한다. 상대방의 업무 용어를 익히고 경영목표와 같은 핵심적인 관심사항을 알고 그것들과 연계하여 얘기하면 효과가 있다. 정보보호와 가장 관련이 많은 부서는 역시 IT운영부서다. PC, 서버, 네트워크, 데이터베이스 등 정보보호 이슈의 반 이상은 IT운영부서와 관련이 되어 있다고 해도 과언이 아니다. IT를 잘 모르는 CISO는 해당 부서 팀장이나 고참 엔지니어를 불러 업무 설명을 듣는 일부터 시작하는 것이 좋다.

IT보안사고가 많은 요즘 웬만한 IT부서 팀장들은 정보보호에 관심이 많다. 실제로 IT팀장들이 보안을 잘 알면 자신의 경력 관리를 위해서도 도움이 된다. 그들도 나름 보안을 생각하지만 충분히 수행하지 못하는 이유도 있을 것이므로 보안업무를 수행할 때 겪는 애로사항도 들어 주면 좋겠다. 모르는 용어나 프로세스가 나오면 열심히 공부도 하기 바란다.

IT운영부서의 보안문제를 파고 들다 보면 개발부서와 연결되곤 한다. IT쪽에서 관리하는 IT인프라를 개발자들이 많이 사용하기 때문이다. 개발서버, 운영서버, 데이터베이스, 계정관리 등 IT인프라 보안 곳곳에서 자유로운 영혼을 가진 개발자 문제로 고충을 겪는 IT운영팀을 어렵지 않게 볼 수 있다. 그들은 개발자에게 도움을 받기도 하기 때문에 보안 통제를 강력히 추진하기도 힘들다. 이 부분을 지원해 주면 IT운영부서가 보안업무를 좀더 열심히 하게 할 수 있다. CISO들이 해야 하고 잘 할 수 있는 일이다.

원래 게임을 하지 않았는데, 게임회사로 간 뒤 온라인게임을 시작하여 고위직책자들 중에 최고 실력자로 등극했다며 자신도 몰랐던 재능을 발견했다는 CISO를 만난 적이 있다. 매일 게임사업에 몰두해 있는 CEO, 꿈에서도 디버깅 하고 있을 게임 개발자들과 잘 소통하기 위해서다. 그 정도 노력을 기울여야 훌륭한 CISO가 되지 않을까 싶다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.







alert

댓글 쓰기 제목 [강은성의 CISO 스토리] 경영진과의 소통법 – 비즈니스 커뮤니케이션

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스