편향을 저격하는 ‘레드팀(Red Team)’ 편향을 저격하는 ‘레드팀(Red Team)’

김은정 | 2016-01-05 |

레드팀은 기업이 처할 수 있는 다양한 상황을 시뮬레이션을 통해 객관적으로 미리 예측하고, 취약점을 발견하여 전략을 되짚어보고, 대체 분석을 통해 의사결정자에게 새로운 통찰력을 제공하는 역할을 한다. 기업들의 의사결정은 ‘조직 편향’에 좌우되기 쉽다. 레드팀은 조직 내 편향을 거스르며 새로운 시각에서 대안을 제시한다.

 

불과 1년 전만 해도 ‘정직한 연비 1위’라는 이름으로 소비자들의 신뢰를 얻었던 폭스바겐이 배기가스 제어장치를 이용해 배출가스량을 부정 조작하여 소비자들의 신뢰를 한 순간에 잃었다. 폭스바겐의 신용등급은 하락했고, 2015년 고점 대비 시가총액은 약 80조원이 증발했으며, CEO인 마틴 빈터콘(Martin Winterkorn)은 결국 사퇴했다. 또한 미국에서만 최대 180억 달러(21조원)의 벌금이 부과 되었고, 전세계 소비자들의 소송도 이어질 전망이다. 전문가들은 폭스바겐이 폐쇄적인 의사결정 구조를 갖고 있다고 말한다. 이미 2011년에도, 일부 엔지니어들이 배기가스 조작 행위의 불법 행위에 대해 보고하였음에도 반영되지 않았고, 유럽 연합(EU)의 경고 조차도 무시되었던 적이 있다.

 

2015년 12월 GM은 자사 자동차 점화장치 불량으로 숨지거나 다친 399명의 피해자에게 약 7천억원의 배상금을 지불하기로 했다고 발표했다. 사실 GM은 보상과 벌금을 합쳐 이미 약 2조 가까이의 돈을 썼다. GM의 내부 직원들의 인터뷰에 따르면 안전 문제를 거론하는 것 자체를 상부에서 꺼려하는 조직 분위기였다고 한다.

 

기업의 덫, 조직 편향

 

기업들의 의사결정 이면에는 ‘조직 편향’이 스며들어 있다. 이는 비단 폭스바겐과 GM 두 기업만의 문제가 아니다. 모든 조직이 공통적으로 갖고 있는 문제이다.

 

조직 편향은 개인적 편향과 집단적 편향으로 분류할 수 있다. 개인적 편향에는 평가 대상의 부분적 특성에 주목하여 그 대상의 전반적 평가에 영향을 주는 후광효과(halo effect), 자신의 사고의 틀에서 벗어나기 보다 오히려 자신의 생각을 더 뒷받침 해주는 말 또는 증거만 확인하려는 ‘확증편향(confirmation bias)’, 초기 정보에 사고가 얽매여 그 사고의 틀에서 벗어나지 못하는 ‘앵커링(anchoring)’ 등이 있다. 한편, 집단적 편향이란 집단과 상호 작용하면서 개인의 사고와 행동에 미치는 편향이다. 가장 대표적인 것으로, 응집력이 강한 집단의 구성원들이 의사결정을 내릴 때 조직 구성원들의 갈등을 최소화하며, 만장일치를 이루려는 ‘집단사고(groupthink)’가 있다.

 

개인적 편향과 집단적 편향은 기업 내 회의실에서 ‘심리적 덫’으로 동시 작용하여, 회의 중 자신의 의사가 다르게 받아들여지기도 하고, 의도치 않는 방향대로 흘러가기도 한다. 대표적으로, 리더의 첫 한 마디에 조직 구성원들 의견이 리더의 의견으로 동시에 모아지는 폭포효과(cascade effect) 때문에, 조직 구성원들이 리더와 다른 의견이 있더라도 말하지 못하는 자기 검열 현상에 이르는 경우는 흔하다.

 

기업에서는 지금까지 이러한 편향을 해소하고자, 델파이 기법(Delphi Technique)이나, 예측 시장(Prediction Market) 기법을 활용 하기도 한다. 구글(Google)에서는 개인평가의 등급 보정 시 발생할 수 있는 편향에 대한 일람표를 제공함으로써, 최대한 의사결정에 편향이 개입되는 것을 예방하려고 한다. 왜냐하면 자신이 현재 특정 편향에 사로잡혀 있다는 것을 인식하게 되면, 어느 정도 그 편향을 누그러뜨리게 하려는 경향이 있기 때문이다.

