업무에 관한 글을 쓰는 것이 그다지 자발적이지 못하다는 사실을 알게 되었습니다. 저도 어지간히 떠드는 것을 좋아하는 모양이에요. 그래도 오늘은 업무 경험과 제가 학습한 것들을 공유하는 시간을 가져보도록 하겠습니다. 제가 사랑하는 커뮤니티 (ISC2)에서 좋은 문장들을 많이 빌려왔습니다.
조직에 새로운 보안 전략이나 기술 도입을 제안하는 보안 컨설팅을 수행할 때, 항상 부딪히는 벽이 있습니다. 그것은 바로 ‘조직의 저항’입니다. 변화에 대한 두려움, 업무 방식의 혼란, 추가적인 부담감 등 다양한 이유로 조직 내부에서 반발이 발생하곤 합니다. 보안을 ‘번거로운 것’ 이라고 인식하는 실무진들의 입장을 어느정도는 이해하는 부분이지만, 프로세스를 기획하고 추진하는 입장에서, 이와 타협할 수는 없겠죠?
이번 글에서는 조직의 저항을 극복하고 성공적으로 컨설팅 이니셔티브를 추진할 수 있는 방법에 대해 실무적 관점에서 정리해보겠습니다.
맞춤형 교육 콘텐츠로 호기심 자극
조직의 저항은 대부분 무지와 오해에서 시작됩니다. 변화가 왜 필요한지, 어떤 방식으로 진행될지 이해하지 못하면 당연히 반발하게 되겠죠. 이를 해결하기 위해 맞춤형 교육 콘텐츠를 활용해 조직원들의 호기심을 자극하고 자연스럽게 변화에 동참하도록 유도해야 합니다.
- 실무 맞춤형 교육: 교육은 너무 거창하거나 추상적이어선 안 됩니다. 조직의 업무 흐름에 맞춰 실질적으로 와닿는 사례 기반 교육을 제공하는 것이 중요합니다. 개발자, 데이터관리자, 인사관리자, 헬프데스크 등 각 조직원들의 업무를 기반으로 생성된 컨텐츠일수록 효과가 좋습니다.
- 게이미피케이션 활용: 퀴즈, 워크숍, 시뮬레이션, 역할극 등을 통해 참여를 유도하고 흥미를 끌어내면 효과가 더 큽니다.
Tip : 어느 제조업체에 컨설팅을 진행할 때, 사이버 공격 사례를 시뮬레이션한 교육을 통해 직원들의 경각심과 호기심을 동시에 자극한 적이 있었는데, 이후 저는 경각심보다 호기심에 더 가치를 두고 교육을 계획하고 있습니다. 요즘 뉴스가 좋아서 사례들은 대부분 알고 계시더라고요. 예전에는 정말 “옆 회사는 이렇게 하다가 망했어요!” 하는 교육이 효과가 있었겠죠?
이해관계자를 포함한 자기조직적 팀 구성
변화를 성공적으로 이끌기 위해서는 자기조직적 팀을 구성하는 것이 중요합니다. 여기서 핵심은 이해관계자를 포함시켜 그들이 변화를 주도하도록 하는 것입니다. 만약 경영진까지 포함된다면 이루말할 수 없는 성과이겠죠?
- 핵심 이해관계자 참여: 조직 내 리더, 실무 담당자, 보안 책임자 등 주요 이해관계자들이 변화의 중심에 서도록 합니다. 보안에 대한 기반 지식과 경험을 보유한 인원을 포함하는 것도 중요합니다.
- 자기조직적 구조: 프로젝트를 팀 단위로 분산시키고 각 팀이 자율적으로 목표를 설정하고 문제를 해결하도록 독려합니다. 추후 문제 해결 이력이 개인의 성과에 반영된다면, 동기부여로 충분할 것입니다.
- 소통 창구 마련: 변화에 대한 저항은 커뮤니케이션 부재에서 발생합니다. 팀과 리더십 간의 소통 채널을 투명하게 유지해야 합니다. 이후 활발한 소통이 지속되도록 독려하는 것으로 지속 관리하는 것도 필요합니다.
