보안 담당자가 겪는 설득의 어려움
회사 내에서 보안 담당자는 새로운 보안 조치의 도입이나 취약점 대응 등을 위해 동료들을 설득해야 할 때가 많습니다. 예를 들어 개발팀에 웹 취약점 패치를 요청하거나, 기획팀에 고객정보 추가 수집에 따른 영향평가 결과를 설명해야 할 수 있습니다. 그러나 이런 사내 설득 작업은 기술적인 문제 해결만큼이나 어렵게 느껴지곤 합니다. 왜 그럴까요?
가장 큰 이유 중 하나는, 보안 부서의 위상이 다른 부서들과 다를 수 있다는 점입니다. 보안팀은 매출을 직접 창출하는 부서가 아니라 전사 활동을 지원하는 부서인 경우가 많아, 회사 내에서 흔히 '을(乙)'의 위치에 놓입니다brunch.co.kr. 실제로 돈을 버는 부서가 아니라 돈을 쓰는 부서이기 때문에 경영진이나 타 부서의 우선순위에서 밀리는 경향이 있습니다brunch.co.kr. 또 개발팀이나 현업 부서는 각자의 제품 출시, 서비스 운영 등 당면한 목표와 일정이 있습니다. 이들에게 보안 요구사항은 자칫 추가 업무나 일정 지연 요인으로 인식되기도 합니다. 보안 강화로 인한 이득은 눈에 잘 보이지 않는 반면(“아무 일도 일어나지 않음”이 성과인 경우가 많죠), 당장 해야 할 일은 분명히 눈앞에 있기 때문입니다. 이렇다 보니 보안 담당자가 시스템 상의 위험을 진지하게 설명해도, 다른 팀에서 “나중에요”, “지금은 어려워요”라며 미루거나 공감을 얻지 못하는 상황이 생깁니다.
또 하나의 어려움은 전문 용어와 시각의 차이입니다. 보안팀은 취약점, 익스플로잇, 규정 준수 등 용어와 개념에 익숙하지만, 다른 부서 사람들에게는 이런 용어들이 낯설고 어렵게 느껴집니다. 보안 이슈의 심각성을 충분히 전달하지 못한 채 “이건 위험한 취약점이에요”라고만 하면, 상대방은 막연히 심각하다면서도 왜 문제가 되고 어떻게 해야 하는지 잘 이해하지 못할 수 있습니다. 결국 소통의 방식을 조율하지 않으면 설득은 더욱 힘들어집니다.
정리하면, 사내 보안 의견을 설득하기 어려운 이유는 보안의 가치가 즉각 눈에 보이지 않는 점, 보안 부서의 조직 내 입지, 타 부서와의 관점 및 언어 차이 등으로 요약될 수 있습니다. 그렇다면 이러한 현실 속에서 어떻게 하면 보안의 중요성을 효과적으로 전달하고 공감을 얻을 수 있을까요?
보안 의견, 설득력 있게 전달하는 실무 전략
보안 담당자로서 여러 시행착오를 겪은 끝에 얻은 교훈은 “기술보다 설득이 더 큰 업무”라는 사실입니다. 결국 사람을 움직여야 보안이 실현되기 때문인데요brunch.co.kr. 아래에는 보안 의견을 보다 설득력 있게 전달하기 위한 몇 가지 실무 전략을 정리했습니다:
1) 근거 자료를 철저히 준비하라: 막연히 “이러면 위험합니다”라고 말하기보다, 구체적인 근거와 자료를 가지고 접근해야 설득력이 높아집니다. 먼저 제안하고자 하는 보안 조치나 우려되는 보안 이슈에 대해 내부 검토 보고서를 작성해 보십시오. 거기에 해당 이슈와 유사한 사례를 찾아 첨부하면 더욱 효과적입니다. 예를 들어 경쟁사나 업계 유사 조직에서 비슷한 취약점으로 인해 사고를 당한 사례를 보여주면 듣는 사람이 위기감을 느낄 수 있습니다m.boannews.com. “우리와 비슷한 A사가 이 부분을 소홀히 했다가 랜섬웨어로 큰 손실을 봤다”는 식의 보안 사고 사례는 강력한 경고가 됩니다. 또한 가능하다면 그로 인한 금전적 피해 규모나 영향 범위를 함께 제시하십시오. “만약 우리 시스템이 하루만 중단돼도 거래액 기준으로 수억 원의 손실이 발생한다”거나 “정보 유출시 예상 고객 이탈률은 몇%, 매출 손실은 얼마”와 같이 정량적 추산을 해보는 것입니다m.boannews.com. 보안 투자에 소극적인 경영진도 투자하지 않을 때의 예상 손실을 수치로 보면 마음이 달라집니다m.boannews.com. 이처럼 사례와 수치에 입각한 근거 자료는 보안 담당자의 주장을 막연한 걱정이 아닌 현실적인 위험으로 인식시키는 데 크게 기여합니다.
