CISO의 받은 편지함에는 사이버보안 분야의 판도를 바꿀 기술을 개발했다고 주장하는 벤더 홍보물이 가득할 가능성이 높다. 만약 벤더라면 보안 및 위험 관리의 문지기인 CISO에게 다가가기가 얼마나 어려운지 알고 있을 것이다.
양측 모두 각자의 입장이 있다. CISO는 효과적인 솔루션이 필요하고, 벤더는 진정으로 문제를 해결하고 싶어한다. 하지만 어느 시점부터 벤더와 CISO를 연결하는 프로세스가 비효율적이고 어색해졌으며, 심지어 매우 불편한 상황이 됐다.
필자는 이런 문제를 직접 경험하면서, 더 깊이 파고들어 ‘어긋난 관계’의 미묘한 차이를 이해하고자 했다. 그래서 엔터프라이즈 브라우저 기업 아일랜드(Island.io)의 영업 리더인 키엘 호건에게 의견을 구했다. 키엘은 이 프로세스가 불편하게 느껴지는 이유를 간결히 요약했다. “딜레마에 역설이 겹겹이 쌓여있다”라는 것이다.
벤더와 구매자의 관계는 정당한 요구 사이의 갈등이라는 실질적인 딜레마에 빠져있다. CISO인 구매자들은 벤더가 처음부터 특정 문제에 맞춤화된 솔루션을 제공하기를 원한다. CISO는 평범한 제안이나 관련 없는 제품에 시간을 쏟을 여유가 없다.
반면 벤더가 특정 문제를 충분히 이해하고 맞춤형 솔루션을 제공하려면 구매자와의 의미 있는 소통이 필요하다. 한쪽은 답을 원하고 다른 쪽은 질문이 필요하기에 긴장 관계가 자연스럽게 형성된다.
벤더와 사이버 리더 간의 ‘제약과 역설’
벤더와 사이버 리더의 관계에는 여러 제약이 있으며, 결국 어느 누구에게도 이상적이지 않은 상황이 되기 쉽다. 만약 벤더가 즉시 관련성 있는 것을 제시하지 않고 접근한다면 구매자의 관심을 잃을 위험이 있다. 그렇다고 해서 구매자의 요구를 진정으로 이해하지 않고 맞춤형 솔루션을 제시하려고 하면 제품이 평범하거나 단절된 느낌을 줄 수 있다. 그러면 양측 모두가 실망감을 느끼게 된다.
또한 이 관계에는 ‘진퇴양난’과 같은 역설적 요소가 있다. 벤더는 구매자의 문제를 이해하기 위해 깊이 소통해야 하지만, 구매자는 소통 시작 전에 이미 문제가 이해되기를 기대한다. 이는 ‘닭이 먼저냐 달걀이 먼저냐’와 같은 순환적 딜레마로, 이 악순환을 깨기가 본질적으로 어렵다. 키엘은 CISO와 벤더 모두가 수년간 느껴왔지만 표현하기 어려웠던 것을 정확히 짚어냈다.
벤더와 CISO가 일반적으로 어떻게 관계를 맺는지 살펴보면 문제는 더 심각해진다. 대부분 첫 접촉점은 신입 영업 담당자(SDR이나 ADR)가 기업의 고위 임원과 대화를 시작하는 임무를 맡는 경우다. 신입 담당자들은 대개 말할 요점만 준비돼 있을 뿐, 전략적 수준에서 일하는 CISO와 의미 있게 소통할 만큼의 이해도가 부족하다. 쉽게 말해 경험이 적은 직원이 회사의 보안을 책임지는 임원에게 접근하는 구조 자체가 문제다.
CISO는 위험 완화, 규제 준수 보장, 보안 전략과 비즈니스 목표의 연계와 같은 막중한 책임과 씨름하고 있다. 이런 이유로 경험과 우선순위 모두에서 불일치가 발생한다. 관계의 시작부터 어긋난 느낌을 주는 것이다. 왜 주니어 영업 직원이 고위 보안 리더와 소통하는 임무를 맡고 있는가?
이 문제를 어떻게 해결할 수 있을까? 일반적인 제안, 연결 실패, 상호 좌절의 악순환에서 벗어나려면 어떻게 해야 할까? 필자와 키엘은 벤더와 CISO의 연결 방식을 재고하는 데 해결책이 있다는 점에 동의했다.
