보안팀은 항상 긴장 속에서 일을 한다. 언제 어떤 위험이 발생할지 모르니 늘 경계하며 잠재적 문제와 다음 위협의 발생 시점을 끊임없이 고민한다. 문제는 이런 환경이 직원에게 심각한 압박함을 줄 수 있다는 것이다. 어떤 압박감은 한 개인의 직원이 감당하기 어려울 정도다.
직원 관리 플랫폼 기업 컬처앰프(Culture Amp)의 CSO 겸 CRO인 샘 맥레오드는 “보안 부서 업무란 복잡하고 모호한 점이 많고, 계속해서 변화한다. 그러니 보안팀 직원은 업무 스트레스 속에서대항하거나, 회피하거나, 경직되거나, 무기력해지는 경험을 하곤 한다. 매우 피로감을 느낄 수 밖에 없다”고 전했다.
많은 CISO는 팀원이 마감 기한을 지키지 않거나 소극적인 태도로 일하는 것을 발견한다. 한때 프로젝트를 주도하거나 적극적으로 참여하던 직원들이 점차 책임을 회피하며 물러서는 모습을 보일 수 있으며, 신규 직원은 빠르게 진행되는 사이버 보안 환경에 적응하는 데 어려움을 겪기도 한다.
컬처앰프의 연구에 따르면 성과가 저조한 직원은 종종 과한 부담감을 느끼거나, 목표 달성을 위한 명확한 전략이 없거나, 맞지 않은 업무를 맡고 있거나, 관리자로부터 충분한 지원을 받지 못하고 있는 것으로 나타났다.
성과가 저조한 직원을 다른 직원으로 교체하는 과정에서는 기존 직원 연봉의 적게는 30% 많게는 200%에 해당하는 비용이 들 수 있다. 그러니 직원을 급히 새로 뽑기 보다 기존 직원이 다시 업무를 잘 수행할 수 있게 돕는 것이 금전적으로도 합리적이다. 약간의 관심과 명확한 방향만 제시하면 많은 저성과자들이 동기를 회복하고 다시 팀에 기여할 수 있는 자신감을 되찾을 수 있다.
1. 고군분투하는 직원 알아보기
리더는 직원의 작은 변화를 관찰함으로써 그들의 상황을 확인할 수 있다. 하지만 사이버 보안팀은 종종 원격 근무를 하고 내성적인 성향의 직원들이 많아, 누가 어려움을 겪고 있는지 감지하기가 어렵다.
보안 리더 전문 컨설팅 기업 포켓시소(Pocket CISO)의 설립자인 칼로타 세이지는 평소 밝은 직원이 갑자기 어두워지거나, 수다스러운 직원이 조용해지거나, 모든 일에 부정적으로 변하는 것 등이 중요한 신호가 될 수 있다고 조언했다.
직장 생활과 개인 생활 모두에서 어려움에 직면하면 사람은 위축되기 시작하고 기본적인 업무만 겨우 수행하게 될 수 있다. 또한 실수를 더 자주 하거나 마감일을 놓치거나 동료나 관리자가 자신의 업무를 어떻게 생각하는지 신경 쓰지 않게 될 수 있다.
또한, 바디 랭귀지도 직원의 정서 상태와 몰입 수준을 파악하는 데 도움이 된다. 업무용 협업 및 성과 관리 AI 개발업체 말리(Marlee)의 설립자이자 CEO인 미셸 듀발은 눈을 본다고 한다. 듀발은 “눈을 피하거나 한숨을 자주 쉰다면 눈여겨 봐야 한다”라며 “그럴 때 ‘괜찮나요?’ 또는 ‘이 작업이 힘든가요?’라고 물어보며 상황을 파악할 수 있다”고 설명했다.
사이버 보안 전략가인 태미 홀리스는 업무 회피, 업무 미루기, 다른 사람에게 업무 위임 시도, 휴가 사용 증가 등도 스트레스를 받는 직원의 행동 지표가 될 수 있다고 전했다. 동료들에게 짜증을 내거나 공격적인 태도를 보이는 것도 어떤 신호가 될 수 있다.