2) 리스크를 시뮬레이션하라: 때로는 백 마디 설명보다 한 번의 시연이 더 설득력이 있습니다. 가능하면 보안 이슈에 대한 리스크 시뮬레이션이나 모의 데모를 보여주십시오. 예를 들어 중요한 취약점이라면 개발팀과 협의하여 테스트 환경에서 그 취약점을 실제로 익스플로잇(악용)해 보는 시연을 할 수 있습니다. “SQL 인젝션을 통해 이 정도로 데이터베이스가 조회됩니다”라든지 “권한이 없는 사용자가 어떻게 관리자 권한을 탈취할 수 있는지” 등을 눈앞에서 재현해 보이면 충격을 줄 수 있습니다. 만약 직접적인 데모가 어렵다면, Threat Modeling이나 시나리오 시뮬레이션 기법으로 사고가 발생했을 때의 흐름을 그림이나 표로 보여주는 것도 방법입니다. 예컨대 “개발 서버 취약점 방치 → 해커 내부망 장악 → 고객 정보 대량 유출”과 같은 공격 경로 시나리오를 단계별로 제시하면, 그 파급효과를 보다 실감나게 전달할 수 있습니다. 이렇게 리스크를 가시화하면 보안 조치의 필요성이 단순 문서 속 추측이 아닌, 현실적 위협으로 다가오게 됩니다.
3) 상대방의 언어로 소통하라: 보안 의견을 전달할 때는 듣는 대상에 맞춘 소통 전략이 필요합니다. 기술적인 개발팀에게는 너무 추상적인 경영 용어보다는 기술적 사실과 영향을 논리적으로 설명하고, 비기술 부서에는 비유나 비즈니스 언어를 활용해 쉽게 풀어내는 것이 좋습니다. 예를 들어 개발팀에는 해당 보안 취약점이 시스템 장애나 데이터 불일치로 이어질 수 있는 기술적 위험을 강조하고, 기획/마케팅팀에는 보안 사고 시 브랜드 이미지 타격이나 고객 이탈 등 사업적 리스크를 강조하는 식입니다. 또한 보안 조치로 인해 협업 부서에 미칠 영향을 미리 고려해 대안을 함께 제시하면 좋습니다. “이 기능은 일정에 영향이 있으니 우선 설정으로 꺼두고 출시 후 패치합시다” 또는 “업무에 불편함이 없도록 UI는 이렇게 조정해 드리겠습니다” 등 대안을 제시하면 상대방도 협조적인 마음을 갖게 됩니다. 결국 상대의 입장에서 생각하고 win-win 관점에서 접근해야 거부감이 줄어듭니다.
4) 보안 의식을 함께 높여라: 평소에 보안 중요성에 대한 공감대를 키워두면 결정적인 순간에 설득이 한결 쉬워집니다. 이를 위해 조직 내 전반의 보안 의식 제고 활동을 꾸준히 전개해 보세요. 예를 들어 주기적인 보안 교육이나 캠페인을 통해 임직원들이 최신 보안 위협 동향을 접할 기회를 만듭니다. 특히 경영진이나 주요 의사결정자들이 보안의 필요성을 피부로 느끼도록 맞춤 교육을 실시하는 것도 방법입니다m.boannews.com. 외부 보안 전문가를 초청해 사례를 공유하거나, 언론에 보도된 주요 보안사고 기사를 내부 게시판에 공유하면서 “우리 상황에서는 어떨까”를 생각해보게 하는 것도 효과적입니다m.boannews.com. 이러한 노력이 쌓이면 보안팀이 무언가 제안할 때 “또 귀찮게 구는구나”가 아니라 “우리 회사에 꼭 필요한 일이겠구나”라는 인식이 퍼지게 됩니다. 결국 조직 문화적으로 보안을 가치 있게 여기도록 만드는 것이 궁극의 목표입니다. 평소에 보안팀이 타 부서와 원만한 관계를 구축하고 작은 도움이라도 빠르게 지원해 주면서 신뢰를 쌓는 것도 중요하겠습니다.
위 전략들을 실행하면
보안 담당자의 의견이 이전보다 훨씬 설득력 있게 전달될 것입니다. 중요한 것은 일관된 태도와 진정성입니다. 상대방을 협조해야 할 파트너로 여기고 겸손하고 성실하게 설명하되, 핵심 사안에서는 단호함을 가지고 책임감을 보여주는 균형 잡힌 자세가 필요합니다. 또한 설득 과정에서 한 번 거절당했다고 바로 포기하지 말고, 다른 접근 방식을 시도하거나 추가 근거를 모아 재제안하는 끈기도 발휘해야 합니다.
보안 업무는 기술 반, 소통 반이라고 해도 과언이 아닙니다. 뛰어난 보안 전문가일수록 내부 조율과 협상에 많은 시간을 들인다고 합니다. 결국 조직 내에서 보안 수준을 높이려면 기술적인 역량뿐 아니라 설득과 협업의 기술이 필수입니다. 보안 담당자 여러분의 지식과 노력이 올바로 전달될 때, 회사의 보안 수준은 한층 견고해질 것입니다.