1980년대에 제너럴 모터스(GM)에서는 더 짧은 시간에 결함이 더 적고 연비가 더 높은 자동차를 생산하는 일본 자동차 제조업체와의 치열한 경쟁에 직면해 있었습니다. 이를 해결하기 위해 GM에서는 도요타와 협력하여 일본식 경영 기법과 미국식 노동력을 결합한 합작 제조 공장을 설립했습니다. 경영진은 생산의 비효율성을 초래하는 여러 가지 문제를 해결하기 위해 노력했지만, 특히 직원들이 제시간에 출근하도록 하는 것이 가장 시급하다고 생각했습니다.
GM에서는 협업 이전에는 결근 문제가 심했습니다. 반면, 도요타에서는 제조 라인의 모든 직원이 중요한 역할을 수행하며 초 단위로 타이밍을 맞춥니다. 직원이 늑장을 부리면 전체 라인이 중단됩니다. 그래서 이 합작 회사에서는 각 직원이 정시에 출근하고 정시에 퇴근하지 않으면 급여가 공제되는 간단한 변화를 도입했습니다.
그러나 이러한 변화는 결코 간단하지 않았습니다. 경영진은 느슨한 근무 시작 시간과 단속이나 처벌이 없는 것에 익숙해져 있던 직원들의 행 동이 하루아침에 바뀔 것으로 기대했습니다. 경영진이 이해하지 못했던 것은 만성적인 결근의 이유가 경영진에 대한 깊은 불신에서부터 다른 동료의 압박을 피하기 위한 것까지 다양하고 다면적이었다는 점입니다. GM의 경우, 정책 변경으로 시작한 일이 어느새 조직의 전체 문화를 바꾸려는 운동이 되었습니다.
GM과 도요타의 합작 경험에서 조직이 얻을 수 있는 교훈은 많습니다. 비즈니스의 여러 측면을 개선하거나 변경하려는 조직에서는 사람, 프로세스 , 기술을 평가해야 할 뿐만 아니라 핵심 가치와 직원 행동을 이끄는 문화를 면밀히 살펴봐야 합니다. 이 글의 목적은 문화를 형성하고 궁극적으로 변화시키는 데 있어 리더십이 어떤 역할을 하는지, 그리고 이를 통해 사이버 회복 탄력성을 높이기 위한 조직의 변화 노력에 어떤 교훈을 적용할 수 있는지 살펴보는 것입니다.
경력을 쌓으면서 저는 전통적인 석유 및 가스 대기업부터 급성장하는 기술 스타트업에 이르기까지 리더십이 조직의 역학 관계에 미치는 영향을 연구해 왔습니다. 이러한 인사이트는 일반적으로 리더십이 비즈니스 성과 또는 직원 참여에 미치는 영향을 이해하는 데 유용합니다.
하지만 기업 내 리더십은 옳은 일을 하는 것부터 탐욕에 대한 숭배, 지속가능성의 우선순위, 대량 생산과 소비주의에 이르기까지 조직 내에서 사람들이 행동하는 방식에 광범위하고 뿌리 깊은 영향을 미칩니다.
리더십은 회사의 전략을 실행하는 데 필요한 일련의 가치, 행동, 역학 관계라고 정의할 수 있습니다. 많은 사람들이 리더십을 단순히 경영진에 속한 개인을 지칭하는 것으로 생각하지만, 더 넓게 정의하면 리더십에는 회사의 핵심 가치도 포함됩니다. 기업에서는 종종 리더십의 의미를 리더가 본받기를 기대하는 일련의 역량 및/또는 특성이라고 명확히 표현하는 경우가 많습니다.
기업의 가치는 해당 기업이 속한 업종과 시장에 따라 형성되는 경우가 많습니다. 소매 기업에서는 고객 중심에 가치를 부여합니다. 기술 기업에서는 속도와 혁신을 중시합니다. 기업의 가치관이 명확할 때 리더십은 리더의 영향력을 통해 기업의 내부 문화를 형성하는 수단이 됩니다. 리더는 비전을 전달하고, 솔선수범하며, 회사의 가치를 강화하고, 회사의 미래를 형성 하는 의사 결정을 합니다. Schein*은 "리더는 단순히 문화에 영향을 미치는 것이 아니라 문화의 주요 설계자"라고 말합니다.