 

하버드 로스쿨 교수이자 오바마 행정부에서 규제정보국 국장을 역임하고 대통령 직속기관인 정보통신기술 검토그룹(Review Group on Intelligence and Communications Technology)에 몸담았던 캐스 선스타인(Cass Sunstein) 교수는 조직 편향으로 그룹 의사결정에 미치는 부정적 문제들을 감소시키는 방안으로 회의의 초반부에 리더의 자발적 침묵, 역할 지정, 그리고 레드팀(Red Team) 도입이 중요함을 언급했고, 이는 조직 문제의 60%를 감소시킬 수 있다고 주장한다.

 

여기서 우리에겐 아직 익숙하지 않는 기법인 레드팀(Red Team)이 소개된다. 레드팀은 해외에서의 그 중요성에 비해 아직 우리나라에는 잘 알려지지 않은 기법이다.

 

레드팀(Red Team)이란?

 

레드팀이란, 미군이 모의 군사훈련 때 아군을 블루팀, 적군을 레드팀으로 이름 붙여온 데서 비롯되었다. 이는 조직 내부의 전략 수립에 개입되지 않은 독립적인 팀이 경쟁자들처럼 생각하고 시뮬레이션하여 기존에 세워진 가설을 검증하고, 취약점을 살피고, 나아가 대체 방안을 분석하는 과정을 거쳐 복잡하게 얽힌 문제에 대해 새로운 시각으로 해결책을 제시하는 팀이다.

 

레드팀은 악마의 대변인(Devil’s Advocate)에 그 뿌리를 두고 있다. 레드팀은 냉전시기(Cold War)를 거치며 집단사고(groupthink)와 위계질서가 강한 군대에서 개념이 정립 되었고, 처음으로 한 칼럼니스트에 의해 출판물에서 언급된 것은 1963년이었으며, 2000년대에 들어와서 의사결정 기법으로 표준화 되었다. 현재 레드팀은 악마의 대변인보다 효과적인 방법으로 간주되고 있으며, 군대의 합동 작전뿐만 아니라, 기업과 정부 등 다양한 영역에서 활용되고 있다.

 

레드팀의 기능

 

미국 드라마 ‘뉴스룸(The Newsroom)’에서 레드팀 조직이 등장할 정도로 레드팀은 미국인들에게 친숙하고 중요하게 여겨진다. 이곳에서 등장하는 레드팀은 일종의 특별팀으로 기존 취재팀이 담당한 뉴스의 타당성과 사실 여부 등을 공격하고, 취재팀은 레드팀의 공격에 대응하는 과정을 통해 뉴스 내용의 취약점을 발견하고 철저하게 대체 분석하여 검증한다. 이러한 레드팀의 구체적인 기능은 크게 세 가지로 분류된다. 그것은 시뮬레이션(Simulations), 취약점 발견(Vulnerability probes), 대체 분석(Alternative analysis)이다.

 

① 시뮬레이션(Simulations)을 통한 ‘미리 예측’

 

‘미리 예측’한다는 것은 계획을 세우기 이전에 상대방의 입장에서 선택 가능한 모든 경우의 수를 고려하여 시나리오를 구성하고 각 시나리오에 부응하는 해결책을 제시해 나가는 것이다.

 

축구 경기를 앞두고 다음 경기에서 붙을 상대팀과 비슷한 경기 스타일을 가진 팀과 연습 시합을 해보는 것은 실제 경기에서 맞닥뜨릴 미처 예상하지 못한 다양한 상황을 경험해 볼 수 있도록 한다. 미국 대형 로펌에서 레드팀과 변론을 겨루는 사전 재판을 여는 것도 마찬가지다. 중요한 사건이 있는 경우 실제 재판을 하기에 앞서 사전 재판의 시뮬레이션을 열고, 모의 배심원들 앞에서 본래 팀과 레드팀이 변론하면서 실제 법정에서 평결이 어떻게 내려질 지 객관적으로 평가해볼 수 있다. 기업과 정부에서도 기존 전략에 따른 의사결정을 내리기에 앞서, 기존 전략에 개입되지 않은 레드팀을 구성하고, 예측하지 못했던 다양한 주요 변수들을 면밀히 검토하여 올바른 의사결정을 내릴 수 있다.