이러한 행동들은 직원이 불안하거나 좌절, 혹은 업무 과중으로 인한 어려움을 겪고 있음을 나타낼 수 있다. 적절히 대처하지 않으면 슬픔, 절망감, 두려움, 심지어는 신체적·정신적 피로와 소진으로 이어질 수 있다. 이 모든 것이 직원과 팀 모두에게 영향을 미치므로 리더는 공감과 열린 마음으로 조기에 개입하는 것이 중요하다.
2. 낮은 성과의 원인 파악하기
리더의 역할 중 하나는 사람을 돌보는 것이다. 훌륭한 CISO는 직원의 정신 건강과 업무적 성장을 지원하는 것이 시스템과 데이터를 보호하는 것만큼이나 중요하다는 것을 잘 이해하고 있다.
직원 성과 개선의 핵심은 왜 문제가 발생했는지 신속히 파악하고 대응하는 것이다. 임원 채용 담당자이자 커리어 코치인 캐롤라인 세니자-레빈은 “직원의 업무 성과가 부진하다면 더 많은 방향성이나 기술 교육이 필요하다. 직원이 업무에 몰입하지 않는다면 동기를 부여해야 한다. 동기 를 부여하려면 업무가 중요한 이유와 기여도가 얼마나 중요한지에 대해 더 많은 정보를 제공해야 한다”라고 강조했다.
때로는 단기적으로 달성 가능한 현실적인 목표를 설정하는 것이 효과적이다. 듀발은 “저성과자가 성장하지 못하는 가장 큰 이유는 설정된 목표가 현재 수준과 너무 멀리 떨어져 있기 때문”이라며 “작은 목표를 하나씩 달성하면서 자신감을 얻고, 이후 점진적으로 목표 난이도를 높여 성과를 달성할 수 있다”라고 설명했다.
어떤 업무는 더 즐겁게 만들 수 있다. 맥레오드는 “우리는 모의 공격(레드/블루 팀 연습), 위협 사냥, 위협 모델링과 같은 활동을 게임화하고, 2주마다 팀이 함께 모여 즐길 수 있는 일종의 ‘게임의 밤’을 주최하고 있다”라고 “친목을 다지고 경쟁심을 유도하며 팀원들이 기술을 연마하고 최신 위협 정보를 접할 수 있도록 하고 있다”라고 전했다.
3. 직원의 권한과 가치 인정하기
CISO와 어려움을 겪고 있는 팀원 간의 대화는 지원과 진정성 있는 도움에 초점을 맞춰야 하며, 비난과 압박은 피해야 한다. 직원이 자신의 어려움을 편하게 공유할 수 있는 안전한 공간을 마련해 신뢰를 쌓고 솔직하고 건설적인 대화를 유도하는 것이 중요하다. 이 접근법은 팀원들이 자신이 존중받고 있다는 느낌을 주며, 효과적인 문제 해결을 위한 기반이 된다.
홀리스는 “리더가 공감능력을 발휘해 대화에 참여하면 더 인간적인 대화를 할 수 있다”라며 “또한 리더와 직원 간의 위계 관계가 완화되어 더 긍정적인 방식으로 문제를 논의할 수 있다”라고 설명했다.
의미 있는 질문을 하는 것도 중요하다. 홀리스는 “성장을 이끄는 질문은 직원이 자신이 알고 있는 것을 상기하거나 새로운 관점에서 적용할 수 있도록 유도해 자신감을 회복할 수 있게 해준다”라고 밝혔다.
