정체를 초래하지 않는 보안: 스타트업 멘토링에서 얻은 교훈
저는 항상 새롭고 혁신적인 제품에 대한 열정이 있었습니다. 끊임없이 변화하는 위협 환경으로 인해 사이버 보안에는 제품 혁신에 대한 거의 무한한 수요가 생겨나며, 이것이 바로 지난 5년 동안 사이버 보안이 제게 아주 흥미로운 분야가 되었던 이유입니다. 제가 보기에는 위협 행위자 자신이 가장 대단한 혁신가인 것 같습니다. 위협 행위자를 막기 위한 새로운 도구가 개발될 때마다 공격자들은 이러한 방어 체계를 우회하기 위한 새로운 전술을 빠르게 개발합니다.
여행객을 새로운 목적지로 안내하는 회사의 CISO로 재임하면서 저는 몇몇 혁신적인 기업��과 함께 일할 기회를 가졌습니다. 저는 스타트업의 제품과 제품 전략의 성숙을 돕는 일을 정말 즐기며, 정말이지 멘토 역할을 하는 것도 조직을 보호하는 새로운 방법을 배우는 데 도움이 됩니다.
멘토가 되려고 한 적은 없지만, KAYAK에서 중요한 위치에 있다 보니 사람들이 저에게 조언을 구하는 경우가 많았습니다(아마 이 글이 나간 이후 더 많은 분들이 연락을 주실지도 모르죠!). CISO는 "난 이럴 일을 할 시간이 없어"라는 생각에 사로잡히기 쉽습니다. 사실, 누구에게나 남는 시간이 있는 것은 아니지만, 저는 멘토링이 더 큰 공익에 기여하고 사이버 보안의 지속적인 혁신을 이루는 데 도움이 된다고 믿기 때문에 멘토링에 시간을 할애하고 있습니다.
우리는 모두 스타트업이 사이버 보안 생태계(그리고 전반적인 혁신 생태계)에 아주 중요하다는 것을 알고 있습니다. 스타트업이 성장하면 모든 기업에 도움이 되고 새로운 일자리가 창출되며 경제 성장이 촉진됩니다. 이는 선순환입니다. 기술 서비스 구매자로서 저는 좋은 아이디어를 가진 사이버 보안 스타트업이 번창하고 더 많은 고객을 확보하여 제품 개선에 더 많은 투자를 할 수 있기를 바랍니다. 회사가 재정적으로 더 빨리 자립할 수 있게 되면 제품도 더 빨리 더 개선됩니다. (레거시 기술 기업에서도 항상 그와 같은 절박감을 보이는 것은 아닙니다).
여기에는 개인적인 요소도 있습니다. 저는 열정을 가진 젊은이들, 기업들과 함께 일하며 그들이 성장하는 모습을 지켜보는 것을 좋아합니다. 그건 아이를 키우는 것과 비슷합니다. 저는 참신한 아이디어와 제품 개선 방법을 찾는 데 열정을 쏟고 있기 때문에 하루 중 시간을 할애해서 이러한 회사들을 도울 가치가 있다고 생각했습니다.
실제 멘토링의 모습
대기업도 나쁘지는 않지만, 기회를 잡는 데 따르는 위험은 중소기업에 비해 훨씬 높습니다. 따라서 대기업에서는 혁신하기가 더 어렵습니다. 대기업에서는 새로운 것을 또 찾아내기보다는 현재 가지고 있는 것을 보호하거나, 단순히 차선의 괜찮은 대상을 사서 인수를 통해 확장하는 경향이 있습니다. 중소기업에서는 사람들이 더 많은 위험을 감수할 수 있고 요식적인 복잡한 과정을 덜 거쳐도 되므로 혁신의 기회가 더 많습니다.
하지만 스타트업은 엄청난 과제에 직면해 있습니다. 좋은 아이디어만으로는 부족합니다. 대규모 고객 기반을 위한 시장을 정의하는 것(또는 확립된 시장 범주에 진입하는 것)에는 단일 고객의 단일 문제를 해결하는 것 이상이 포함됩니다. 스타트업은 아이디어를 다음 단계로 발전시키는 데 어려움을 겪는 경우가 많으며, 이때 멘토가 필요합니다.