그렇다면 조직 문화의 측면에서 이는 무엇을 의미할까요? Schein은 조직 문화를 "한 집단에서 문제를 해결하면서 학습한 사고 패턴을 새로운 구성원에게 해당 문제에 대한 올바른 인식, 사고, 느낌으로 가르치는 것"이라고 정의했습니다. 이러한 사고 패턴은 특정 행동으로 이어지며, 그룹 내 다른 사람들이 그러한 행동을 보이는 것을 볼 때 강화됩니다.
아래 모델은 다른 사람에게 보이는 것(행동)이 그 행동 자체보다 회사에 훨씬 더 깊은 뿌리와 의미를 갖는다는 것을 보여줍니다.
인식하고 생각하는 방식은 궁극적으로 행동하고 반응하는 방식으로 이어집니다. 이렇게 문화가 행동에 영향을 미치고, 그 행동은 제2의 천성이 되어 바꾸기 어렵게 됩니다.
그렇다면 우리는 제너럴 모터스에서의 문화 변경 적용 사례에서 무엇을 배울 수 있을까요?
첫째. 행동의 변화는 행동을 금지하는 것만으로는 일어나지 않는다는 것을 인식해야 합니다. GM의 경우 결근의 행태를 파헤쳐 보면, 그 뿌리가 깊으며, 먼저 이해하고 해결해야 할 필요가 있다는 것을 알 수 있습니다. 그렇게 하지 않으면 결국 개인들이 예전 방식으로 돌아갈 수 있습니다.
둘째. 서로 상충하는 가치가 있는 경우 조정해야 합니다. 기업의 문화가 기업에서 주입하려는 새로운 행동과 어느 정도로 충돌할 수 있는지 살펴보는 것이 도움이 됩니다. 기업의 문화가 속도와 민첩성, 그리고 "허락이 아닌 용서를 구하는" 문화라고 상상해 보세요. 더 많은 규칙, 절차, 관료주의적 행태를 시행하는 것이 이러한 문화와 상충되는 것으로 간주될 수 있을까요?
셋째. 모든 각도에서 변화에 대처해야 합니다. 즉, 기업에서는 사람들이 하는 일뿐만 아니라 생각하는 방식도 바꿔야 합니다. 빙산 모델에 비유하자면 수면 위와 아래를 모두 겨냥하는 이니셔티브를 의미한다고 할 수 있습니다.
수면 위에서, 기업에서는 직원들이 채택하기를 바라는 행동을 명확히 하고 이러한 기대치를 명확하고 자주 전달해야 합니다.
수면 아래에서, 기업에서는 핵심 가치를 정의하고 이를 직원들의 사고방식에 통합해야 하며, 이는 기업의 리더가 된다는 것의 일부이기도 합니다.
많은 기업에서 전자를 수행하지만, 후자를 수행하는 기업은 많지 않습니다.
사이버 보안을 부서에서 문화로 전환해야 한다는 생각이 널리 퍼지고 있습니다.
IBM Security의 위협 인텔리전스 인덱스에 따르면 사이버 보안 유출의 95%는 사람의 실수에서 기인합니다. 사람은 매우 복잡하고 예측하기 어려우므로 인적 요소를 해결하는 것은 프로세스와 기술을 구현하는 것보다 훨씬 더 어렵습니다.
따라서 사이버 복원력을 기업 문화로 구축하려면 사고방식과 행동 모두에 변화가 필요합니다. 다음은 성공적인 문화 변화 이니셔티브의 핵심 원칙을 바탕으로 조직 리더가 사이버 보안을 문화로 강화하는 데 도움이 되는 8가지 아이디어입니다.
조직의 리더는 사이버 보안 문화를 조성하려는 노력에 도움이 되기도 하고 해가 되기도 합니다. 리더가 진지하게 받아들이지 않거나, 메시지를 훼손하거나, 안전하지 않은 행동을 보인다면 여러분의 업무는 끝없이 힘들어집니다. 영향력 있는 리더가 기회가 있을 때마다 사이버 보안에 대해 이야기하면 정책의 효과에 기하급수적으로 영향이 미칠 수 있습니다. 긍정적인 리더를 찾고 그 리더와 긴밀히 협력하여 그가 눈에 띄는 프로촉진자가 될 수 있도록 하세요.
측정할 수 있는 것은 반드시 이루어진다는 말이 있습니다. 사이버 보안과 관련하여 어떤 지표를 조직에서 공개적으로 공유할 수 있는지 고려하고 구체적인 사례와 스토리를 통해 자주 공유하세요.