 

2001년 9월 11일 911테러 공격을 받은 바로 다음 날인 9월 12일, 당시 CIA 국장이었던 조지 테닛(George Tenet) 국장은 테러범의 방어막을 뚫는 공격 방법을 테러범의 입장에서 모색하는 팀을 도입했다. 태닛 국장은 직접 이를 ‘레드 셀(Red Cell)’이라고 이름 붙였다. 즉, 기존 CIA 조직의 전통적 사고의 틀을 깨는[Think-out-of-box] 조직을 구성한 것이다. 레드셀 요원들은 ‘오사마가 미국 경제를 어떻게 침몰시키려 할 것인가[How Usama might try to sink the US economy]’, ‘오사마 동굴에서의 관점[The view from Usama’s cave]’등의 보고서처럼 오사마 빈 라덴의 입장이 되어 분석한 보고서들을 만들었다.

 

레드셀은 2011년에 빈 라덴의 거처를 발견하는 작전에도 큰 기여를 했다. 당시 CIA는 오사마 빈 라덴의 거처를 습격하기 전까지 레드셀과 함께 철저한 시뮬레이션을 통해 작전을 다시 점검하고 기존 분석가들의 예측에 오류가 생겼을 때를 대비해, 서로 다른 레드셀을 구성하여 가상으로 공격을 실시했다고 한다. 미 네이비 실(Navy Seal) 팀은 모든 전략의 단계 별 가정을 레드셀과 함께 시뮬레이션으로 검증했다. 예를 들어, 요원들의 이동수단인 헬리콥터가 오사마 빈 라덴의 거처에 실수로 잘못 충돌 했을 경우라도 지체 없이 전략을 진행해 나갈 수 있을 정도였다고 한다.

 

② 취약점 발견(Vulnerability probes)을 통한 ‘되짚어보기’

 

● 전략의 취약점

 

되짚어보기란, 완벽해 보일 수 있는 기존 전략이 공격자 혹은 경쟁사 입장에서도 철저한지 그 취약한 부분을 공격하면서 검증해보는 과정이다. 레드팀은 적군 내지 경쟁사의 관점에서 기존 전략의 약점을 찾아내어 공격하는 역할을 수행한다. 이는 스스로 문제점을 찾아내는 데 도움이 된다.

 

IBM은 레드팀과 기존 전략팀인 블루팀 간의 경쟁을 통해 전략의 완성도를 높인다. IBM의 레드팀은 단지 경쟁사 입장이 아니라 기존팀에 대항하는 공격자의 입장에서 전략을 검증한다. 이는 IBM의 논쟁 시스템이라고도 불린다. 레드팀의 미션은 블루팀이 어떻게 생각할지를 미리 생각하고, 블루팀을 충격에 빠뜨릴만한 것을 가져오는 것이다. 그러면 블루팀은 레드팀의 공격을 무산시킬 대응 방안을 만든다. 그 후, 다시 레드팀에게 블루팀의 결과물을 예상하게 한 후, 그 이상의 의견을 내라고 한다. 이러한 과정이 반복되다 보면, 블루팀과 레드팀의 의견이 종합된 결과물, 즉 기존 전략에 경쟁자의 대응과 그에 대한 역대응 방안까지 고려된 새로운 전략이 만들어 진다. 이런 점에서 레드팀은 경쟁자에 대해 매우 높은 이해를 필요로 한다.

 

Powerful Proposals의 저자인 데이빗 푸(David Pugh)는 다음과 같이 설명한다. “레드팀으로 선발하는 사람들은 경쟁사와 그 분야에 대해 ‘매우 매우(very, very well)’ 잘 알아야 한다. 사실, 만일 당신이 경쟁사 조직에서 누군가를 최근에 고용했으면, 그들은 완벽한 레드팀을 만들어 낼 것이다. 당신 회사에 고용된 지 얼마 안된 그들의 지위가 아무리 낮더라도, 그들이 그동안 쌓아온 경쟁사에 대한 지식에 비하면 그 낮은 지위는 레드팀의 구성원으로서 전혀 상관없는 것이다.”

 

● 보안의 취약점

 

보안과 관련한 취약점을 밝혀내는 레드팀은 화이트 해커로서의 역할 뿐만 아니라 다양한 보안 시스템에도 결정적인 영향을 끼친다.