CISO는 일방적인 지시보다 쌍방향 소통을 추구해야 한다. 스탠다드차타드 은행의 그룹 CISO인 대런 아길은 초기에 이 점을 간과했다고 털어놓았다. 아길은 “도움을 주고 싶어 성급하게 솔루션을 제시하다보니 직원이 스스로 해결책을 찾는 것을 방해했던 것 같다”라며 “지금은 좋은 멘토링이란 무엇인지 제대로 이해하고 있다. 결국 멘토링은 정답을 알려주는 것이 아니라 가이드를 주고 직원이 스스로 도전과제를 해결할 수 있도록 돕는 것이다”라고 전했다.
맥레오드는 팀이 인정받고 있다는 느낌을 갖도록 하며, 직원에게 지속적으로 투자하고 있음을 보여주는 것이 중요하다고 강조했다. 맥레오드는 “이런 부분은 특히 저연차 직원에에게 중요하다”라며 “저연차 직원은 명확한 지침과 업무 지식 전수, 체계적인 교육을 통해 자신의 역량을 발휘하고 조직이 원하는 성과를 달성할 수 있다”고 강조했다.
4. 리더의 언어 구사하기
어려움을 겪고 있는 직원이 마음을 열도록 독려하려면 리더가 먼저 솔선수범하여 자신의 어려움을 공유해야 한다. 솔직하고 투명한 태도로 분위기를 조성하고 어려움을 털어놓아도 안전하다는 것을 보여줘야 한다. 스탠다드차타드 은행의 그룹 CISO인 대런 아길은 “내가 먼저 업무 스트레스와 명상을 통한 극복 경험을 솔직히 공유하자, 다른 직원들도 자신의 어려움을 편하게 털어놓을 수 있게 되었다”라며 “이런 대화가 힘들 때 인정해도 괜찮다는 것을 보여준다”고 설명했다.
리더가 개방성과 취약성을 보여주면 팀원이 힘들거나 도움이 필요할 때 이를 표현하도록 장려할 수 있다. 이를 통해 어려움을 겪고 있는 직원은 판단이나 영향에 대한 두려움 없이 자신의 어려움을 편안하게 공유할 수 있게 된다. 미셸 듀발은 “직원이나 성과에 대한 판단과 평가는 피해야 한다”고 강조했다. 듀발은 ‘당신은 회의에서 공격적이야’와 같은 말을 하는 대신, 그들의 성과를 이야기하고 그 행동에 대한 구체적인 관찰을 제공하는 것이 좋다고 설명했다.
엔도 랩스(Endor Labs)의 CISO인 칼 매트슨은 “모호하거나 부정확하거나 불완전한 정보나 보안 지침을 제공하면 문제가 발생한다”고 지적했다.
모든 CISO가 타고난 재능으로 이러한 종류의 대화를 주도하는 것은 아니지만, 감성 지능과 공감 능력은 시간이 지남에 따라 향상될 수 있다. 세이지는 이것이 “반드시 개발할 수 있는 기술”이지만 “하고 싶다는 의지가 있어야 한다”고 강조했다. 세이지는 “경솔하고 사려 깊지 못한 발언은 수년간 쌓아온 신뢰를 무너뜨릴 수 있다”고 설명했다.
5. 신뢰 환경을 조성하기
누군가의 성과를 지속적으로 측정하는 것은 이론적으로는 좋은 해결책처럼 보일 수 있다. 하지만 실제로는 불필요한 압박과 불안감을 조성하여 직원이 끊임없이 현미경 아래 있는 것처럼 느끼게 할 수 있다.
아길은 “당시에는 직원들이 느끼는 개인적인 압박감을 이해하지 못한 채 지표에만 너무 집중했었다”고 회상했다. “지금은 명상, 헬스장 운동, 창의적 사고를 위한 시간 확보 등 제 자신의 웰빙을 우선시하는 방법을 모범으로 보여주며 공감을 이끌어내고 있다”고 전했다.
매트슨은 “모든 직원이 동일한 성과를 내거나 동일한 상위 기술 수준을 달성하는 것은 아니기 때문에 성과 측정보다는 노력에 대한 보상에 초점을 맞출 것을 제안한다”고 설명했다.
