??? ???? ?? ??? ??? ?? ??? ?????, CISO?? ?? ??? ???? ????? ??? ??? ?? ???? ??? ?? ??? ?? ??? ????? ? ???? ??. Credit: PeopleImages.com - Yuri A / Shutterstock 사이버보안 리더들은 일상적인 업무에 몰두하다 보면, 팀이 제 역할을 다하고 리스크가 적절히 관리되고 있는지 점검하는 데 집중하느라, 정작 이들을 차세대 리더로 키울 기회를 놓치기 쉽다. 하지만 사이버보안이 이제 비즈니스의 핵심 기능으로 확고히 자리잡으면서, 점점 더 많은 CISO들이 미래 리더 육성에 관심을 돌리고 있다. 과거 많은 CISO들이 현장에서 실전으로 배우며 성장했다면, 오늘날의 리더들은 보다 의도적이고 개인적인 방식으로 차세대 리더십 파이프라인을 구축하고 있다. 보안 컨설팅 기업 실리콘밸리 사이버(Silicon Valley Cyber)의 설립자이자 스플렁크와 옥타(Okta) 전직 CISO인 야시르 아부셀햄은 “리더로서 어느 시점이 되면 잠시 멈추고 자신이 얻은 교훈을 되돌아보는 것이 건강하다”라며 “또한 동료들과도 그들이 얻은 교훈에 대해 이야기해보는 것이 필요하다”라고 말했다. 아부셀햄은 자신의 리더십 경험 대부분이 현장에서 배우고, 실수를 통해 깨닫고, 성공과 실패 사례를 관찰하면서 쌓아졌다고 설명했다. 그는 사이버보안 분야에는 다양한 기술 교육 프로그램이 존재하지만, 보안 전문가들이 리더로 전환할 수 있도록 돕는 프로그램은 거의 없다고 지적했다. 아부셀햄은 풍부한 경험이 있더라도, 타인의 리더십 역량을 키우는 데는 일종의 ‘예술적인 감각’이 필요하다고 강조한다. 그는 CISO들이 팀 내 리더십을 의도적으로 그리고 공정하게 육성해야 한다고 말했다. 그는 “특정 팀원을 편애하는 인상을 주지 않도록 주의하면서, 팀의 모든 구성원이 성장할 수 있도록 투자하고 역량을 계발해야 한다”고 전했다. 이러한 리더십 육성은 팀원 개개인의 강점을 파악하고, 개선이 필요한 영역을 다양한 역량 관점에서 진단하는 작업으로부터 시작된다. 그는 팀원과의 정기적인 일대일 커리어 상담을 통해 전문성과 성장 방향을 집중적으로 논의하는 것이 중요하다고 강조했다. 실제 사례로, 그는 대중 앞에서 말하는 데 어려움을 겪는 한 리더를 코칭한 경험을 소개했다. 그는 이 문제를 회피하기보다 개인적 과제로 삼고, 점진적으로 발표 기회를 늘려주며, 아이디어를 구성하는 틀을 제공하고 청중을 대하는 방법을 지도했다. 아부셀햄은 “때로는 한계를 넘어서려는 시도와 ‘안 된다’는 말을 받아들이지 않는 자세가 필요하다”라며 “어떤 역량이 리더의 성장에 매우 중요하다고 판단되면, 그것을 최우선 과제로 삼아야 한다. 목표를 명확히 설정하고 해당 역량을 지속적으로 발전시킬 수 있도록 해야 한다”라고 조언했다. 리더십 성장 과정을 체계화하다 아부셀햄이 개인 맞춤형, 실무 중심의 재능 개발 방식을 강조하는 반면, 일부 CISO들은 더 많은 인재를 대상으로 한 체계적인 리더십 육성 과정을 구축하고 있다. 페이팔(PayPal)의 CISO 숀 칼판은 이러한 구조화된 리더십 개발이 자신의 경력 전반에 걸쳐 중요한 역할을 해왔다고 설명한다. 