Tip : (ISC2) 보고서에 의하면, 컨설팅 초기에 부서별 보안 책임자들을 중심으로 ‘보안 TF팀’을 구성하고, 이 팀이 중간 관리자 및 실무자와 협력해 프로젝트를 추진하자, 조직의 저항이 눈에 띄게 줄었고 각 부서가 스스로 변화를 수용하는 모습이 나타났다고 합니다. 공동의 목표를 가지고 움직이는 팀이 역시 강인하다는 것을 실감합니다.
보안의 중심에 사람이 있다는 것을 강조
보안 전략 도입 시 조직 구성원들에게 ‘당신이 핵심’이라는 메시지를 전달해야 합니다. 보안은 기술만으로 해결될 수 없으며, 사람이 중심에 있을 때 비로소 성공적으로 작동한다는 점을 강조해야 합니다. 서로를 의심하고 경계하라는 것이 아닙니다. 그저 사건의 중심에 내가 있을 수 있다는 생각이 많은 것을 바꿀 수 있다고 믿을 뿐입니다.
- 포괄적 이해 촉진: 보안이 곧 비즈니스의 안정성과 성장을 위한 필수 요소임을 강조해 ‘왜 필요한가?’에 대한 이해를 돕습니다.
- 개인의 역할 인식: 보안 전략이 개인 업무에 어떤 영향을 미치는지 구체적으로 설명하고, 조직 전체에 긍정적인 효과를 가져올 것임을 전달합니다.
Tip : 방심으로 인한 비의도적 사고와, 변심으로 인한 의도적 사고 등 내부자에 의한 위협을 항상 경계해야 합니다. 오늘날 외부자보다 두려운 건 어쩌면 우리 내부의 사람들일지도 모릅니다. (내부자 사고의 피해 금액은 외부자 공격보다 2배 이상 크다는 통계도 있습니다.)
비즈니스 우선순위와 위험 평가를 통해 명확한 로드맵 제시
조직이 변화를 거부하는 이유 중 하나는 불확실성 때문입니다. 컨설팅 이니셔티브를 추진할 때는 비즈니스 우선순위와 위험 평가를 통해 변화의 방향성과 필요성을 명확히 제시해야 합니다. 또한 정확한 지표와 객관적 근거 제시를 통해 해당 보안 컨설팅이 반드시 효과적일 것이라는 기대심리를 제공하는 것이 중요합니다.
- 비즈니스 중심 접근: 보안 도입이 단순한 기술적 변화가 아니라 비즈니스 성과를 높이기 위한 전략임을 강조합니다. 경제적, 운영적, 사회적으로 긍정적인 영향을 끼칠 수있음을 강조했으면 합니다.
- 우선 적용 범위 설정: 모든 것을 한 번에 바꾸려 하면 저항이 커지기 마련입니다. 초기 적용 범위를 좁혀 단계적으로 진행하는 것이 중요합니다. 우선 변화가 필요한 부분부터 변화를 거듭하고, 점진적으로 이를 넓혀보세요.
- 로드맵 수립: 경영진에게 가장 중요한 것 중 하나는 회사의 이익이죠. 현재와 미래의 목표를 명확히 하고, 변화가 가져올 비즈니스적 이익을 수치화해 보여주면 저항이 줄어듭니다.
Tip : 긍정적인 수치는 되도록 시각화하여 그래프, 버블차트, 파이차트 등으로 표기하는 것이 Summary 상에서 더욱 빛을 발휘합니다.
컨설팅을 수행하면서 참고할 항목 정리
- 컨설팅 이니셔티브: 프로젝트의 목표와 비전
- 고객 및 보안 요구사항: 각 조직의 특성과 비즈니스 요구사항
- 글로벌 산업 보고서: 최신 보안 트렌드와 성공 사례
- 과거 사례: 유사 프로젝트의 실패 및 성공 사례
- 표준 모델: 국제 보안 표준(ISO 27001, NIST 등)
- 보안 로드맵: 비즈니스 성과와 리스크를 평가기반 로드맵
Tip : 컨설팅 수행 시 매우 중요하게 참고하는 항목들 입니다.
마치며
조직의 저항을 극복하는 핵심은 ‘공감’과 ‘명확한 비전’입니다. 기술이나 전략만을 강조하기보다 사람 중심의 접근을 통해 조직의 이해를 이끌어내고, 작은 변화부터 단계적으로 추진하는 것이 중요하다는 사실을 말씀드리고 싶습니다.