오래된 사고 패턴을 바꾸려면 새로운 사고 패턴으로 이끌어야 합니다. 교육을 평가할 때는 참가자가 단순히 이러닝을 클릭하는 것이 아니라 복잡한 시나리오를 해결하고 토론과 딜레마를 해결할 수 있는 옵션을 찾아야 합니다. 사람들은 들은 내용은 10%만 기억하지만, 실천한 내용은 90%를 기억한다고 합니다.
리더들이 사이버 사고에 대한 이야기와 사례, 그리고 사이버 사고에 영향을 미친 사람들의 행동을 긍정적이든 부정적이든 공유하도록 장려하세요. 리더는 모든 사건의 최전방에서 결과를 전달하고 다른 사람들에게서 보려고 하는 행동의 롤 모델이 되어야 합니다. 전체 회의나 타운홀 모임을 이러한 이야기를 공유할 수 있는 훌륭한 포럼으로 고려하세요.
부정적인 행동에서 긍정적인 행동으로 프레 임을 전환하세요. 심리학 연구에 따르면 긍정적인 행동 또는 긍정적으로 구성된 행동은 긍정적인 자아 개념과 더 일치하므로 이를 따를 가능성이 훨씬 더 높습니다(예: 부정적 프레이밍: "이렇게 하지 마세요..." 대 긍정적 프레이밍: "이렇게 하세요...")
잠재적인 위협이나 취약점을 보고하는 개인, 특히 보안 부서 외의 부서에서 근무하는 개인을 적극적으로 인정하고 보상하여 사이버 보안은 모두의 책임임을 강조합니다.
온보딩은 일반적으로 연대의식과 소속감을 형성하는 중요한 순간이자 회사 문화를 소개할 수 있는 좋은 기회입니다. 신입 사원에게 입사 첫날부터 사이버 보안 정책과 가이드라인을 소개하면 그 중요성과 예상되는 행동을 즉시 이해할 수 있습니다.
채용 과정에서 사이버 보안 지식과 실무를 평가할 수 있는 방법을 고려하세요. 이미 높은 수준의 위험 인식을 가지고 있는 리더가 조직에 합류하면 팀원에게도 올바른 행동을 강화할 수 있습니다.
Cloudflare에서 근무하는 동안 저는 이러한 원칙이 실제로 조직에 어떤 영향을 미치는지 직접 확인했습니다. 교육을 예로 들어 보겠습니다. 동료들이 연례 보안 인식 교육을 받는 시간을 경영진과 함께 예약하여 경영진 옆에 서 게 했다는 끔찍한 이야기를 들은 적이 있습니다. 하지만 Cloudflare에서는 일반적으로 경영진이 가장 먼저 교육을 이수합니다. 이렇게 작은 것부터 솔선수범하는 것이 정책의 효과를 높이는 데 도움이 됩니다.
변화가 뿌리를 내리려면 시간이 걸립니다. GM과 도요타의 합작 기업에서 초기에 어려움을 겪은 후, 두 회사에서 시행한 많은 문화적 변화가 마침내 안착하여 긍정적인 영향이 미치기 시작했습니다.
이러한 초기 문제에 직면했던 GM의 끈기는 낙담하거나 좌절감을 느끼고 있을 CISO에게 긍정적인 교훈이 될 것입니다. 행동을 바꾸기가 쉽다면 CISO의 업무(그리고 솔직히 제 업무)도 훨씬 쉬워질 것입니다. 사이버 보안의 인적 부분에 관해서는 표면적인 수준보다 더 깊이 들어가서 회사의 핵심이 무엇인지 살펴봐야 합니다.
Cloudflare에서는 사이버 보안을 핵심 가치로 삼고 있으며, 리더와 직원 모두 보안 문화에 참여할 수 있도록 지원하고 장려하고 있습니다. 이미 프로세스와 기술을 갖추고 있을 경우 리더는 인적 측면에 집중하고 사이버 복원력으로 창출된 기회를 활용할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
*Schein, E.H. (2010). 조직 문화와 리더십
Xiaolu Coenen - @xiaolucoenen
Cloudflare 글로벌 리더십 개발 책임자
이 글을 읽고 나면 다음을 이해할 수 있습니다.
사람 측면에 접근하는 조직 변화 관리 방법
변화를 이루기 위해 사고방식과 행동을 전환하는 리더십의 역할
사이버 복원력 문화를 강화하는 8가지 아이디어