 

미국 대형 온라인 쇼핑몰인 이베이(eBay)도 레드팀을 통해 많은 사이버 범죄를 극복해왔다. 이베이의 전 최고 보안 책임자인 데이브 쿨리아니(Dave Cullinane)는 사이버 범죄를 해소하기 위해 레드팀을 도입했다. 이베이는 레드팀-블루팀 킥오프 미팅 때 적합한 인재를 배치하여, 팀을 둘로 나누고 공격과 방어에 대한 모든 가능한 경우의 시나리오를 토론한다. 이때 레드팀은 보안과 관련해 외부자처럼 생각해야 하기 때문에 정직하면서도 배경이 다양한 사람들로 구성된다. 또한 이들은 회사의 주류를 무시할 수 있는 사람이어야 한다. 나아가 시스템 상에서만 레드팀 방식을 적용하는 것이 아니라, 직원들의 일반적인 행동에서도 취약점을 발견하기 위해 레드팀 방식을 적용한다. 예를 들어, 레드팀 시행이라고 공지하지 않고, 일부러 USB를 사무실 내에 둔다. 그리고 누가 그것을 가져가고 자신의 컴퓨터에 꽂는지를 본다. 혹은 스팸 이메일을 직원들에게 보내고, 그 미끼에 누가 걸려드는지도 확인한다.

 

2015년 6월 미국 공항 보안 검색대의 취약점이 속속히 드러났다. 10개의 공항을 대상으로 한 레드팀의 가상 공격으로 공항 보안 검색대의 95%가 레드팀의 공격을 막아내는 데 실패했다. 가짜 폭발물 등을 소지한 레드팀 비밀 요원들이 일반 승객인 것처럼 가장해 공항 보안 검색대를 지나갔지만 70번 가운데 3번을 제외하고는 모두 무사히 통과 되었다. 이 중 한 비밀 요원은 검색대에서 경보가 울려서 현장에서 몸수색과 더불어 정밀 검색까지 받았지만, 옷 속의 등 뒤로 테이프로 부착하여 감춰둔 가짜 폭발물을 들키지 않고 통과하였다.

 

그 외에도, 구글(Google), IBM, 마이크로소프트(Microsoft), 인텔(Intel)과 같이 정보가 핵심 자산인 기업들은 레드팀을 운영하고 있고, 최고의 해커 전문가들을 고용한다. 이들은 기업 내부에서 화이트 해커로서 활동하여 실제처럼 공격하고, 보안의 취약점을 발견하여 보고한다. 이처럼 보안과 관련한 레드팀 기법은 이미 보편적으로 사용되고 있고 기업 내부에서 특별히 중요시 여겨진다.

 

보안 컨설팅 전문 기업인 파이어아이 맨디언트(FireEye Mandiant) 임원들은 레드팀에 의한 모의해킹 혹은 침투 테스트(Pentest)의 중요성을 강조한다. 맨디언트 보고서에 따르면, 기업 내 보안 침해를 당했다는 사실을 스스로 파악하게 된 경우는 31%이고, 나머지 69%는 외부 기관을 통해 자사 보안이 침해 당했다는 것을 알게 된다. 자사 네트워크에서 침해사실을 알게 되기까지 2014년 기준 평균 205일이 걸리고 심하게는 2,982일이 넘어도 모르는 경우도 있다. 맨디언트의 수석 연구원에 따르면, 기업 내부에서 주요 자산을 파악한 후, 레드팀이 해당 자산을 대상으로 침투 테스트를 시도해봐야 비로소 핵심 자산 보호에 대응할 수 있다고 설명한다.

 

이를 위해 기업 내부에 공격성이 강한 화이트 해커들을 정직원으로 채용하여 팀을 구성해 자사의 취약점을 발견하고 보안팀과 결과를 공유해서 보안을 되짚어보고 튼튼히 하는 것이 중요하다. 보안과 관련한 레드팀 구성원은 최신 공격 기법에 대해 전문가이면서도, 현존하는 실제 공격자들이 어떠한 시나리오로 보안 탐지를 피하며 시스템에 침투하는지 등 실제 공격자에 대한 이해도가 높아야 한다.

