보안 사고의 과반이 인적 요인으로 인해 발생한다는 건 잘 알려진 사실이다. 그렇다면 CISO의 역할에 ‘인적 관리’가 추가되는 것도 당연한 일이다. 요즘처럼 여기저기서 번아웃 증후군이 터져 나올 때라면 CISO들 역시 이 번아웃이라는 것에 관심을 가져야 할 것이다.

[보안뉴스 문가용 기자] 지난 수년 동안 여러 업계의 종사자들은 지독한 번아웃을 고질병처럼 앓아왔다. 오죽하면 WHO가 2019년 ‘번아웃’을 공식 ‘증후군’으로 인정을 했을까. 그런 후 곧바로 코로나 팬데믹이 선포되는 바람에 흐지부지 잊히긴 했지만, 오히려 그 코로나 때문에 이 공식 증후군은 더 심각해졌다. 이전보다 더 많은 현장에서 번아웃이 나타나기 시작한 것이다.


정보 보안 업계도 예외는 아니다. VM웨어가 2021년 9월 진행한 연구 조사 결과에 의하면 51%의 사이버 보안 전문가들이 극도의 스트레스와 번아웃에 노출되어 있다고 한다. 조직의 네트워크와 각종 디지털 자산들을 안전하게 지켜야만 하는 CISO와 그 팀원들에게 작년과 올 한 해는 그럴 수밖에 없는 시기였다. 그러나 오히려 이런 시기가 CISO들에게는 조직을 위한 든든한 ‘지탱력’으로서 자리매김을 할 수 있는 기회이기도 하다.

CISO라는 위치에 있으면 그 자체로 분명히 피곤할 수 있다. 하지만 한 번 더 생각해 보면 보안 팀원들이 번아웃으로부터 벗어나는 데에 도움을 줄 수 있는 위치이기도 하다. 보안 팀 막내 직원이 CISO의 번아웃을 해결해 주기는 힘들겠지만 반대는 얼마든지 가능하지 않겠는가. 그러려면 번아웃을 야기하는 요인들을 먼저 파악해야 한다.

WHO의 공식 정의에 따르면 번아웃이라는 증상은 세 가지 주요 요소들로 구성되어 있다.
1) 탈진(에너지가 고갈된 느낌)
2) 이인증(예를 들어 보안 팀원이 갑자기 자신이 맡은 임무에 회의감을 느끼기 시작할 때)
3) 줄어드는 성취감(1번과 2번이 합해서 나타나는 결과이기도 함)
이런 식으로 번아웃이 진행되면 사람은 집중을 할 수도, 전략적으로 사고하거나 움직일 수도 없게 된다.

이런 증상이 팀내 누군가에게서 나타난다 싶을 땐 CISO가 먼저 깊은 곳에 있는 원인을 파악해야 한다. 개인마다 차이가 있긴 하지만 일반적으로는 일주일에 60시간 이상 회사 업무에 매달려 있던 기간이 길어질 때, 심지어 주말에까지 대기 상태로 있어야 할 때, 마감일이 영원히 반복되는 일을 맡았을 때, 장거리 이동이 잦을 때 번아웃이 자주, 금방 찾아온다. 정보 보안 전문가들이 자주 처하는 근무 조건이기도 하다.

그 외에 ‘근무 조건’ 관련 번아웃 요인이 두 가지 더 있는 것으로 조사됐다. 하나는 맡은 역할이 불분명할 때, 다른 하나는 상하 관계 혹은 직장 동료 관계에서 불공평함을 느낄 때였다. 자신의 역할과 옆 자리 동료들의 역할의 구분이 애매하다면, 그 두 사람은 뭔가를 주도적으로 할 수 없게 되고 눈치만 보게 된다. 눈치를 본다는 것 자체가 번아웃을 야기한다. 조직에 있어 장기적 손실이 된다. 관리자가 특정 인물을 선호해 자꾸만 더 중요하거나 쉬운 일만 맡긴다면, 반대로 누군가에게 힘든 일만 배정한다면 번아웃이 빠르게 온다.

만약 이런 이유들로 이미 번아웃이 상당히 진행된 상태라면, 회복하는 데에 적잖은 자원이 들어간다. 그래도 안 하는 것보다는 낫다. 하지만 매일의 업무를 수행하는 과정에서 CISO들이 미리 조심할 건 조심하며, 혹은 배려할 건 배려하며 번아웃 요인들을 처음부터 최소화 할 수 있다면 훨씬 더 효과적으로 팀의 번아웃을 관리할 수 있게 된다. 이는 보안과 상당히 비슷하다. 공격이 들어왔을 때 막고 복구시키는 것도 필요하지만, 위협거리를 미리 찾아 제거하는 것이 더 저렴하고 효과적인 법이다.

