고성과 보안팀 구축 전략: 슈퍼스타는 답이 아니다

오랜 기간 보안 기업을 이끌어온 조지 거초우는 최고의 보안 전문가를 모아 팀을 꾸렸지만, 기대와 달리 고성과를 내지 못했습니다. 그는 뛰어난 개인들이 모여도 훌륭한 팀이 되는 것은 아니라는 사실을 깨달았습니다. 고성과 팀은 유기적으로 협력하고 적극적으로 참여하며, 신뢰를 구축하는 팀입니다. 이 글에서는 거초우와 다른 보안 전문가들이 제시하는 고성과 보안팀 구축 전략 6가지를 소개합니다.

다양한 구성원의 팀 구축

조지 거초우는 과거 CISO 경험을 통해 단일 유형의 인재만으로는 최적의 팀을 만들 수 없다는 것을 깨달았습니다. 그는 혁신적인 프로젝트를 추진할 엔지니어와 안정적인 운영을 수행할 '록스타'형 인재를 균형 있게 채용하려 했습니다. 또한, 서로 다른 배경을 가진 인재를 채용하여 다양한 관점을 확보하는 것이 중요하다고 강조했습니다. 다양한 배경은 시너지 효과를 창출하여 보안 전략을 더욱 강화할 수 있습니다.

미션 명확화

딜로이트의 샤론 찬드는 고성과 팀의 핵심으로 팀 미션에 대한 명확한 이해와 공감을 꼽았습니다. 팀 구성원 모두가 미션을 명확히 알고, 그 미션에 공감해야 합니다. CISO는 보안 부서의 미션을 명확하게 정의하고, 산업 특성과 비즈니스 맥락에 따라 기업 고유의 위험, 위협, 보안 우선순위를 구체적으로 제시해야 합니다. 명확한 미션은 팀이 목표를 공유하고, 신속하게 대응할 수 있도록 합니다.

역량 강화

샤론 찬드는 고성과 팀을 위해서는 미션을 수행할 수 있는 적절한 교육, 도구, 기술이 필요하다고 말합니다. CISO는 팀원의 강점을 파악하고, 추가 교육이 필요한 영역, 최적화할 수 있는 도구, 개선이 필요한 분야를 전략적으로 판단해야 합니다. 특히 인공지능 활용 교육을 통해 보안 인력의 역할을 전환하고, 업무 여력을 확보하여 재교육과 역량 강화를 위한 시간과 자원을 확보해야 합니다.

우선순위 설정

옵티브의 네이선 웬즐러는 명확한 우선순위 설정과 공유가 고성과 팀 구축의 핵심이라고 강조합니다. 모든 취약점을 패치하고 모든 문제를 해결할 수는 없기 때문에, 우선순위 설정이 중요합니다. CISO는 보안 도구에서 수집한 데이터를 통합하여 위협과 취약점에 대한 전체적인 관점을 확보하고, 보안 전략을 비즈니스와 연계해야 합니다. 이를 통해 가장 큰 위험 영역을 객관적으로 비교하고 필요한 작업을 우선 배치할 수 있습니다.

소프트 역량 강화

네이선 웬즐러는 팀의 소프트 역량, 특히 커뮤니케이션 역량 강화의 중요성을 강조합니다. 보안 정책과 절차를 비즈니스가 이해하고 따르도록 설명하기 위해서는 명확한 전달력이 필수적입니다. 보안을 비즈니스를 가능하게 하는 역할로 인식시키고, 비즈니스가 이해하는 언어로 소통해야 합니다. 비즈니스 이해, 공감 능력, 커뮤니케이션 역량이 향상되면 보안 전문가는 비즈니스에 중요한 리스크를 더 잘 이해하고, 실제 보안 업무에 반영할 수 있습니다.

대리 책임자 임명 및 권한 부여

스티브 마르타노는 고성과 팀을 이끄는 CISO는 대리 책임자에게 역할을 위임한다고 말합니다. CISO는 핵심 대리 책임자를 식별해 운영과 전략적 과제를 맡겨야 합니다. 대리 책임자가 권한을 갖게 되면 팀원의 질문과 이슈에 신속하게 대응할 수 있으며, CISO는 더 중요한 영역에 집중할 수 있습니다. 의사결정 권한을 부여하고 실수를 허용하며, CISO를 조언자로 활용하도록 해야 합니다.

결론

고성과 보안팀은 단순히 뛰어난 개인들의 집합이 아닌, 다양성을 존중하고 협력하며, 명확한 목표를 공유하는 팀입니다. 리더는 팀원들의 역량을 강화하고, 비즈니스와의 소통을 증진하며, 권한을 위임하여 팀 전체의 성장을 이끌어야 합니다. 이러한 노력을 통해 기업은 더욱 안전하고 성공적인 미래를 만들어갈 수 있을 것입니다.