쿠팡에서 플랫폼 팀 매니저 역할을 하고 있었을 때 우리 팀에서는 전사 백오피스 시스템도 관리하고 있었습니다. 한 팀에서 매니저가 입사하고 퇴사하는 것에 따른 처리를 자동 배치 작업으로 하기를 원했습니다. 당시의 백오피스 시스템은 유저 아이디와 패스워드 기반으로 토큰이 발급 되는 방식이었기 때문에 배치 작업을 하기에는 적합하지 않았습니다.
해당 팀의 매니저는 배치를 사용할 수 있게 추가 인증 방식을 개발해 달라고 요청했지만, 우리 팀의 업무는 쌓여 있었고 리소스는 충분하지 못했습니다. 팀의 우선순위를 고려했을 때 해당 요청은 당연히 거부해야 하는 것이 상황이었습니다. 그렇다고 막무가내로 내부 팀의 요청을 거절하는 것은 그 팀과의 관계를 악화시켜 장기적으로 문제가 될 수 있는 상황이었습니다.
그래서 저는 보안팀에 먼저 메일을 보내 이들의 요청이 우리의 보안 방향과는 맞지 않음을 주장하고 그에 대해 확인해 줄 것을 요청했습니다. ‘보안에 위배됨’은 그들의 요청을 거절할 수 있는 가장 편하고 빠른 방법이라고 생각했기 때문입니다. 보안팀에서는 보안상 허용할 수 없는 방법이라고 답변을 보내왔고, 저는 해당 팀에 보안 문제로 인해 요청을 들어줄 수 없다고 알렸습니다. 메일을 받은 해당 팀의 디렉터는 보안의 어떤 측면에서 안되는지 설명해 달라는 답장을 써왔습니다.
제가 보안의 문제점에 대해 답변을 한다면 두 가지 문제가 발생할 것이 예상 되었습니다. 저는 보안 사항의 결정 주체가 아니었기 때문에 세부적인 설명을 해줄 수가 없습니다. 메일이 구체적인 사항을 논하면 논할수록 제가 할 수 있는 것은 사라집니다. 뿐만 아니라 제가 알지도 못하는 보안의 세부사항을 논하는 이메일을 주고 받기 시작한다면, 제가 답할 수 없는 문제에 대해 다시 보안팀에 질문을 하거나, 보안 담당자와 함께 미팅을 잡아야 하는 일이 생길 수도 있었습니다. 특정 팀의 임팩트가 크지 않은 기능을 위해 핑퐁을 하는데 저의 소중한 자원을 낭비하는 상황이 예상 되었습니다.
저는 자세한 사항은 내가 답변할 수 없으니 보안팀으로 문의하라는 답장을 보냈습니다. 그와 동시에 해당 팀의 디렉터에게 개인 메시지를 보냈습니다. “회사는 조만간 상장이 될 수 있는 상황입니다. 이런 시점에서 보안리스크는 가장 조심해야 할 위협이며, 그 이유 때문에 우리의 보안정책은 점차 강화되고 있습니다. 심지어 권한처리를 VDI를 통해서만 처리하라는 요청까지 들어온 상태이다.”
이 설명의 디테일은 그리 중요하지 않았습니다. 회사가 상장을 위해 보안에 대해 엄청난 신경을 쓰는 상황이라는 정보를 흘림으로써, 상장이라는 목표에 위배되는 반대방향으로 나아가려는 자는 반역자이므로 처단될 수 있다는 얘기를 해 준 것입니다.
별다른 추가 설명 없이 그 디렉터는 납득했습니다. 추가적으로 나는 그에게 메일 스레드에 이 논쟁이 끝났음을 답장으로 해줄 것을 요청했습니다. 명시적으로 해당 이슈가 종료되었음을 메일스레드를 볼 수 있는 모두가 알아야 나에게 더 이상 귀찮은 일을 요청하지 않을 것이며, 내가 해당 기능 개발을 허용하지 않은 것에 대해 원망을 품지 않을 것이기 때문입니다.
몇 시간 후 그는 해당 내용에 대해 잘 조사해봐줘서 고맙다며, 다른 방안을 찾아보겠다는 답장을 보내왔습니다. 나 역시 상황을 잘 이해해줘서 고맙다는 답장을 보내 이 일은 마무리 되었습니다. 이것이 실무자가 아닌 매니저의 업무처리 방식 중 하나라는 생각이 듭니다.