우리는 대부분 시간이 많지 않으므로 멘토링 방법과 대상에 대한 우선순위를 정해야 합니다. 멘토링 관계를 시작하기 전에 저는 세 가지를 자문해 봅니다.
�멘토링 대상이 제품이 제공하는 혜택이 무엇인지, 시간이 지남에 따라 제품을 어떻게 성장시킬 것인지에 대한 명확한 비전을 가지고 있는가?
멘토링 대상이 그 비전에 열정을 지니고 있는가?
그 회사가 내가 관심을 갖고 흥미를 느끼는 분야의 회사인가?
신생 스타트업이 규모를 확장하고 언젠가 우리 회사에서 사용하는 것을 고려할 수 있는 제품을 만들게 될 기회가 많이 있습니다. 예를 들어, 현재 저는 ID 및 액세스 관리, Zero Trust 네트워킹, 네트워크 마이크로 세분화와 관련된 많은 혁신을 목격하고 있으며, 이러한 분야에 속하는 프로젝트에 개인적으로 관심이 있습니다. 멘토링 덕분에 회사의 운명이 바뀌는 것을 보면 뭔가 특별한 느낌이 듭니다. 그 중 하나의 사례로, 독립 계약자의 신원을 안전하게 온보딩하고 보호하는 방법을 고민하던 보안 회사에 멘토링을 제공한 적이 있습니다. 그 회사의 초기 비전이 제 관심을 끌었고, 아이디어를 공유하면서 대화가 시작되었습니다. 3년 동안 저는 정기적으로 제품 아이디어에 대한 피드백을 제공하면서 계획 수정을 돕고 대안을 찾아내는 데 도움을 주었습니다. 이 회사의 제품은 결국 신원 위협 감지 대응(ITDR)으로 발전했습니다.
모든 단계에서 저는 유용한 정보와 무익한 정보의 비율(아래에서 자세히 설명)을 포함하여 그들이 달�성하고자 하는 목표와 개선해야 할 사항에 대해 자세히 살펴봤습니다. 모든 공을 저에게 돌릴 수는 없지만, 노력의 결실은 있었습니다. 포춘지 선정 100대 기업에서 이 스타트업을 인수했고, 저는 지금도 가끔씩 자문을 제공하고 있습니다.
이러한 모든 상호작용을 통해 저는 조직의 혁신을 추진하는 데 활용할 수 있는 새로운 관점을 얻을 수 있었습니다.
멘토링은 개인별 가용 시간과 멘티의 필요에 따라 다르게 진행됩니다. 어떤 회사에서는 조언이 계속 필요할 수도 있고, 어떤 회사에서는 한두 번만 미팅하고 나면 올바른 방향으로 나아갈 수 있습니다. 스타트업이 아이디어만 가지고 있든, 솔루션의 모형을 가지고 있든, 아니면 본격적인 제품을 가지고 있든, 스타트업의 발전 단계에 따라 많은 것이 달라집니다. 어쨌든 해당 상황이 관련된 모든 사람에게 도움이 되어야 합니다.
제 경험상 스타트업이 어려움을 겪는 분야
똑같은 회사가 없듯이 똑같은 멘토링 경험도 없습니다. 그렇지만 최근 몇 년 동안 사이버 보안 회사에서 집중해야 할 몇 가지 분야를 추천해 보겠습니다.
유용한 정보와 무익한 정보의 높은 비율. 보안 도구의 가장 큰 문제 중 하나는 무익한 정보가 많다는 것입니다. 유용한 정보와 무익한 정보의 비율이 높으면 사용자는 모든 알림에 대한 후속 조치에 인적 자원을 투입하게 되어 알림 피로도가 높아지고 중요한 알림을 놓칠 위험이 있습니다. 알림을 내보낼 수 있다고 해서 반드시 내보내야 하는 것은 아닙니다. 그 알림이 효과적이고 가치가 있는가? 아니면 그 알림 때문에 업무만 더 늘어날까? 알림이 너무 많으면 사람들은 알림을 무시하는 경향이 있으므로 이러한 질문은 필수적입니다. 알림의 양뿐만 아니라 질도 중요합니다. 보내는 필수 정보는 분석하는 데 시간과 노력이 적게 들도록 단순해야 합니다.
