보안팀은 항상 긴장 속에서 일을 한다. 언제 어떤 위험이 발생할지 모르니 늘 경계하며 잠재적 문제와 다음 위협의 발생 시점을 끊임없이 고민한다. 문제는 이런 환경이 직원에게 심각한 압박감을 줄 수 있다는 것이다. 어떤 압박감은 한 개인의 직원이 감당하기 어려울 정도다.
직원 관리 플랫폼 기업 컬처앰프(Culture Amp)의 CSO 겸 CRO인 샘 맥레오드는 “보안 부서 업무란 복잡하고 모호한 점이 많고, 계속해서 변화한다”라며 “그러니 보안팀 직원은 업무 스트레스 속에서 대항하거나, 회피하거나, 경직되거나, 무기력해지는 경험을 하곤 한다. 매우 피로감을 느낄 수밖에 없다”라고 전했다.
많은 CISO는 팀원이 마감 기한을 지키지 않거나 소극적으로 일하는 것을 발견한다. 한때 프로젝트를 주도하거나 적극적으로 참여하던 직원들이 점차 책임을 회피하며 물러서는 모습을 보일 수 있으며, 신규 직원은 빠르게 진행되는 사이버 보안 환경에 적응하는 데 어려움을 겪기도 한다.
컬처앰프의 연구에 따르면 성과가 저조한 직원은 종종 과한 부담감을 느끼거나, 목표 달성을 위한 명확한 전략이 없거나, 맞지 않은 업무를 맡고 있거나, 관리자로부터 충분한 지원을 받지 못하고 있는 것으로 나타났다.
직원을 교체하는 데는 기존 직원 연봉의 적게는 30% 많게는 200%에 해당하는 비용이 들 수 있다. 그러니 직원을 급히 새로 뽑기보다 기존 직원이 다시 업무를 잘 수행할 수 있게 돕는 것이 재정적으로도 합리적이다. 약간의 관심과 명확한 방향만 제시하면 많은 저성과자들이 동기를 회복하고 다시 팀에 기여할 수 있는 자신감을 되찾을 수 있다.
1. 고군분투하는 직원 알아보기
리더는 직원의 작은 변화를 관찰함으로써 그들의 상황을 확인할 수 있다. 하지만 사이버 보안팀은 종종 원격 근무를 하고 내성적인 성향의 직원들이 많아, 누가 어려움을 겪고 있는지 감지하기가 어렵다.
보안 리더 전문 컨설팅 기업 포켓CISO(Pocket CISO)의 설립자인 칼로타 세이지는 평소 밝은 직원이 갑자기 어두워지거나, 수다스러운 직원이 조용해지거나, 모든 일에 부정적으로 변하는 것 등이 중요한 신호가 될 수 있다고 조언했다.
직장 생활과 개인 생활 모두에서 어려움에 직면하면 사람은 위축되기 시작하고 기본적인 업무만 겨우 수행하게 될 수 있다. 또한 실수를 더 자주 하거나 마감일을 놓치거나 동료나 관리자가 자신의 업무를 어떻게 생각하는지 신경 쓰지 않게 될 수 있다.
바디랭귀지도 직원의 정서 상태와 몰입 수준을 파악하는 데 도움이 된다. 업무용 협업 및 성과 관리 AI 개발업체 말리(Marlee)의 설립자이자 CEO인 미셸 듀발은 “눈을 피하거나 한숨을 자주 쉰다면 눈여겨 봐야 한다”라며 “그럴 때 ‘괜찮나요?’ 또는 ‘이 작업이 힘든가요?’라고 물어보며 상황을 파악할 수 있다”라고 설명했다.
사이버 보안 전략가인 태미 홀리스는 업무 회피, 업무 미루기, 다른 사람에게 업무 위임 시도, 휴가 사용 증가 등도 스트레스를 받는 직원의 행동 지표가 될 수 있다고 전했다. 동료들에게 짜증을 내거나 공격적인 태도를 보이는 것도 문제의 신호일 수 있다.
