법령 지식 습득 등을 강조하는 걸로 보아, 강연자는 국제인증 취득 등 경영진이 좋아하는(왜 좋아할까? 티내기 쉬워서?) 업무 실적을 쌓아 승승장구한 경험을 통해 본인이 가장 잘 알고, 가장 잘 하는 분야가 정보보호에서 차지하는 중요성을 설파하고 싶었나 보다.
이미 2008년에 ISO 27001이라는 국제 보안인증을 취득했던 현대캐피탈의 완벽했던 정보유출 사례는 뒤로 하고, 경영진의 비위를 맞추지 않고는 출세하기 힘든 세상에서 강연자의 말은 사실 진리에 가깝다.
12척의 배로 나라를 구한 이순신
이순신은 사실 조선에서 제대로 대접받지 못했다. (죽어서는 대접을 받았지만 그게 무슨 의미?) 선조에게 제대로 설명을 못해서일까?
이순신은 이길 수 있는 상황을 만든 후 싸우려 했으나, 선조는 아무리 시기상조임을 설명해도 전략과 전술의 디테일을 이해하지 못하는, 그저 충성과 승리라는 실적을 강요하는 경영진이었을 뿐이다.
그리고 그 결과는 이순신의 파직과 후임 원균의 패배로 인한 조선 해군의 궤멸. (원균조차 이순신의 판단이 옳다는 생각에 출전을 거부하다 곤장을 맞고 나서야 출전했다고)
자신이 옳다고 믿는 바를 굽히지 않고, 경영진이 알아주지 않아도 배를 수리하고 무기를 개량하면서 전쟁에 대비한 이순신은 정말 희귀한 사례이다. 그런 (경영진 앞에서 자신의 소신을 굽히지 않는) 인물이 조직의 리더까지 올라가는 일은 더 희귀할 것이다.
예나 지금이나 윗사람이 혹은 대중이 관심 갖는 일에 골몰하는 것이 인생살이 편해지는 비결인 셈. 더구나 설명을 듣는 측이 바라는 분야, 관심 갖고 좋아하는 분야는 설명하기도 쉽다.
많은 이가 '커뮤니케이션 능력을 키워라', '경영진을 설득하라'고 충고하지만, 경영진이 보고 싶어 하는 걸 보여주고, 듣고 싶어 하는 걸 들려주는 사람이 커뮤니케이션 능력 좋다고 평가받는 것이 현실.
한때는 '경영진이 중요한 걸 모르는구나. 내가 더 열심히 해서 문제점을 파악하고 해법을 찾아서 경영진을 설득해야겠다.' 이런 사명감(?)같은 걸 품은 적이 있었다.
하지만 좀 더 나이가 먹고 내린 결론은 세상은 별로 순리적이지 않으며, 경영진은 매우 똑똑하다는 것. 경영진은 실적으로 표현할 수 있는 성과를 원하며, 무엇이 성과가 될 수 있는지, 어떻게 해야 본인 임기내에 성과 달성이 가능한지 이미 잘 알고 있다.
보안 분야에서는
뭐가 성과가 될 수 있을까? 취약점 점검 등을 통해 사전 예방을 잘하면 될까? '더 테러 라이브'란 영화에 이런 대사가 나온다.
근절이 불가능한 살인 범죄의 피해자를 줄이는 노력이 필수임에도 결국 살인자를 잡아야 성과가 된다. 마찬가지로 보안사고가 발생할 때마다 누가 한 짓인지를 분석하는 데 역량을 집중하는 이유는 경영진의 관심이 그 곳으로 쏠리기 때문이다.
'공격자를 밝혀봐야 소용없다. 피해가 발생하고 나서야 문제 파악에 나서게 되는 근본 원인을 찾아서 해결해야 한다.' 이런 얘기를, 더구나 기술적으로 해봐야 경영진은 이해하지 못하며, 눈밖에나 안나면 다행.
안전 책임자가 잘 알려진 시스템 도입에 매달리는 이유는 상급자 설득이 쉽기 때문이라는 것. 빅데이터나 인공지능같은 걸 끼얹으면 설명이 쉬워지는 게 사실이다. 왜 그럴까?
많은 이가 '커뮤니케이션 능력을 키워라', '경영진을 설득하라'고 충고하지만, 경영진이 보고 싶어 하는 걸 보여주고, 듣고 싶어 하는 걸 들려주는 사람이 커뮤니케이션 능력 좋다고 평가받는 것이 현실.
한때는 '경영진이 중요한 걸 모르는구나. 내가 더 열심히 해서 문제점을 파악하고 해법을 찾아서 경영진을 설득해야겠다.' 이런 사명감(?)같은 걸 품은 적이 있었다.