벤더-CISO 관계의 악순환 끊기
무엇보다도 양측 모두 공감과 솔직함을 기본 자세로 갖춰야 한다. 벤더는 모든 대화에 공감하는 자세로 접근해야 한다. 특히 관점의 차이를 이해하는 것이 중요하다. 벤더 입장에서는 CISO와의 소통이 업무의 90%를 차지하지만, CISO 입장에서는 벤더와의 소통이 업무 시간 중 10~20%에 불과하다는 사실을 인식해야 한다. 즉, 벤더에게는 매우 중요한 미팅이 CISO에게는 하루 중 여러 미팅 중 하나일 뿐이라는 현실적 차이를 이해해야 한다는 의미이다.
또한 판매자는 CISO에게 막중한 책임이 있으며, 가능한 한 가치가 높고 효율적인 대화가 필요하다는 점을 알아야 한다. 만약 판매자가 보안 커뮤니티에 적극적으로 참여하고, 미묘한 문제를 이해하는 데 시간을 쓰며, 진정 도움을 주려는 의도로 CISO에게 접근한다면 혼잡한 시장에서 돋보일 수 있다.
구매자도 마찬가지다. 구매자는 판매자가 단지 ‘제품을 밀어붙이는 것’이 아니라 자신의 업무를 하려고 노력 중이라는 점을 이해해야 한다. 판매자는 기업을 유지하는 기둥과도 같으며, 이들의 성과는 CISO가 의존하는 제품의 예산 및 지속 가능성과도 직결된다. 진실성과 솔직함으로 접근할 때 판매자는 비즈니스 케이스 구축, 할인 제공, 추가 리소스 확보를 위해 최선을 다할 것이다. 양측이 서로를 적이 아닌 파트너로 접근할수록 소통이 더 생산적으로 이뤄질 수 있다.
솔직함은 벤더-CISO의 관계를 개선하는 데 중요하다. 소통에는 많은 입장이 담기기 때문에 종종 불필요한 마찰이 생긴다. 갈등이 문화적, 구조적인 문제에 뿌리를 두고 있긴 하지만, 보안 리더로서 경험한 최고의 소통은 양측이 핵심으로 바로 들어갔을 때였다. 예를 들어 CISO는 “우리는 당신의 제품을 좋아하고 XYZ 영역에서 가치를 발견했다. XXX원에 제공할 수 있다면, 구매를 추진하겠다”라고 핵심만 말할 수 있다.
마찬가지로 판매자도 가격, 시기, 또는 구현 세부 사항 등 우선순위를 확실히 알려야 한다. 이런 투명성이 오해를 줄이고 프로세스가 훨씬 더 원활히 이뤄지도록 한다.
사이버보안 전용 마켓플레이스를 상상하기
이런 원칙을 시행할 수 있는 한 가지 방법이 있다. 벤더와 구매자가 각자의 요구 사항을 바탕으로 서로를 찾을 수 있는 중립적인 플랫폼, 즉 사이버보안을 위해 특별히 설계된 마켓플레이스를 만드는 것이다. CISO가 동료 리뷰, 상세한 사용 사례, 산업별 맥락을 확인하면서 조건에 맞는 솔루션을 탐색할 수 있는 공간을 상상해 보라. 벤더는 추측이나 막연한 홍보 수단에 의존하지 않고 CISO가 적극적으로 찾고 있는 기능에 맞춰 솔루션을 제안할 수 있다.
이 마켓플레이스는 단순한 매칭에 그치지 않는다. 초기 접촉부터 최종 계약까지 전체 소통 과정을 간소화할 수 있다. 예를 들어 NDA, 개념 증명, 마스터 서비스 계약을 관리하는 도구를 통합해 발견에서 결정까지의 경로를 가능한 한 마찰이 없게 만들 수 있다. 벤더는 불필요한 홍보에 매달릴 필요가 없고 CISO는 관련 없는 제안서를 검토할 필요가 없다. 대신 양측은 의도적이고 상호 이익이 되는 방식으로 소통 가능해진다.
궁극적인 목표는 분열되고 종종 적대적인 프로세스에서 협력적이고 정렬된 프로세스로 전환하는 데 있다. 현재의 사이버 영업 모델은 벤더와 CISO 모두에게 유용성이 떨어지지만, 그렇다고 고칠 수 없는 것도 아니다. 불만족의 근본 원인인 우선순위 불일치, 잘못된 인센티브, 신뢰 부족을 해결함으로써 모두에게 유용한 시스템을 만들 수 있다.
사이버보안이 효율성과 보안 원칙을 중요시하는 업계인 만큼, 영업과 소통에 대한 접근 방식도 동일한 가치를 반영해야 한다. 새로운 변화가 필요한 시점이며, 벤더와 CISO는 함께 협력함으로써 더 나은 미래를 만들어 나갈 수 있다.
[email protected]
Read More from This Article: 칼럼 | CISO와 벤더의 ‘어긋난’ 관계, 어떻게 해야 회복될까?
Source: News