이러한 행동들은 직원이 불안하거나 좌절, 혹은 업무 과중으로 인한 어려움을 겪고 있음을 나타낼 수 있다. 적절히 대처하지 않으면 슬픔, 절망감, 두려움, 심지어는 신체적·정신적 피로와 소진으로 이어질 수 있다. 이 모든 것이 직원과 팀 모두에게 영향을 미치므로 리더는 공감과 열린 마음으로 조기에 개입하는 것이 중요하다.
2. 낮은 성과의 원인 파악하기
리더의 역할 중 하나는 사람을 돌보는 것이다. 훌륭한 CISO는 직원의 정신 건강과 업무적 성장을 지원하는 것이 시스템과 데이터를 보호하는 것만큼이나 중요하다는 것을 잘 이해하고 있다.
직원 성과 개선의 핵심은 왜 문제가 발생했는지 신속히 파악하고 대응하는 것이다. 임원 채용 담당자이자 커리어 코치인 캐롤라인 세니자-레빈은 “직원의 업무 성과가 부진하다면 더 많은 방향성이나 기술 교육이 필요하다”라며 “직원이 업무에 몰입하지 않는다면 동기를 부여해야 한다. 이를 위해서는 업무가 중요한 이유와 기여도가 얼마나 중요한지에 대해 더 많은 정보를 제공해야 한다”라고 설명했다.
때로는 단기적으로 달성 가능한 현실적인 목표를 설정하는 것이 효과적이다. 듀발은 “저성과자가 성장하지 못하는 가장 큰 이유는 설정된 목표가 현재 수준과 너무 멀리 떨어져 있기 때문이다”라며 “작은 목표를 하나씩 달성하면서 자신감을 얻고, 이후 점진적으로 목표 난이도를 높여 성과를 달성할 수 있다”라고 밝혔다.
맥레오드는 “우리는 모의 공격, 위협 사냥, 위협 모델링과 같은 활동을 게임화하고, 2주마다 팀이 함께 모여 즐길 수 있는 ‘게임의 밤’을 주최하고 있다”라며 “이런 제도로 친목을 다지고 경쟁심을 유도하며 팀원들이 기술을 연마하고 최신 위협 정보를 접할 수 있도록 하고 있다”라고 말했다.
3. 직원의 권한과 가치 인정하기
CISO와 어려움을 겪고 있는 팀원 간의 대화는 지원과 진정성 있는 도움에 초점을 맞춰야 하며, 비난과 압박은 피해야 한다. 직원이 자신의 어려움을 편하게 공유할 수 있는 안전한 공간을 마련해 신뢰를 쌓고 솔직하고 건설적인 대화를 유도하는 것이 중요하다. 이런 접근법은 팀원들이 자신이 존중받고 있다는 느낌을 주며, 효과적인 문제 해결을 위한 기반이 된다.
홀리스는 “리더가 공감능력을 발휘해 대화에 참여하면 더 인간적인 대화를 나눌 수 있다”라며 “또한 리더와 직원 간의 위계 관계가 완화되어 더 긍정적인 방식으로 문제를 논의할 수 있다”라고 조언했다.
의미 있는 질문을 하는 것도 중요하다. 홀리스는 “성장을 이끄는 질문은 직원이 자신이 알고 있는 것을 상기하거나 새로운 관점에서 적용할 수 있도록 유도해 자신감을 회복할 수 있게 해준다”라고 말했다.
CISO는 일방적인 지시보다 쌍방향 소통을 추구해야 한다. 스탠다드차타드 은행의 그룹 CISO인 대런 아길은 초기에 이 점을 간과했다고 털어놓았다. 아길은 “과거엔 도움을 주고 싶어 성급하게 솔루션을 제시하다보니 직원이 스스로 해결책을 찾는 것을 방해했던 것 같다”라며 “지금은 좋은 멘토링이란 무엇인지 제대로 이해하고 있다. 결국 멘토링은 정답을 알려주는 것이 아니라 가이드를 주고 직원이 스스로 도전과제를 해결할 수 있도록 돕는 것이다”라고 설명했다.