그는 미 국방부와 미국기술협의회(American Council for Technology)가 제공한 공식 리더십 교육 프로그램에 참여했으며, 현재는 이 경험을 바탕으로 페이팔의 사이버보안 인재 파이프라인을 설계하고 있다. 특히 여성과 중간 경력 리더 육성에 중점을 두고 있으며, 이는 공식 및 비공식 내부 프로그램을 혼합해 운영된다. 칼판은 “조직 전반에서 여성 리더가 성장할 수 있는 통로와 기회를 어떻게 마련할지, 그리고 이들이 자신의 목소리를 낼 수 있도록 어떻게 지도할 수 있을지 고민하고 있다”라고 말했다. 그는 현대 사이버보안 환경에서 리더십 개발은 기술적 전문성만으로는 부족하다고 강조한다. 이제 보안 리더는 이사회 등 조직 전반과 소통하고 협력해야 한다는 설명이다. 칼판은 “사이버보안은 오랫동안 백오피스의 기술 엔지니어링 기능으로 인식됐지만, 이제는 CISO가 비즈니스 리스크 리더로 자리 잡았다”라며 “사이버보안은 대부분의 기업에서 상위 3대 리스크 중 하나로 간주되며, 단순한 엔지니어링이나 거버넌스를 넘어 전사적 리스크로 다뤄지고 있다. 이로 인해 제대로 된 리더십 교육이 필수로 떠오르고 있다”고 전했다. 보험 브로커 기업 브라운앤브라운(Brown & Brown)도 내부 인재의 리더십 성장을 체계화하고 있다. 이 회사의 CISO 배리 헨슬리는 경력 초기에 리더십 잠재력을 보이는 직원 여럿을 조기에 발굴하고 육성하는 소규모 그룹 교육 프로그램(cohort program)을 지원하고 있다. 그는 “신입 또는 비교적 젊은 구성원이 1~3년 차 내에 리더로서의 잠재력을 인정받으면 해당 프로그램에 참여하게 된다”라고 설명했다. 이 프로그램은 매달 20~30명의 팀원이 CEO와 함께 만나고, 실제 비즈니스 과제를 해결하며, 외부 연사로부터 멘토링을 받는 구조로 운영된다. 참가자는 연중 열리는 다양한 사내 전문성 향상 행사에도 참석한다. 브라운앤브라운은 이 외에도 임직원이 자율 등록할 수 있는 엔터프라이즈 리더십 개발 프로그램과 추천 기반의 기타 리더십 프로그램을 함께 운영하고 있다. 리더십과 관리의 차이 전직 미 육군 장교 출신인 배리 헨슬리는 리더십 개발을 단순히 조직의 연속성을 위한 수단이 아니라, 조직의 건강성을 반영하는 지표로 본다. 그는 “언젠가 누군가가 내 자리를 대신하게 되는 날이 기다려진다”라며 “자신이 맡은 역할에서 물러날 수 있을 때 비로소 성공한 것”이라고 말했다. 헨슬리는 훌륭한 리더는 주변 사람들과 초기 경력 시절의 강력한 롤모델을 통해 형성된다고 본다. 그는 “나는 항상 사람들이 함께 일하는 동료에게서 초대를 받고 영감을 받아야 한다고 말한다. 그리고 그 과정에서 어떤 리더가 되고 싶은지, 어떤 사람들과 함께 일하고 싶은지를 스스로 깨달아야 한다”라고 설명했다. 그는 리더십과 관리는 명확히 다르다고 강조한다. 헨슬리에 따르면 리더는 구성원에게 ‘영감을 주고 동기를 부여’하는 사람인 반면, 관리자는 효율성과 규모를 중심으로 업무를 완수하는 데 집중하며, 종종 리더로서의 성장을 위한 시간을 충분히 투자하지 못한다. 그는 “관리자는 팀원의 결혼식이나 졸업식 같은 인생의 특별한 순간에 초대받지 못하는 경우가 많다. 하지만 진정성 있는 리더라면, 팀원은 그런 중요한 자리에 함께해주길 진심으로 바란다”라고 말했다. 사람 중심 프로그램의 운영 리더십 컨설팅 기업 우엘렛 앤드 어소시에이츠(Ouellette & Associates)는 기술의 ‘인간적인 면’을 강화하는 데 중점을 두고 리더십 프로그램을 운영하고 있다. 