 

③ 대체 분석(Alternative analysis)을 통한 ‘새로운 통찰력’

 

새로운 통찰력을 얻기 위한 대체 분석이란, 조직 내 관습적이고 주류적인 관점에서 벗어난 시각을 통해, 기존에 세워진 가설을 분석하여 조직 전략에 새로운 관점을 제시하는 것이다. 이는 레드팀의 핵심임과 동시에 시뮬레이션과 취약점 발견 과정의 전제 조건이기도 하다.

 

미국외교협회(Council on Foreign Relations)의 시니어 펠로우이자 레드팀 전문가인 마이카 젠코(Micah Zenko) 연구원은 레드팀에 의한 대체 분석의 목적은, 구조화된 분석과 기존 전략에 단 한번도 개입되지 않았던 그리고 기존 팀과는 전혀 다른 성질의 팀을 도입시킴으로써, 인간과 조직 본성에 따르는 편향들을 감소시키는 것이고 나아가 기존에 세워진 가설들에 도전하고 새로운 시각에서의 대안 방안을 제시하는 것이라고 언급한다. 때문에 레드팀은 기존과는 다르고 경쟁사나 적군의 문화에 익숙하거나 그들을 잘 이해하고 있는 전문 조직원들로 구성되며, 문제를 해결해 나가는 과정 또한 기존과는 전혀 다른 방식을 취한다.


2007년 4월, 이스라엘은 시리아 동부 사막에 있는 협곡인 알키바르(Al Kibar) 아래에 공사중인 시설에 대한 정보를 미국에 알려 놀라게 했다. 이스라엘 당국은 당시 건설되고 있는 시설은 북한 영변에 있는 흑연감속로와 유사한 원자로로서 핵무기용이라고 주장하며, 그 근거로서 2003년 이전에 찍힌 여러 개의 사진들을 제시했다. 이스라엘이 제시한 증거들을 통해 그 건물이 북한 영변 핵 시설과 유사한 시설이라는 것을 정황상으로 유추해볼 수 있었다. 이스라엘 정부는 이를 근거로 미국이 해당 시설을 폭격해줄 것을 요청했고, 이에 조지 부시(George W. Bush) 대통령은 CIA에게 레드팀 기법을 도입하여 면밀히 확인할 것을 당부했다.


대체 분석을 위해, 레드팀 자체를 두 개로 나누어 하나의 레드팀인 예스 레드팀(Yes Red Team)에게는 ‘해당 사진이 핵 시설이 맞다’라고 알려주어 핵 시설이 실제로 맞는 지를 증명하도록 지시했고, 다른 레드팀인 노 레드팀(No Red Team) 쪽에게는 ‘해당 사진이 핵 시설이 아니었다’고 알려주며, 해당 사진에서 보이는 시설이 무엇인지를 새롭게 알아내라고 했다.

 

당시 CIA국장은 양 팀에게 시설이 찍힌 사진만 제공했을 뿐 편향이 개입되지 않도록 시설이 현재 어디에 위치해 있는지 등의 자세한 사항을 전혀 알려주지 않았다. 예스 레드팀 구성원들은 핵무기 프로그램을 감시하는 전문 요원들로 이루어졌고, 며칠 만에 ‘그것은 북한의 핵 시설입니다(That’s a North Korean reactor)’라는 결론을 내렸다.

 

한편, 노 레드팀 구성원들은 CIA의 무기정보, 핵 비확산, 군축 담당(WINPAC)의 전문 요원들로 이루어졌다. CIA국장은 노 레드팀에게 ‘내게 해당 사진이 무언가 다른 것임을 증명해라(Prove to me that it is something else)’라고 지시했다. 몇 주가 흘러, 해당 시설이 화학무기 창고, 미사일이나 로켓 프로그램 시설, 심지어 무기와 관련 없는 시리아 대통령인 바사르 알아사드(Bashar al-Assad)의 은신처이지 않을까라는 등의 가능성이 제기 되었다. 그들은 또한 알아사드 대통령이, 비록 핵 시설은 아니지만 무언가의 이유로 그 시설이 타국에 의해 폭파되기를 원했기 때문에, 핵 시설과 동일하게 생긴 시설을 일부러 건설하라고 지시했던 게 아닐까라는 추측까지도 했다. 최종적으로 노 레드팀은 ‘이것이 핵 시설이 아니라면, 무언가의 목적으로 만들어진, 핵 시설로 보이게 만든 가짜 핵 시설’이라고 결론을 내렸다.