맥레오드는 팀이 인정받고 있다는 느낌을 갖도록 하며, 직원에게 지속적으로 투자하고 있음을 보여주는 것이 중요하다고 강조했다. 맥레오드는 “인정은 특히 저연차 직원에게 중요하다”라며 “저연차 직원은 명확한 지침과 업무에 필요한 지식 공유, 체계적인 교육을 통해 자신의 역량을 발휘하고 조직이 원하는 성과를 달성할 수 있다”라고 밝혔다.
4. 리더의 언어 구사하기
어려움을 겪고 있는 직원이 마음을 열도록 독려하려면 리더가 먼저 솔선수범하여 자신의 어려움을 공유해야 한다. 솔직하고 투명한 태도로 분위기를 조성하고 어려움을 털어놓아도 안전하다는 것을 보여줘야 한다. 스탠다드차타드 은행의 그룹 CISO인 대런 아길은 “내가 먼저 업무 스트레스와 명상을 통한 극복 경험을 솔직히 공유하자, 다른 직원들도 자신의 어려움을 편하게 털어놓을 수 있게 되었다”라며 “이렇게 리더가 개방적인 자세를 보일 때 어려움을 털어놓는 것이 허용된다는 메시지를 전달하게 된다”라고 설명했다.
리더가 취약한 면을 보여주고 개방적인 태도를 취하면, 팀원들도 압박감을 느낄 때나 지원이 필요할 때 부담 없이 말할 수 있는 분위기가 조성된다. 듀발은 “직원 또는 직원의 성과에 대해 판단을 내리거나 평가하는 것을 피하자”라며 “‘OO씨는 회의에서 너무 공격적이야’같이 주관적 판단이 들어간 표현 대신, ‘다른 사람의 발언을 중간에 자르는 모습이 보였다’ 같은 구체적 행동을 관찰해서 전달하는 것이 효과적이다”라고 밝혔다.
목표 설정이나 피드백 제공 시에는 명확하고 간결한 지침이 필요하다. 데브섹옵스 솔루션 기업 엔도 랩스(Endor Labs)의 CISO인 칼 매트슨은 “모호하고 부정확하거나 불완전한 정보나 보안 지침을 주면 업무 혼란 생긴다”라고 조언했다.
모든 CISO가 타고난 재능으로 이러한 종류의 대화를 주도하는 것은 아니지만, 감성 지능과 공감 능력은 연습하면 향상될 수 있다. 세이지는 “감성 지능과 공감 능력은 노력하면 발전시킬 수 있다. 다만 의지가 있을 때 향상될 수 있는 역량이다”라고 “경솔하고 사려 깊지 못한 리더의 발언은 수년간 쌓아온 신뢰를 무너뜨릴 수 있다”라고 강조했다.
5. 신뢰 환경을 조성하기
누군가의 성과를 지속적으로 측정하는 것은 이론적으로는 좋은 해결책처럼 보일 수 있다. 하지만 실제로는 불필요한 압박과 불안감을 조성하여 직원이 끊임없이 현미경 아래 있는 것처럼 느끼게 할 수 있다.
아길은 “예전에는 성과 지표에 너무 집중해 직원들이 겪는 개인적인 압박을 이해하지 못했다”라며 “이제는 공감을 바탕으로 리더십을 발휘하려고 노력하고 있으며, 나 스스로 명상, 운동, 창의적 사고를 위한 시간을 확보하는 방식으로 균형을 유지하는 모습을 보여주고 있다”라고 말했다.
매트슨은 “모든 직원이 동일한 수준의 실력을 보일 수 있는 것은 아니기 때문에, 성과 측정보다는 노력에 대한 보상에 초점을 맞출 것을 제안하고 있다”라고 설명했다.
공식 보고나 평가가 없는 자유로운 환경에서 소통하는 것도 중요하다. 특히 어려움을 겪는 직원에게 멘토를 배정하면 팀원이 개인적, 업무적 어려움을 편안하게 논의할 수 있는 환경이 조성된다. 때로는 직원은 상사보다 멘토에게 더 쉽게 마음을 열기도 하므로 멘토링은 지원과 성장을 위한 귀중한 도구가 될 수 있다.