이곳은 비즈니스 감각, 고객 중심 사고, 협업 역량 등 실질적인 기술 외적 역량을 개발하는 데 초점을 맞춘다. 주요 프로그램 중 하나인 ‘사이버보안 리더십 경험(Cybersecurity Leadership Experience, CyberLX)’은 9개월 과정으로, 외부 CISO 또는 고위 사이버 리더와의 일대일 멘토링을 포함한다. 이 외에도 참여형 워크숍과 실제 업무 적용을 위한 캡스톤 프로젝트도 구성되어 있다. 우엘렛 앤드 어소시에이츠의 기술 리더십 실무 총괄인 캐스 마스턴은 리더십 개발에 대한 투자가 분명한 비즈니스 전략이라고 강조한다. 그는 사람을 성장시키지 못하는 조직은 결국 인재를 잃게 될 수 있다고 경고하며, 특히 변화가 빠르고 역량 변화 속도가 빠른 사이버보안 분야에서는 더욱 그러하다고 밝혔다. 마스턴은 “지금은 경쟁이 치열한 시대다. 인재를 유치하는 것도 중요하지만, 이들을 성장시키는 것이야말로 조직의 지속 가능성을 좌우한다”라며 “많은 조직이 인재는 데려오지만, 이들을 키우지 못해 결국 잃는다. 역량은 바뀌고 세상도 끊임없이 변한다. 우리는 계속 혁신하고, 복잡한 환경을 다뤄야 하기 때문에 경쟁력을 유지할 준비가 되어 있어야 한다”라고 말했다. 그는 이런 경쟁력은 곧 리더십과 직결된다고 강조했다. “우리는 항상 다음 사이버보안 또는 IT 리더가 차기 CISO나 CIO로 성장할 수 있도록 준비시키고 있다”고 밝혔다. 그러나 의지가 있는 조직이라도 사이버 인재를 충분히 빠르게 성장시키는 데는 어려움이 따른다. 우엘렛 앤드 어소시에이츠의 리더십 프로그램 디렉터 질 런디는 그 원인이 꼭 투자 부족은 아니라고 설명한다. 런디는 “조직이 필요한 시간을 충분히 확보하지 못했고, 원하는 속도로 인재를 성장시킬 수 없는 경우가 많다”라고 말했다. 미래 리더를 식별하는 기준 리더십 잠재력을 알아보는 데에는 단순한 체크리스트보다 ‘역량의 폭’을 살펴야 한다고 페이팔의 칼판은 표현했다. 그는 사이버 엔지니어링 통제, 코드 스캐닝, 보안 제품 구축과 같은 기술적 요소들이 어떻게 리스크로 연결되는지를 이해하고 있는지, 그리고 이를 명확히 설명할 수 있는지 살펴봐야 한다고 조언했다. 특히 기술 언어와 비즈니스 언어를 자유롭게 넘나들 수 있는 역량이 중요하다고 조언했다. 칼판은 뛰어난 CISO는 개발자와 기술적으로 깊이 있는 대화를 나누는 동시에 이사회 수준의 전략적 논의도 주도할 수 있어야 한다고 강조한다. 그는 “코드를 작성한 지는 오래됐지만, 여전히 깊이 있는 기술 대화를 나누고, 이사회에서 전략을 논의할 수 있는 능력은 유지하고 있다”라고 말했다. 아부셀햄도 기술 경험은 퍼즐 조각 중 하나일 뿐이라고 동의한다. 그는 누군가가 리더 역할을 맡을 준비가 되어 있고, 그 역할을 자처할 의지가 있는지를 더욱 중요하게 본다. 아부셀햄은 “실제로 리더십 역할을 맡아본 사람이라면 그 경험을 공유할 책임이 있다”라며 “바쁜 일상 속에서도 시간을 내어 자신의 교훈을 되돌아보고, 그것을 널리 공유하며 다음 세대를 돕는 것이 바로 우리가 해야 할 일이다. 그것이 차세대 사이버 리더를 위한 올바른 방향”이라고 말했다.dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????