구현의 용이성. 많은 기업에서 제품을 구현하는 데 너무 많은 어려움을 겪고 있습니다. 누구나 구현하는 데 15분밖에 걸리지 않는다고 말하지만 결코 그렇지 않습니다. 많은 기업에서 사람이 그래픽 사용자 인터페이스(GUI) 앞에 몇 시간 동안 앉아 제품을 구성하는 실수를 저지르는 것을 봅니다. 이는 특히 규모가 큰 경우 비효율적입니다. 기업에서는 설정은 물론 지속적인 사용을 위해서도 API와 자동화를 이용하는 데 집중해야 합니다.
SOC2 또는 ISO 27001 준수. 저는 규정 준수보다 기술이 더 흥미롭다고 느끼는데, 저 혼자만 그런 건 아닐 겁니다. 그러나 중요한 데이터를 취급하는 클라우드 기반 기업에게는 이러한 표준 중 하나를 준수하는 것이 매우 중요합니다. 이는 기업 클라이언트의 신뢰를 얻을 수 있는 유일한 방법이며, 규정 준수는 초기 단계부터 대화에 포함되어야 합니다.
저는 마케터는 아니지만, 종종 타깃 구매자가 되기도 합니다. 저는 스타트업이 가치 제안을 정의하도록 독려합니다. 그건 큰 도전 과제가 될 수 있지만, 제가 공감할 수 있다면 다른 CISO들도 공감할 수 있게 될 것이라고 믿습니다.
내가 베풀면 그 대가로 무언가를 얻게 됩니다
멘토링은 일방적인 관계가 아닙니다. 물론 제가 가이드를 제공하지만, 그 과정에서 저도 무언가를 얻습니다. 보안에 대한 새로운 관점을 접하면 제가 재직하는 조직의 프로세스를 개선할 잠재적 기회도 생깁니다.
항상 배울 것이 더 있으며, 최고의 아이디어가 새로운 대화에서 나오기도 합니다. 예를 들어, ITDR 회사에서 멘토 역할을 하면서 제 IAM 세션이 제가 생각했던 것과는 다르게 길어진다는 것을 알게 되었고, 이를 수정할 수 있었습니다.
저는 정보 중독자입니다. 저와 같은 주제에 흥미를 느끼는 사람들과 이야기를 나누면서 지적 자극을 받으면 활력이 넘칩니다. 그래서 저는 아침에 일어나 다른 리더들이 앞으로 나아갈 수 있도록 돕는 일을 즐깁니다. 다른 사람의 성공에 일조한다는 자부심도 느낍니다.
창업자들은 자신이 좋아하는 일을 하므로 창조하고 혁신합니�다. 하지만 회사를 운영하는 것은 자전거를 타는 것만큼 간단한 일이 아니며, 많은 스타트업이 여전히 실패합니다. 멘토링은 이러한 기업에 추가적인 추진력을 제공하여 아이디어를 세상에 내놓을 기회를 제공합니다.
이해관계 상충 방지
KAYAK에서는 강력한 규정 준수 및 윤리 프로그램을 운영합니다. 벤더와 협력하면서 해당 제품이 KAYAK에 적합하다고 판단될 경우 이해 상충의 위험이 발생할 수 있습니다. 저는 개인적으로 KAYAK에서 요구하는 대로 공시 명세서를 작성하고, 제품이 우리 회사에 적합한지 여부에 대한 최종 결정을 팀에서 내릴 수 있도록 함으로써 이러한 위험을 완화했습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
작성자
Tom Parker
KAYAK IT 부사장 겸 CISO
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습��니다.
멘토링은 더 큰 공익에 기여하고 사이버 보안의 지속적인 혁신을 촉진하는 데 도움이 됩니다
스타트업에서는 아이디어를 다음 단계로 발전시키는 데 어려움을 겪는 경우가 많은데, 이때 멘토가 필요합니다
멘토링은 멘토가 자신이 속한 조직에서 프로세스를 개선할 기회를 제공합니다