물론 늘 그렇지만 ‘말은 쉽다.’ 일을 하다보면 스트레스 요인을 일일이 신경 쓰기 힘든 것이 사실이다. 게다가 사람마다 스트레스 처리 능력이나 스트레스를 느끼는 경우들이 다 달라 CISO가 다 챙길 수 없다. 그러니 CISO들은 다음의 ‘흔한’ 혹은 ‘평범한’ 신호들을 기준으로 팀원을 관찰하는 것만으로도 충분하다. 100% 예방을 노리지 말고, 흔히 나타나는 패턴들부터 방어를 시작하라는 것이다.

1) 갑자기 업무 결과물의 질과 양이 뚝 떨어진다.
2) 늘 피곤에 젖어 있고 이전과 같은 열정이 보이지 않는다.
3) 말을 걸기가 망설여질 정도의 근심, 걱정, 염려, 불안 상태가 지속된다.
4) 주변 동료들이 말을 걸거나 일을 맡길 때 날카롭게 반응한다.
5) 동료들과 갑자기 어울리지 못하거나 혼자 있는 시간이 길어진다.
이런 현상들이 목격되기 시작하면 CISO들이 움직여야 한다.

제일 먼저는 번아웃이 의심되는 직원의 업무량을 다시 한 번 점검할 필요가 있다. 아무리 일에 중독된 사람이라도 주구장창 주어지는 산더미 같은 일을 끝도 없이 처리하면서 즐거울 수만은 없다. CISO가 모르는 업무나 일거리들이 있을 수도 있다. 양이 많지 않더라도, ‘내가 이걸 하는 건 불공평해’라고 느끼는 업무를 맡고 있을 수도 있다. 이렇게 해서 비정상적인 부분이 발견되었다면 임무를 팀에 다시 배분하거나, 잠시 휴식 기간이라도 제공해야 한다. 후자는 임시방편일 수도 있는데, 의외로 좋은 효과가 나기도 한다.

예를 들어 회사의 어떤 부분을 한 보안 팀원이 전담하고 있는데, 하필이면 그 부분이 사업적 이유에서 막 성장하는 중이라면 그 직원은 점점 많은 일을 처리해야만 할 것이다. CISO 입장에서는 모든 팀이 고르게 담당 분야를 정했으니 그걸로 끝이라고 생각할 수 있지만, 이 직원 입장에서는 그렇지 않다. 성장이라는 부분까지도 고려해서 업무가 분배되었어야 한다고 느낄 수 있다.

전략적 사업 운영 분석을 실시하는 것도 좋은 방법이다. 결과물의 양이나 질 모두 평소와 비슷한 정도로 나온다고 해도, 그 안에서 무슨 일이 벌어지고 있는지를 보다 정확히 파악해야 한다는 뜻이다. 누군가 그만두기 직전의 마지막 불꽃을 태운 것일 수도 있으니 말이다. 그럴 경우 새로운 직원을 뽑고, 그 직원이 업무에 익숙해지기까지 가르치는 비용이, 다른 직원이나 파트타임 근무자를 미리 고용하는 비용보다 높을 수 있다. 이러한 판단 역시 CISO가 제때 해 주어야 한다.

이러한 활동은 다만 직원의 스트레스 관리 차원에서만 진행하는 것이 아니다. 팀내 업무량이 고르게 분포되어 있는지, 그래서 최대의 효과를 거두도록 하는 것 역시 CISO의 할 일이다. 겸사겸사 도움이 되는 일이라는 것이다.

또 하나 CISO가 시도해 봄직한 방법이 있다. CISO가 허용할 수 있는 한도 내에서 팀원들에게 결정권을 주는 것이다. 자율적으로 결정해서 사업을 주도적으로 이끌게 했을 때 ‘남이 시키는 일만 한다’는 굴레에서 어느 정도 벗어나는 데 도움이 된다. 새로운 경험이 될 수 있고 따라서 에너지가 고갈되는 일도 줄어든다. 시기적절하게 ‘결정권’에 대한 코칭까지 해 줄 수 있다면 금상첨화다.

주기적으로 팀원들과 일상적인 대화를 하거나 상담 시간을 갖는 것도 좋은 방법이다. 모든 상담 시간에 성과를 낼 수는 없겠지만, 적어도 평상시 어떤 직원이 어떤 모습인지는 보다 정확히 파악할 수 있고, 따라서 문제가 생겼을 때 이상 신호를 빨리 알아챌 수 있게 된다. 팀원이 많다면 CISO 입장에서 품이 많이 드는 일인데, 이 때는 팀 내 신뢰할 만한 ‘선배들’에게 상담을 맡기고 보고를 받는 것도 나쁘지 않다.

이 모든 일을 다 한다고 해도 CISO가 계속해서 요즘 젊은 세대들을 부모처럼 보호하거나 선생처럼 가르치려 하는 태도를 일관적으로 유지한다면, 모든 노력이 허사가 될 수 있다. CISO 스스로가 ‘도움을 준다’는 생각으로 접근해서는 안 된다. 더 나은 팀을 만들기 위해 서로를 이해한다, 서로가 서로의 파트너가 된다는 생각으로 이 일을 진행해야 한다.

글 : 마크 타랄로(Mark Tarallo), 작가
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>