CIO / 보안

CISO가 알아야 할 10가지 필수 협상 전략

Mary K. Pratt | CSO 2020.07.02
최고정보보호책임자(CISO)는 공급업체 계약서 작성, 최고 경영진과의 전략 개발, 또는 새로운 직원과의 업무 요구사항 작성 등 협상해야 할 일이 끊임없다. 
 
ⓒ Getty Images Bank

IT 업체 로그미인(LogMeIn) CISO 제럴드 뷰첼트는 본인이 하는 거의 모든 일에 협상이 수반되며, 단순히 계약을 하는 것 이상이라고 한다. 

그러나 뷰첼트를 비롯해 다른 보안 책임자와 협상 전문가도 “많은 경영진이 여전히 협상의 기술이 부족하며, 종종 외교 대신 논쟁을 통해 불필요한 요구사항을 무리하게 통과시키면서 정작 핵심 사항은 놓치고 있다”라고 지적했다. 

뷰첼트는 “CISO는 협상 방식을 재구성해야 한다. 더 나은 협상가가 되고 싶다면 승자가 독식하는 줄다리기가 아닌 거래의 일종으로 간주해야 한다”라고 조언했다. 

협상 컨설팅 업체 스콧워크 노스아메리카(Scotwork North America) CEO이자 협상 전문가인 브라이언 벅은 “협상은 관련된 모든 당사자에게 가치있는 거래를 찾아내는 것이다. 덜 중요한 것을 양보하고 더 중요한 것을 얻는 거래다”라고 설명했다. 

벅을 포함해 전문가들이 공유한 10가지 협상 전략은 다음과 같다.  


논쟁이 아니라 협상임을 인정하라

타이로 시큐리티(Tiro Security)와 다수 기업의 CISO 예나이 마린코비치는 “많은 기업이 협상이 필요한 상황에 있다는 사실을 깨닫지 못한다. 대신, 많은 CISO는 본인이 논쟁하고 있다고 생각한다. 그렇게 되면 정작 필요한 것을 얻을 기회를 잃은 셈이다. 논쟁을 통해 생각을 교환할 수 있지만, 상대방에게 본인의 관점을 설득하는 것 외에는 아무런 조치가 없기 때문이다. 논쟁을 할 때는 본인의 판단이 옳다고 생각한다”라고 지적했다

마린코비치는 "이런 사고방식의 발생 가능성에 대응하기 위해, 상황에 대한 인식을 유지하고 실제로 협상에 돌입할 때를 깨닫기 위해 노력한다. 우리는 협상에서 무언가를 성취하려 노력한다. 상대방에게 무엇을 지불하든 원하는 특정 행동을 취하도록 만드는 것이다. 하지만 논쟁을 통해서는 이룰 수 없는 목표다”라고 설명했다. 


신뢰를 쌓아라

카네기 멜론 대학(Carnegie Mellon University) 하인즈 칼리지(Heinz College)의 정보 시스템 및 공공 정책의 부교수이자 오바마 행정부의 첫 연방정부 CISO를 역임한 그레고리 제이 투힐은 다른 CISO에게 “모든 협상에서 솔직하고 정직하며 투명하게 임해야 한다. 이런 특성은 신뢰를 쌓아 모든 관련자를 위한 최고의 시나리오로 협상을 진행하는데 도움이 된다”라고 조언했다. 

투힐은 “신뢰를 쌓는 것은 지속적인 관계 구축에 결정적인 역할을 한다. 이 전략은 특히 위기 상황에서 빛을 발한다”라고 덧붙였다. CISO가 재정 문제에 부딪혔을 때 계약 조건과 수수료를 재협상해야 하는 경우에도, 당면한 다른 난제를 모든 관계자에게 솔직하게 밝힘으로써 신뢰를 쌓아왔다면 성공적으로 해결할 수 있다. 


달성하려는 목표가 명확해야 한다

협상에서 원하는 것과 성취하려는 목표를 명확히 하는 ‘비전’이 필요하다. 마린코비치는 “비전을 통해 토론 중에 필요한 대상을 공략하고, 본인과 모든 관련자에게 성공이 무엇인지를 정의할 수 있다. 언제든 협상의 기회가 생기면 이 단계를 신속하게 수행할 수 있다”라고 설명했다. 

CISO는 목표를 정하고, 이를 달성하기 위해 거래할 수 있는 것을 명확히 해야 하며, 이런 결정을 내릴 때 위험 대비 가치를 평가해야 한다. 또한 좋은 협상가는 결과에 관심이 있는 이해 당사자가 누구인지, 이 가운데 누가 토론에 참여해야 하며, 모든 사람의 의견이 일치하도록 하기 위해 그들이 협상에서 필요한 것이 무엇인지를 찾아야 한다. 

목표가 무엇인지, 이를 달성하기 위해 거래할 수 있는 것은 무엇인지를 정확히 모르는 협상가는 실효성있는 계약을 만들어내지 못할 가능성이 높다. 투힐은 “목적과 의제, 원하는 결과를 제대로 파악하지 못하면 불리한 상황에 처해 기대하지도, 원하지도 않은 결과를 얻을 수 있다”라고 강조했다.