아길은 “의도적으로 휴식 시간을 마련해 직원들이 압박에서 벗어나 다시 집중할 수 있게 해주는 것도 중요하다. 우리 회사는 금요일은 회의를 잡지 않도록 해 팀이 숨 쉴 수 있는 시간을 제공한다”라며 “사람들이 재충전하고 성찰할 시간이 있다고 느끼면 어려움을 속으로만 끌어안지 않게 된다”라고 조언했다.
반면, 모든 리더가 이러한 접근법을 취하는 것은 아니다. 일부는 여전히 공식적인 징계 절차가 저조한 성과를 해결하는 최선의 방법이라고 생각한다. 포켓CISO의 설립자인 세이지는 “가장 최악의 방법은 직원을 성과 관리 프로그램 등에 강제로 참여시키는 것이다”라며 “직원을 끝까지 도와주거나 아니면 아예 해고할 수도 있지만, 성과 관리 프로그램 같은 것에 넣는 것은 효과가 없다”라고 말했다.
6. 팀의 성과 기념하기
때때로 팀, 특히 어려움을 겪는 직원들이 지난 성과를 돌아보고 이를 기념하는 시간을 갖는 것도 중요하다. 작은 성과라도 인정해 주면 사기가 진작되고 성취감을 느낄 수 있다. 성과를 기념함으로써 남은 목표에 대한 부담보다는 이미 이루어낸 진전에 대한 긍정적 사고를 촉진하게 된다.
맥레오드는 “개인적으로 지난 6개월 동안 우리 팀이 제공한 모든 것과 비즈니스에 미친 영향을 나열하는 목록을 작성해 팀에게 공유했다. 단순한 서식의 문서였지만 팀의 반응은 뜨거웠다”라며 “팀 내 대화가 더 활발해졌고, 농담과 웃음이 오가는 등 팀의 에너지가 달라졌음을 느꼈다”라고 말했다. 이어 “가장 조용한 내성적인 팀 구성원들 사이에서도 창의적인 대화와 개선 논의가 시작되었고 열정적인 프로젝트도 생겨났다”라고 설명했다.
7. 직원과의 이별 시기 인정하기
모든 노력을 기울여도 상황이 나아지지 않을 때가 있다. 이럴 때는 직원을 내보내야 할 수 있다. 그러나 인력 교체에 드는 비용은 상당하므로, 최종 결정에 앞서 상황을 차분히 검토해야 한다. 검토해야 할 것 중에 하나가 해당 직원이 코칭을 통해 성장할 수 있는지를 판단하는 것이다.
홀리스는 “지금 당장 변화할 준비가 되어 있지 않거나 변화할 의지가 없다면 코칭할 수 없는 직원일 수 있다”라며 “코칭이 어려운 직원은 소통을 회피하거나, 논쟁을 일으키거나, 코칭 과정에 소극적인 태도를 보인다”라고 말했다.
세니자-레빈은 “직원이 스스로 성과 부진을 인정하고 개선 방안을 제시할 수 있는 기회를 제공해야 한다. 이는 직원의 변화 의지를 확인할 수 있는 중요한 시점이다”라고 설명했다.
이러한 논의에는 인사팀도 참여할 수 있으며, 이를 통해 직원과 관리자, 인사팀이 함께 다른 해결 방안을 모색할 수 있다. 세니자-레빈은 “해당 직원에게 현재 역할이 적합하지 않다면, 다른 부서로의 이동을 검토할 수 있다”라며 “팀 내 유연한 인력 운영이 가능하다면, 직원의 강점을 살린 새로운 역할을 만들 수 있다”라고 설명했다.
어떤 상황이든 직원을 해고하는 결정은 항상 신중하게 접근해야 하며 서둘러서는 안 된다. 아길은 “번아웃이 잦은 보안 분야에서 CISO는 도움이 절실한 직원들을 위해 존재해야 한다”라며 “직원이 ‘돌이킬 수 없는 상태에’ 이르기 전에 도움을 주는 문화를 만들고 싶다”라고 밝혔다.
[email protected]