하지만 좀 더 나이가 먹고 내린 결론은 세상은 별로 순리적이지 않으며, 경영진은 매우 똑똑하다는 것. 경영진은 실적으로 표현할 수 있는 성과를 원하며, 무엇이 성과가 될 수 있는지, 어떻게 해야 본인 임기내에 성과 달성이 가능한지 이미 잘 알고 있다.
기업은 성과 측정 지표로 비재무 항목을 사용하기도 한다 (보안은 돈을 까먹는 분야라 측정 가능한 재무 항목이?) 경영자는 자신을 돋보이게 만드는 항목을 선택해서 측정할 가능성이 높다 - 운과 실력의 성공 방정식 (201페이지)
보안 분야에서는
뭐가 성과가 될 수 있을까? 취약점 점검 등을 통해 사전 예방을 잘하면 될까? '더 테러 라이브'란 영화에 이런 대사가 나온다.
근절이 불가능한 살인 범죄의 피해자를 줄이는 노력이 필수임에도 결국 살인자를 잡아야 성과가 된다. 마찬가지로 보안사고가 발생할 때마다 누가 한 짓인지를 분석하는 데 역량을 집중하는 이유는 경영진의 관심이 그 곳으로 쏠리기 때문이다.
'공격자를 밝혀봐야 소용없다. 피해가 발생하고 나서야 문제 파악에 나서게 되는 근본 원인을 찾아서 해결해야 한다.' 이런 얘기를, 더구나 기술적으로 해봐야 경영진은 이해하지 못하며, 눈밖에나 안나면 다행.
결국 권력이 없는 우리가 선택할 수 있는 길은 두 가지다.
1. 경영진의 의중을 잘 파악해서 그들이 원하는 일을 하면서 능력을 인정받든지,
-> 경영진이 원하는 일을 원하는 방식으로 처리해서 실패에 대비해야 한다.
2. 언제가 될지 모르지만 경영진이 설득되기를 바라면서 계속 설명을 하든지.
-> 그러다 경영진 눈밖에 날 수도 있다.
개인적으로 문제투성이인 보안 현실을 외면하면서 경영진 입안의 혀처럼 굴기도 싫고, 독불장군처럼 굴다가 도태되기도 싫다. 그래서 요즘 내 최대의 고민은 어떻게 하면 내가 맞다고 생각하는 방식으로 보안 수준을 높이면서 경영진의 인정까지 받을 수 있을까?이다.
현재까지의 결론은 내가 맞다고 생각한 업무의 성과를 잘 포장한다인데(..) 경영진이 이거 성과가 되겠구나라는 생각을 갖게 한다면 내 의지를 관철하면서 경영진의 인정까지 받을 수 있지 않을까?
전에는 내 일만 잘하면 조직이 잘 굴러갈줄 알았다. 하지만 내 경험이 일천해서인지는 몰라도 결국 리더가 잘해야 조직이 잘 굴러감을 알게 되었다. 그리고 리더가 되고 싶다면, 그 자리까지 가고 싶다면 결국 현재 리더의 인정을 받아야 한다.
관련 글
1. 경영진의 의중을 잘 파악해서 그들이 원하는 일을 하면서 능력을 인정받든지,
-> 경영진이 원하는 일을 원하는 방식으로 처리해서 실패에 대비해야 한다.
세속적 지혜에 의하면 관례를 거슬러 성공하는 것보다 관례를 따르다 실패하는 쪽이 평판에 유리하다 - 운과 실력의 성공 방정식 (235페이지)
2. 언제가 될지 모르지만 경영진이 설득되기를 바라면서 계속 설명을 하든지.
-> 그러다 경영진 눈밖에 날 수도 있다.
개인적으로 문제투성이인 보안 현실을 외면하면서 경영진 입안의 혀처럼 굴기도 싫고, 독불장군처럼 굴다가 도태되기도 싫다. 그래서 요즘 내 최대의 고민은 어떻게 하면 내가 맞다고 생각하는 방식으로 보안 수준을 높이면서 경영진의 인정까지 받을 수 있을까?이다.
현재까지의 결론은 내가 맞다고 생각한 업무의 성과를 잘 포장한다인데(..) 경영진이 이거 성과가 되겠구나라는 생각을 갖게 한다면 내 의지를 관철하면서 경영진의 인정까지 받을 수 있지 않을까?
전에는 내 일만 잘하면 조직이 잘 굴러갈줄 알았다. 하지만 내 경험이 일천해서인지는 몰라도 결국 리더가 잘해야 조직이 잘 굴러감을 알게 되었다. 그리고 리더가 되고 싶다면, 그 자리까지 가고 싶다면 결국 현재 리더의 인정을 받아야 한다.
관련 글
댓글 없음:
댓글 쓰기