상대방의 요구를 파악한다

클라우드 보안 업체 앨티튜드 네트웍스(Altitude Networks) CEO이자 공동 창립자인 마이클 코츠는 “사람들은 종종 상대방이 가장 원하는 것을 안다고 믿고 협상을 시작한다. 그러나 이런 추정은 너무 한정적 이거나 완전히 잘못된 것이다”라고 지적했다. 

트위터의 전 CISO였던 코츠는 “상대편의 인센티브와 동기를 이해해야 한다”라고 말했다. 예를 들어, 보안 부서는 공급업체가 가능한 높은 가격을 부를 것이라 가정하는 경우가 많다. 하지만 실상은 연간 가격을 낮추더라도 계약 기간을 늘리거나, CISO가 추천서를 써주거나, 고객사 명과 로고를 홍보자료로 사용하기를 원하는 공급업체도 있다. 

코츠는 "대부분의 사람은 교환할 가능성이 있는 가치의 항목을 제대로 파악하지 못한다. 기업이 관심을 갖는 것은 계약에 드는 비용뿐이라고 추정한다”라고 말했다. 목적을 달성하려면 CISO는 상대편이 무엇을 중요하게 여기는지 미리 조사한 후 협상 과정에서 단도직입적으로 물어봐야 한다. 


준비가 필요하다

효과적인 협상을 위해서는 철저한 준비가 필요하다. CISO는 자신의 목표를 알아야 할뿐만 아니라 협상의 일부로 양보해야 할 것은 무엇인지, 다가올 논쟁에 어떻게 접근할 것인지 숙고해야 한다. 

투힐은 본인과 팀이 의제를 설정하고, 대화 요지를 도출하고, 상대방의 요지를 추론하고, 실제 협상에 앞서 토론을 리허설했다고 말했다. 투힐은 “문장을 한 줄씩 정해둔 대본이 아니라, 전달하고자 하는 메시지를 알고 있으면 된다. 어떤 것이 중요한지, 무엇을 기꺼이 포기할 수 있는지, 협상할 수 있는 부분은 무엇인지를 잘 알고 있었다”라고 덧붙였다. 


추정은 제쳐두고, 듣는 법을 배워라 

뷰첼트는 “좋은 협상가는 상대방이 어떤 요청, 아이디어, 해결책을 찾고 있는지 이해하기 위해 선입견과 검증되지 않은 추정을 제쳐 놓는 법을 배운다. 또한 협상이 진행되면서 합의의 기회를 결정할 수 있도록 경청하는 법을 배운다”라고 말했다. 

자기 자신을 내려놓고 새로운 아이디어에 대해 매우 개방적으로 받아들일 준비를 해야한다. 이는 모두에게 힘든 일이다. 사람은 자신의 방식에 익숙하므로 변화를 요구받는 것은 쉽지 않기 때문이다. 그러나 근력을 키우듯 연습하고 깨어있어야 한다. 

협상 전문가인 벅에 따르면, 이런 노력이 성과를 거둔다. 구체적으로 벅은 한 CISO가 이메일 보관 기한을 제한하는 이메일 보존 정책을 시행했던 경우를 들었다. 기업의 재무부서는 이에 반대했다. CISO는 재무부서의 반대 이유를 자세히 조사하면서, 재무부서가 이메일을 실제로 기록 보존 솔루션으로 사용했다는 사실을 알게 됐다. CISO는 이런 사정을 이해한 후, 자신의 보안 요구사항을 충족하는 실질적인 기록 보존 솔루션을 제안할 수 있었고, 재무부서도 이메일 저장 한도에 동의할 수 있었다. 

벅은 “CISO가 상대방의 우선순위를 이해했기 때문에, 그들의 전폭적인 지지 하에 협상할 수 있었다”라고 정리했다. 


본인의 논리에 맞서 거래하라

벅은 “다른 많은 기술 전문가와 마찬가지로, CISO도 다른 상대방이 자신과 같은 방식으로 사고하고 같은 논리를 공유해야 한다는 생각에 사로잡힐 수 있다. 그렇게 되면 협상은 교착 상태에 빠진다. CISO는 자신의 논리를 극복해야 한다. 끝없이 토론할 필요가 없다”라고 경고했다. 

CISO는 상대방의 생각을 바꾸려고 하는 대신 '만약 이렇게 한다면 저런 결과를 낳는다'라는 접근 방식을 취해, 자신의 논리에 맞서 거래해야 한다. 

벅은 한 사업부서의 책임자가 검증되지 않은 플랫폼을 사용하려 하는 경우를 예로 들었다. CISO는 보안 위험에 대한 논리를 설명하겠지만, 그럼에도 부서장의 생각은 바뀌지 않을 것이다. 따라서 CISO는 양측의 이해관계를 적절히 다룸으로써 협상해야 한다. CISO는 플랫폼이 구축된다면, 보안이 입증된 것으로 기능을 제한해야 한다고 대응할 수 있다. 