 

CIA 국장과 고위관계자들은 서로 반대 방향으로 분석하도록 한 양 쪽 레드팀의 결과를 살펴보고 해당 시설이 핵 시설이라는 높은 확신을 갖게 되었다. 모든 회의에 다 참석했던 미 국방 장관은 “해당 시설이 핵 시설 외에 다른 대체할 만한 것이 없다는 것에 동의한다”라고 말했다.


이는 레드팀의 대체 분석 기능을 보여주는 전형적인 사례다. 정보 진위를 밝히는 과정에서 CIA 국장 스스로가 해당 사건을 객관적으로 분석할 수 있도록 그리고 최대한 자신의 의견이 반영되지 않도록, 관련 정보에 직접적으로 노출되지 않은 조직원들을 팀으로 구성하여, 국장 본인의 편향을 없앴다. 또한 동일한 정보를 가지고 반대 방향으로 분석을 하도록 지시하여, 그 평가의 결과물을 살펴보려고 했다. 결국, 반대 방향으로 분석을 유도했지만 결과적으로 양 팀이 가져온 결과물을 통해 편향이 배제된 올바른 판단을 내릴 수 있었던 것이다.

 

레드팀이 기업에게 중요한 이유 : 위기 예측 및 대비


저명한 물리학자 닐스 보어가 “예측은 어렵다. 특히 미래를 예측하기가 어렵다”고 말했듯이, 기업 또한 미래에 일어날 변화에 대해 예측하고 대비하는 것은 어렵다. 하지만 레드팀은 미리 다가올 위기로 인해 일어날 변화를 어느 정도 예측하게 하고, 나아가 갑작스런 위기가 닥치더라도 그 위기를 극복할 수 있도록 도움을 준다.

 

지난 2004년, 앞으로 발생 가능한 금융 위기의 위험에 대비하기 위해 영국재정청과 영국은행(Bank of England)은 레드팀 기법을 이용하여 돌발 상황에서 발생할 수 있는 시나리오와 취약점을 분석했다. 그 결과, 노던록(Northern Rock) 같은 소매금융 중심 은행부터 유동성 위기에 빠지고, 대형 은행으로 위기가 확산될 것이란 시나리오를 얻게 되었다. 이는 실제로 2008년 하반기에 영국에 닥쳐온 금융 위기 양상과 놀라울 정도로 일치했다. 안타깝게도 시나리오를 미리 예측했음에도 불구하고 영국 정부가 적절한 예방 조치를 하지 않아 영국이 금융 위기를 피해가지는 못했다. 하지만 레드팀 기법의 실용적 가치를 확인할 수 있는 사례이다.


1802년 화약 업체로 출발하여, 현재 Fortune 500대 기업 중 최장수 기업인 듀폰(DuPont)은 2015년 12월 다우케미컬(DOW Capital)과 합병하여, 통합 회사의 가치가 1천 300억 달러(약 153조 7천억 원), 연 매출 900억 달러인 세계 2위의 화학업체가 되었다.


듀폰은 1930년 대공황 속에 저성장기의 돌파구로서 화학 분야의 R&D 투자 강화에 집중하여 위기를 극복하였고, 1990년대 초에 제로마진의 위기가 도래했을 때 사업 포트폴리오의 강약 조절로 국면을 반전시키며 위기를 극복했으며, 1991년에는 머크와 함께 듀폰-머크 제약으로 해외 시장에서 새로운 성장 동력을 확보했다. 듀폰이 잇따른 위기를 극복하고 1992년의 10% 적자에서 2011년의 10% 흑자로 수익성을 꾸준히 개선하며 지속적인 성장을 이룰 수 있었던 이면에는 레드팀이 있었다.


듀폰은 오래 전부터 신규 사업 진출과 사업 철수 등 의사 결정을 내리기에 앞서 레드팀을 활용하여 전략을 검증하여 취약점을 파악하고 보완했다. 특히 불확실성이 가중되는 시대에 레드팀의 위력이 돋보였다. 2001년 갑자기 닥친 911테러와 2005년 카트리나 태풍 피해에 맞서 글로벌 기업 중 가장 빨리 대처했고, 2008년 금융 위기 때는 이를 미리 파악해 글로벌 기업 중 가장 빠른 수준인 6주 만에 신속히 대비했다. 듀폰의 전 CEO이자 최고 경영자인 찰스 할리데이(Charles O. Holliday, Jr.)에 따르면 듀폰에게 레드팀의 존재는 각별하다. 그는 다음과 같이 말했다. “우리는 그 팀을 레드팀이라고 부른다. 우리는 레드팀에게 찾아가서 레드팀의 추천이 무엇인지 자문을 구한다. 그리고 레드팀은 대부분 전략 진행 여부 및 전략 수정 사항을 새로운 시각에서 분석해준다.”


