수잔 보트리노는 미국 공군에서 2013년 10월 퇴역한 이래 드높은 인기를 누리고 있다. 공군 소장이자 지휘자로서 미 국방부의 사이버 지휘부 창
그녀를 이사회로 영입하고자 하는 시도는 작년 한 해에만도 다수 있었다. 그러나 그녀는 이러한 제안을 대개 수용하지 않았다. 이사회 이사 자리를 거절한 이유는 주로 해당 기업들이 사이버보안 이니셔티브에 제대로 된 태도를 가지고 있지 않았기 때문이었다. .
현재 샌안토니오의 킬로볼트 컨설팅(Kilovolt Consulting)의 회장이기도 한 본트리노는 “맡은 일을 할 수 있고 일하는 것을 자랑스러워 할만한 회사인지를 확인할 필요가 있다”라고 말했다.
오늘날 그녀는 웰스 파고(Wells Fargo), 파슨스 코프(Parsons Corp), 에코랩(Echolab), 시만텍(Symantec), 배텔 메모리얼 인스티튜트(battelle Memorial Institute) 등 5곳의 기업 이사회에 참여하고 있다. 그녀는 이들 기업을 선택한 이유에 대해 ‘사이버 보안 분야에 대해 진지하게 접근하는 회사”라고 말했다.
중역 채용 업체 스펜서 스튜어트(Spencer Stuart)의 이사회 서비스 프랙티스의 리드 디렉터인 톰 대니얼스는 “IT와 사이버 보안 영역에서 이사회 수준의 임원을 영입하려는 문의가 상당하다”라고 말했다.
현재 모든 분야의 회사들이 사이버보안 문제를 경험하고 있으며 이사회 구성원들이 이를 절감함에 따라 5년 전까지만 해도 신경 쓰지 않던 사이버 보안 분야가 갑자기 최우선 고려순위로 등극했다는 설명이다.
게다가 이사회는 찾기 힘든 수퍼스타급 인재들을 구하고 있다. 대니얼스는 “그런 기술 능력, 식견, 사회적 능력을 가지고 최고경영진 단계의 일을 할뿐 아니라 이사진에도 녹아들 수 있는 인재는 대단히 한정적”이라고 말했다.
스펜서 스튜어트의 기술 프랙티스 컨설턴트 마이크 딕스타인은 “이사진 후보들이 까다롭게 기업을 확인하려는 게” 그리 놀라운 일은 아니라고 말했다. 자칫하면 보안 희생양이 될 수 있는데다, 다른 이사회 구성원들에게 이방인 취급을 받기도 십상이기 때문이다. 그는 다음과 같이 덧붙였다.
“사이버보안 전문가로서 이사회에 참여하면, 회사에 사이버 보안 관련한 사고가 발생할 경우 평판에 손상을 입을 수 있다. 그들은 희생양 격으로 책임을 지는 일이 없기를 바란다. 기업 경영진과 이사회가 보안 리스크를 분명히 이해하고 이를 위한 자원을 제대로 투자하기를 기대한다. 만약 이런 상태가 아니라고 판단되면. 그들은 자신의 평판을 두고 모험하려 들지 않을 것이다.”
전문가 영입하기
그렇다면 최상위 사이버보안 전문가를 이사회로 영입하기 위해 어떻게 할 수 있을까? 많은 기업이 종종 자사의 사이버보안 내역과 보안의 차후에 대한 비전을 고려하지 않고 곧바로 면접에 착수한다. 사이버보안 전문가를 이사회에 영입하려 면접할 때 고려해야 할 5가지 요점을 정리했다.
1. 그들이 얼마나 어떻게 기여할 것인가?
타임 워너 케이블(Time Warner Cable)과 홈 데포(Home Depot)의 전직 CISO인 태미 모스카이츠에 따르면, 이사회에 참여한 보안 분야 이사들은 종종 “머릿수만 채우는 느낌을 받는다.” 그러나 대부분의 고위급 사이버보안 전문가들은 모든 이사회 활동에 참여하고 조직 전반에 실제 가치를 더하고 싶어한다.