비공식적인 체크인을 통해 웰빙을 우선시하고 어려움을 겪는 직원에게 멘토를 배정하면 팀원이 개인적, 업무적 어려움을 편안하게 논의할 수 있는 환경이 조성된다. 때로는 직원이 직속 관리자보다 멘토에게 더 쉽게 마음을 열기도 하므로 멘토링은 지원과 성장을 위한 귀중한 도구가 될 수 있다.
아길은 “우리가 시행하고 있는 ‘금요일 회의 금지’와 같은 관행은 팀원들에게 숨 쉴 공간을 만들어 주는 데 도움이 된다. 직원이 재충전하고 성찰할 시간이 있다고 느끼면 어려움을 병에 담을 가능성이 줄어든다”고 설명했다.
포켓시소의 설립자인 세이지는 “가장 최악의 방법은 직원을 성과 개선 기간(PIP) 또는 이와 유사한 기간에 넣는 것이다”라고 지적했다. “직원을 끝까지 도와주거나 해고할 수도 있지만, PIP에 넣는 것은 비생산적이다”라고 강조했다.
6. 팀의 성과 기념하기
때때로 팀, 특히 고생하는 직원이 얼마나 멀리 왔는지 되돌아보고 그 순간을 축하하는 시간을 갖는다면 도움이 된다. 작은 성과라도 인정해 주면 사기가 진작되고 성취감을 느낄 수 있다. 이러한 이정표를 축하하는 것은 아직 달성해야 할 목표에서 이미 이룬 성과로 초점을 전환하여 긍정적인 사고방식을 키우는 데 도움이 된다.
맥레오드는 “우리는 지난 6개월 동안 우리가 제공한 모든 것과 비즈니스에 미친 영향을 나열하는 목록을 작성했다”고 설명했다. “이 목록을 발표했을 때 팀의 변화는 비록 화려하지는 않았지만, 수다와 농담, 웃음으로 에너지가 바뀌는 것을 느낄 수 있었다”고 전했다. 맥레오드는 “가장 조용한 내성적인 팀 구성원들 사이에서도 창의적인 대화와 개선 논의가 시작되었고 열정적인 프로젝트도 생겨났다”고 강조했다.
7. 직원과의 이별 시기 인정하기
홀리스는 “지금 당장 변화할 준비가 되어 있지 않거나 변화할 의지가 없다면 코칭할 수 없는 사람일 수 있다”고 설명했다. “코칭이 불가능한 사람은 반응보다는 반작용이 심하거나 논쟁을 벌이거나 코칭 관계에 기꺼이 참여하지 않을 수 있다”고 전했다.
세니자-레빈은 “직원이 동의하고 제안 사항이 있는지 확인한다. 이는 직원이 개선 의지를 보여줄 수 있는 또 다른 기회이다”라고 설명했다.
회의에는 인사팀도 포함될 수 있으므로 직원, 관리자, 인사팀이 함께 협력하여 대안을 모색할 수 있다. 세니자-레빈은 “해당 역할이 해당 직원에게 적합하지 않을 수도 있고, 다른 곳으로 옮길 수도 있다”고 전했다. “팀에서 역할을 재배치할 수 있는 유연성이 있다면 직원의 강점을 살릴 수 있도록 역할을 재구성할 수도 있다”고 설명했다.
어떤 상황이든 직원을 해고하는 결정은 항상 신중하게 접근해야 하며 서둘러서는 안 된다.
아길은 번아웃이 높은 사이버 보안 분야에서 CISO는 자신을 가장 필요로 하는 직원을 위해 존재해야 한다고 설명했다. “사람들이 돌아올 수 없는 지점에 도달하기 전에 지원하는” 문화를 구축하는 것이 목표라고 강조했다.
dl-ciokorea@foundryco.com
Read More from This Article: 저성과 직원을 보안팀 에이스로··· CISO가 실천하는 7가지 인재 관리법
Source: News