레드팀의 기업 도입 시 유의사항

 

첫째, 레드팀을 구성하는 ‘사람’이 중요하다. 레드팀 구성원은 회의론자여야 한다. 이는 주어진 정보를 당연하다고 받아들이면 안되기 때문이다. 또한 기존의 인습과 주류의 관점을 벗어난 해답을 주어야 하기 때문에 창의적이고 때론 엉뚱해야 한다. 그리고 협업이 중요하기 때문에 사람들과 잘 어울리되, 새로운 시각을 받아들이는 개방적인 사람이어야 하며, 스스로 일을 찾아나서는 자발적이면서도 능동적인 사람이어야 한다. 마지막으로, 조직 주류에 벗어나는 의사를 표출해야 하기 때문에, 때론 도발적이면서도 사람을 두려워하지 않는 자신감이 있어야 한다. CIA 레드팀인 레드셀 관계자는 이렇게 말한다. “조직 내 고위관리자를 당황하게 해서라도 사고 도발을 이끌어 내야 한다. 우리가 그렇게 하지 않으면, 그것은 우리가 일을 제대로 못하고 있는 것과 같다.”


둘째, 레드팀은 독립성 확보가 중요하며 자신의 역할에 대해 진지해야 한다. 리더는 레드팀 구성원들에겐 일상업무를 배제해주어야 한다. 또한 레드팀 구성원들에게 편향이 생기는 것을 예방하기 위해, 기존 전략 수립 조직과 정보가 교류되거나 연계되지 않도록 해야 한다. 특히 국내 기업의 경우, 내부 레드팀 구성원에 대한 출신 조직의 영향력을 배제시키는 부분에 신경 쓸 필요가 있다.

 

셋째, 레드팀은 외부에 맡길 수 없다. 내부 인력 중심으로 팀을 구성해야 한다. 왜냐하면 조직 내부의 시각을 가지며 내부 원리 운용 방식에도 정통해야 하기 때문이다.

 

넷째, 주기적으로 팀원을 교체해야 한다. 레드팀에 너무 오랜 기간 소속되어 있다 보면 그들 조차도 고정 관념에 사로 잡힐 가능성이 높아지기 때문이다. 짧게는 3개월 길어도 2년 정도가 적합하다.

 

덧붙여, 무엇보다 중요한 것은 의사결정자가 레드팀을 형식적이거나 일회적으로 생각하면 안 된다는 것이다. 레드팀의 결과물을 존중해야 그 의미가 발현된다. 특히 레드팀의 결과가 의사결정자의 잘못을 지적하는 등 의사결정자의 자존심 문제로 연결될 수 있으므로, 의사결정자는 레드팀의 쓴 소리도 겸허히 받아들여야 한다. 의사결정자의 이러한 마음가짐은 레드팀의 역량 발휘와 성공에 있어서 특히 중요하다. 조지 부시(George W. Bush) 대통령은 CIA의 레드셀 보고서를 꼼꼼하게 읽은 것뿐만 아니라, 본인이 이해가 되지 않는 부분은 직접 전화 통화를 통해 물어보기도 했다.

 

겸허한 용기

 

결론적으로, 레드팀이란 기존 시각을 되풀이 하는 게 아니라, 기존 시각과 다른 시각을 제공하는 조직이자 기법이다. 투자결정이나 전략을 한번 결정하면 바꾸기 어려운 사업일수록,  투자 규모가 클 수록, 혹은 정보가 핵심 사업이라 보안의 취약 정도에 따라 그 피해가 치명적일수록 레드팀을 도입하는 겸허한 용기가 필요하다.

 

어느 조직을 막론하고, 조직 편향을 피할 수는 없다. 레드팀 도입 여부를 떠나, 기업 내부적으로 조직 편향을 경계해야 한다는 것은 명백하다. 특히 요즘 같이 불확실한 환경에서 저성장 시대를 극복해 나가야 하고, 한 번의 의사결정이 기업 생명을 좌지우지 하는 상황일 수록, 편향을 경계해야 할 것이다.  <끝>

관련 보고서