모스카이츠는 사이버보안 전문가의 이사회 내 존재만으로도 주주들에게 차별화 요소가 된다고 생각하는 기업들이 일부 있다고 지적하며, 그녀 또한 이러한 회사의 의도를 알아차렸을 때 면접장에서 그냥 박차고 나온 적이 있다고 덧붙였다.
모스카이츠는 “그들은 ‘회의에 1년에 4번만 나오면 된다. 그리 많은 일을 할 필요가 없다’라고 이야기했다. 그래서 나는 ‘서로 잘 맞지 않는 것 같네요’라고 답했다”라고 말했다. 모스카이츠는 퀄리스(Qualys)와 박스(Box)에 이사진으로 참여했고 현재는 다른 이사진 후보를 면접 중이다.
사이버보안 전문가들은 또한 보안 미션에 대한 회사의 준비 자세를 고려한다. 기업 이사회와 경영진이 이 분야에 힘을 쓸 준비가 되어 있는지 확인하는 것이다.
보트리노는“면접 시작부터 그런 부분에 대해 상당한 고려가 되어있는지 바로 알 수 있다”라고 말했다. 그녀는 “이 분야에 대해 기업이 전략적으로 준비하고 있음을 본다면 자신이 차이를 만들어낼 수 있다고 느끼게 된다”라고 말했다.
2. 리스크를 공유 계획
딜로이트(Deloitte)의 프라이버시 프랙티스와 보안 디렉터 매리 갤리건은 보안에 대한 책임을 공유하려는 자세 또한 중요한 확인 포인트라고 강조했다. 그녀는 “이사회에서 ‘그건 당신 책임이지’라는 말을 듣는 건 기분 나쁜 일이다. 다른 어떤 위원회도 그런 식으로 일하지 않는다. 예를 들어 당신이 회계 위원회에 있다면 당신은 CFO와 이사회의 다른 금융 전문가들만큼 같은 책임을 가진다”라고 말했다.
3. 보안팀 미팅
보트리노는 기업이 이사회 수준의 보안 전문가를 영입할 때 면접 시점에 CISO나 다른 보안 책임자를 보여줌으로써 서로의 합의를 이끌어낼 수 있다고 전했다.
그녀는 “만약 전문가를 채용해왔다면 서로 만나게 하는 것이 도움이 된다. 여러 문제가 산적해있을지라도 무언가 개선시키는데 열의를 가진 사람들은 문제 대신 기회를 보게 되는 것”이라고 말했다.
4. 다른 이사들의 자세는?
사내 이사회 이사들이 평생 배우길 멈추지 않는 유형인가? 대부분의 유능한 이사회 이사들은 평생 공부하는데 그게 사이버 보안 전문가들에게는 매력이라고 보트리노는 말했다.
그녀는 “이사회 구성원들이 기술 혹은 복잡한 연결 유형의 문제들에 대해서도 기꺼이 궁금해한다면 보안 전문가가 희망을 볼 수 있다”라고 말했다.
5. 생각의 틀을 바꿔라
오늘날 고위급 사이버보안 전문가에 대한 수요는 공급을 앞선다. 대니얼스는 “모든 기업이 몇몇 후보를 두고 경쟁하는 양상이다. 그러나 여러 기업의 이사회에 참여하는 것은 상당히 어려운 일이다”라며, 은퇴한 이들일지라도 2~3곳 이상의 이사회에 동시에 참여하기 어렵다고 말했다. 그는 이어 이에 따라 뻔한 후보보다는 공공 분야와 민간 분야의 수퍼스타를 찾아보라고 말했다.
모스카이츠는 업계 동료들에게 추천을 부탁해보라고 권했다. 그녀 자신만 해도 개인적으로 지난 18개월 동안 7명의 사이버보안 전문가를 추천했다는 설명이다. 모스카이츠는 “믿을 수 없을 만큼 강력한 기술적 배경을 가지고 마법을 발휘할 수 있는 사람들이 있다”라고 말했다.
dl-ciokorea@foundryco.com
