상대가 이해할 수 있는 말을 해야 메시지가 전달 돼
당장의 목표 이뤄내지 못한다고 해도 얻을 수 있는 이득 있어

[보안뉴스 문가용] C 레벨의 상급자들과 ‘보안’을 주제로 이야기하는 건 이제 그리 생소한 일이 아니다. 특히 ‘우리 회사에게 닥친 위험’이라고 하면 다들 눈에 불을 켜고 보안 담당자의 화려한 PPT를 들여다볼 것이다. 각종 차트와 도표로 범벅된 보안 담당자의 프레젠테이션은, 그러나, 투자나 새로운 보안 툴 구입을 이끌어내는 데에 실패한다.


아마 보안 부서 전체는 이 프레젠테이션을 위해 며칠 밤을 셌을 것이다. 정확한 숫자와 논리적인 전개를 위해 다양한 근거를 수집하고 표현했을 것이다. 정보보안에 더 투자해야 하는 이유에 대해 이보다 더 완벽한 설득 방법은 아마 없을 거라는 자신감도 있었을 것이다. 그러나 듣는 사람들 입장에서는 전문용어가 난무하고 이해할 수 없는 그래프들만 가득했을 수도 있다.

이 부분이 제일 어렵기도 하고, 제일 간과되기도 하는 부분인데, ‘외부인’ 혹은 ‘비전문가’가 이해할만한 표현들을 사용한다는 건 아직 보안 담당자들에게 많이 생소한 일이다. 소통은 내가 할 말만 하는 것이 아니라, 상대가 알아듣게 설명하고, 이해할 만한 분량만큼만 말해주는 것이다.

맥락에 대한 설명이 중요하다
예를 들어 IT 전문가들이 많은 자리에서 “CVSS 5점을 받았다”고 한다면 다들 박수를 칠 것이다. 누군가는 엄지를 치켜들 수도 있다. 그런데 이 똑같은 말을 임원진들이 모인 자리에서 했다면? 아마 심드렁한 얼굴로 ‘무슨 소리냐’고 소리 없는 질문을 쏘아댈 것이다. 취약점이 무엇이며, 그것에 점수를 매기는 방식인 CVSS가 무엇이고, 5점이면 어느 정도의 의미를 갖는지를 설명해주어야 한다.

보안 전문가가 아닌 임원진들과 대화를 할 때 기억해야 할 것은 공통의 목표를 제시하는 것이고, 이는 다름 아니라 ‘사업의 활성화’여야 한다. 보안이 사업 활동을 가로막는 것처럼 보여서는 안 된다는 것이다. 사업을 활성화하기 위해 취약점을 파악하고 조치를 취해야 하며, 사업을 활성화하기 위해 유출사고로 인한 잠정적인 비용을 크게 줄여야 하고, 사업을 활성화하기 위해 보안에 투자를 하고 모든 생산 기능을 안전하게 보듬어야 한다고 말해야 한다는 것이다.

그러고 나서 현재 보안 팀이 어떤 식으로 사업 진행에 일조하고 있는지, 경쟁에서 앞서 나가야 한다는 전제조건에 부합하기 위해 뭐가 필요한지를 그들이 이해할 수 있는 말로 설명해야 한다. 보안 산업의 표준이 이러이러하니 우리도 그에 맞춰서 해야 한다, 라고 일방적으로(그리고 강압적으로) ‘알려주는 것’이 목표가 아니다. 전문용어를 썼다면, 무슨 뜻인지 설명하되 사전적 의미를 읊는 게 아니라 사업을 진행하는 커다란 가치 내에서 어떤 의미인지를 설명하고, 요상한 그래프를 썼다면 이 그래프가 전체 상황에서 어떤 의미를 갖는지를 설명해야 한다.