즉, CISO가 수용할 수 있는 조건하에 상대방에게 양보해야 한다는 의미다. 벅은 이런 접근법이 모든 보안 관련 문제에서 통하지는 않지만, 대부분 효과가 있을 것이라고 인정한다. 

벅은 “무언가가 안보 수행에 절대적으로 필요하고, 대체할 수 있는 방법이 없다면, 그것은 ‘절대적’이다. 그러나 이런 경우는 흔치 않다. ‘절대적’인 협상 불가는 예상만큼 존재하지 않는다”라고 덧붙였다. 


다양한 가능성의 시나리오를 대비하라

벤처캐피털 기업 벤록(Venrock)의 부사장이자 전 시스코 보안 및 협업 비즈니스 기업 전략 책임자인 토드 그레이엄은 “숙련된 협상가는 현재 및 예상되는 요구사항에서 시작하지만, 이런 요구에 영향을 미칠 수 있는 다양한 잠재적 시나리오도 고려한다”라고 설명했다. 

CISO는 공급업체가 인수되거나 폐업할 경우 어떤 일이 발생하는지 고려해야 한다. 협상할 때 ‘발생 가능한 시나리오를 모두 다뤄야 한다. 또한 실제로 CISO는 업무 시간의 대부분을 ‘만일 이렇다면?’을 묻는데 할애할 것이다. 가능한 모든 결과와, 결과의 발생 확률을 고려했다면, 그 결과를 위해 협상에 임할 수 있다. 

그레이엄은 예를 들어 “대부분의 CISO는 새로 취직할 때 일반적으로 퇴직금 및 기타 혜택을 명시하면서 출구를 협상한다. 그러나 데이터 유출과 같이 발생 가능한 특정 시나리오가 자신의 역할에 얼마나 영향을 미칠지를 고려해야 한다. 만일의 경우 직을 유지할지도 고려해야 한다. 잠재적인 상황에 대해 협상할 수 있어야 하기 때문이다”라고 말했다. 


감정에 동요되지 않도록 확인하라

감정을 점검해야 할 필요는 말할 것도 없지만, 베테랑 협상가는 일부 동료가 여전히 협상 중에 감정이 이성적인 사고를 앞서는 경우가 있다고 말한다. 

마린코비치는 다른 동료가 토론이 난항을 겪자 화를 내거나 협박하는 것을 보았으며, 이는 의사소통의 실패와 긴장된 관계로 이어졌다고 토로했다. 반대로, 토론에 지나치게 자신이 있고 열성적이지만 필요한 만큼 냉철하게 생각하지 않는 경우도 있다. 

이 경우, 상대방이 협상을 유리하기 만들기 위해 감정적인 허점을 노릴 수 있다. 마린코비치는 “협상가가 상대방의 감정적인 대응을 이용하기 위해 데이터 침해와 개인적인 문제 같은 과거 직장 문제를 제기하는 경우도 있다. 실제로, 보안업체의 영업 팀이 엔터프라이즈 보안 책임자와의 협상 중에, 이런 위협 전술을 성공적으로 활용해 나중에 100만 달러의 실수로 밝혀진 불필요한 기술을 제공하는 계약을 따낸 사례가 있다”라고 말했다.

마찬가지로, 협상가가 상대방과의 공통의 관심사나 같은 모교 출신 등의 가능한 연결고리를 찾아 친밀함을 쌓다가 되려 이용당하는 경우도 있다. 모두가 협상 중에 상대방의 감정을 악용하지는 않지만, 자신의 팀을 위해 좋은 협상을 할 수 있도록 침착하게 평정을 유지하고 최종 목표에 중점을 두는 것이 좋다. 

마린코비치는 “우리는 감정을 관리해야 한다. 통제력을 잃는 경우, 감정을 재정비해 ‘진행중인 토론’이 목표에 일치하는지 질문해야 한다”고 강조했다. 


이기는 것이 목표가 아니다

노련한 협상가에 따르면, 좋은 협상의 목적은 상대방을 이기는 것이 아니라 양측이 최선을 다해 기꺼이 이행하겠다는 협정을 개발하는 것이다. 

마린코비치는 “누가 승자인지의 관점으로 협상을 보면 안된다. 협상 후에는 모든 관계자가 행복하게 회의실을 떠나야 한다. 인상적인 협상가인 이전 상사로부터 중요한 교훈을 배웠다. ‘관계’는 경영진이 가진 가장 중요한 자질 중 하나라는 것이다. 협상할 때는 상대방과의 관계를 잘 관리해야 한다. 섣불리 덤벼들어 ‘내가 이겼다’거나, 지나치게 흥정하거나, 모든 당사자가 성공적인 결과를 손에 쥐고 떠나지 못한다면, 협상은 성공할 수 없다”라고 조언했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.