정보보안을 온전히 이해하는 임원진은 몇 사람 없는 게 현실이지만, ‘위기’에 대해서는 누구나 빠르게 반응하고 생각보다 철저히 이해하고 있다. 사실 임원진들이 하루에도 수십 번씩 머리에서 떠올리는 것이 바로 위험요소들이고, 그 계산을 끊임없이 반복하는 게 임원진들의 할 일이다. 즉 ‘리스크’라는 것에 있어서 임원진들은 전문가라는 것이다. 그러므로 여기에 초점을 맞춰 설명을 하면 이해시키는 데 도움이 된다.

보험 외판원 및 상담원들이 그 복잡하고 어려운 상품을 어떤 식으로 설명하는지 알아볼 필요가 있다. 그 사람들은 상품 설명을 하기 전에 대화를 통하여 상대의 배경지식을 파악하고, 상품 구매에 따른 결정을 보다 쉽게 내리도록 충분한 맥락 설명을 보충해준다. 특정 자산에 대한 보안 장치가 되어 있지 않을 때 어떤 일이 일어날 수 있고, 이는 어떤 손해로 이어지는지 보험 상품 팔 듯이 알려주는 것이 효과적이다.

‘돌직구’만이 답이 아니다
‘아’ 다르고 ‘어’ 다르다. 의사를 드러내는 방법은 무수히 많다. 단도직입적으로 안전하게 지킬 테니 돈을 더 달라고 말하는 게 통할 수도 있지만, 대부분은 그렇지 않다. 상남자 중 상남자라도 돌아갈 땐 돌아가야 하고, 에둘러 말할 수도 있어야 한다. 이는 비굴한 것도 아니고, 비겁한 것도 아니다. 상대가 더 이해하기 좋게 배려하는 것이다. 이런 배려를 통해 얻는 이익은 다음과 같다.

- 가치재고 : 듣는 사람이 이해가 잘 되었다면, 만족도도 높아진다. 그것이 임원진들이라면 그것만으로도 충분한 이득이다. 생각만큼 투자가 이루어지지 않았고, 솔루션 구입 제안이 철회되었더라도 친절하면서도 전문적인 프레젠테이션을 들은 것 만으로 임원진들 마음 속에는 ‘저 친구(저 보안 팀), 계속 붙잡아둘 필요가 있겠어’라는 생각이 남는다. 다음 기회가 더 확고해진다.

- 이해도 상승 : 쉽게 푼 내용이라지만 어디까지나 전문적인 소재를 바탕으로 하는 것이라 교육 효과가 배가된다. 임원진들이 정보보안에 대해 하나라도 더 알게 된다는 것이다. 이러면 당장에 엄청난 투자가 이루어지지 않더라도 추후 보안 문화 정착을 위한 활동이나 정책 마련, 임직원 대상 교육 프로그램을 준비할 때 더 많은 지원을 받을 수 있다. 보다 폭넓은 이해를 바탕으로 한 임직원의 지지는 기대 이상의 효과를 발휘한다.

- 가시적인 실적 : 보안의 가장 큰 딜레마가 무엇인가? 실적이 눈에 보이지 않는다는 것이다. 하지만 임직원을 대상으로 한(그리고 임직원이 이해하기 쉽기까지 한) 프레젠테이션은 눈에 띄는 실적이 된다. 평소 ‘보안 부서가 뭐하는 곳인가?’라는 의문을 가지고 있던 임직원이라도 프레젠테이션 한 번으로 고개를 끄덕일 수 있게 된다. 이런 기회들이 신뢰로 이어지고, 신뢰가 쌓이면 직업 만족도가 올라간다.

정보보안은 부정할 수 없는 전문분야다. IT의 여러 분야를 다 꿰고 있어야 하는, 가장 어려운 IT 분야라고 해도 과장이 아니다. 하지만 그렇다고 해서 ‘내가 하는 말’ 자체가 어려워야 한다는 건 아니다. 상대가 이해할 수 있는 말을 하는 것이, 돈과 투자가 더 필요한 보안 전문가들의 가장 큰 덕목 중 하나일지도 모른다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>