신간 <디지털 보안 전략과 인간중심보안> 출간... 김정덕 중앙대 명예교수 인터뷰 ①
기술 만능주의가 낳은 ‘우회 보안’ 폐단 지적... 사회-기술 시스템(STS) 최적화 강조

[보안뉴스 조재호 기자] “보안 사고의 70% 이상이 사람으로부터 비롯된다면, 우리의 방어 전략 역시 사람을 향해야 합니다.”

김정덕 중앙대 산업보안학과 명예교수의 지론은 담백했다. 보안의 본질은 화려한 알고리즘이나 철통같은 솔루션이 아니라, 도구를 사용하는 ‘사람’에 있다는 것이다.


실제로 우리 사회는 매년 천문학적인 예산을 보안 인프라 구축에 쏟아붓고 있다. 하지만 대형 보안 사고는 멈추지 않고, 오히려 지능화된 형태로 우리의 일상을 위협하고 있다. 김 교수는 이러한 현상의 근본 원인을 ‘사회-기술 시스템’(STS)의 불균형에서 찾는다. 보안을 장애물로 인식하게 만들고 보안망을 우회하게 하는 비극을 초래했다는 지적이다.

이번에 출간된 신간 <디지털 보안 전략과 인간중심보안>은 이러한 구조적 모순을 해결하기 위한 김 교수의 35년 학문적 천착의 결과이자 실천 지침서다. 사람은 보안의 ‘가장 취약한 고리’라는 오래된 불신을 거두고, 조직의 ‘최종 방화벽’으로 탈바꿈해야 한다는 제안이다. 자발적 실천과 신뢰를 바탕으로 한 ‘인간중심보안’으로의 패러다임 전환이 초연결 시대 사이버 복원력을 담보할 거버넌스적 해법이라는 것이다.

Q. 미국 유학 시절부터 한국 전산원, 중앙대 산업보안학과 설립까지 35년 넘게 보안 외길을 걸었다. <디지털 보안 전략과 인간중심보안>을 출간한 계기가 있다면
지난 35년을 돌아보니 보안의 영역은 기술에서 관리로, 이제는 거버넌스와 문화 영역으로 진화했다. 하지만 현장에선 여전히 ‘솔루션만 깔면 다 된다’는 기술 만능주의가 팽배했다. 기술은 고도화됐는데, 사고는 왜 더 늘어날까? ‘사람’을 놓쳤기 때문이다. 그간 정립해온 학문적 가치와 현장의 고충을 결합해 보안 패러다임의 전환을 제안해보고 싶었다.

Q. ‘기술 만능주의의 한계’란 어떤 의미인가
보안의 통제가 업무 생산성을 저해하면, 사람들은 본능적으로 우회로를 찾는다. 아무리 강력한 보안 시스템이라도 내부자가 문을 열어주면 끝이다. 기술적 통제가 고도화될수록 사용자들은 이를 ‘피해야 할 규제’로 인식하며, 이는 더 큰 보안 공백을 야기한다. 기술은 수단일 뿐, 그 기술을 운용하고 지키는 사람의 마음을 얻지 못하는 보안은 모래성 위에 쌓은 성벽과 다름없다.

Q. 해법으로 ‘사회-기술 시스템(STS)의 공동 최적화’를 제시했다. 기술적 요소와 사회적 요소의 균형이란 구체적으로 어떤 상태인가
보안은 하드웨어와 소프트웨어 같은 기술적 시스템과 사람·조직 문화라는 사회적 시스템이 결합된 형태다. 대다수 기업이 기술적 최적화에 90점을 준다면 사회적 최적화엔 10점도 주지 않는다. 이 불균형이 사고의 발단이 된다. 공동 최적화란 보안 기술이 업무 프로세스를 방해하지 않으면서, 임원들이 보안 수칙을 지키는 것이 자신과 조직에 이롭다는 사실을 체감하도록 만드는 것이다. 현장의 문화적 동기부여가 기술과 1대 1로 맞물려 돌아갈 때, 비로소 인간 중심 사이버 복원력이 조직에 뿌리내릴 수 있다.

Q. 보안 전문가들은 사람을 ‘가장 취약한 고리’로 여기고 불신한다. 반면 책에선 오히려 인간을 조직의 ‘최종 방화벽’으로 만들어야 한다고 한다. 이것이 가능한가
사람이 실수할 수도 있지만, AI가 포착하지 못한 미세한 이상 징후를 가장 먼저 느낄 수 있는 존재이기도 하다. 임직원들이 보안 주체가 되어 의심스러운 메일은 신고하고, 동료의 부주의를 서로 챙겨주는 문화가 정착된다면 그 어떤 솔루션보다 강력한 방화벽이 될 수 있다. 사람을 잠재적 위험 요소로 보고 감시할 것이 아니라, 조직을 지키는 핵심 보안 자산으로 신뢰하고 임파워먼트(Empowerment)하는 인식 전환이 출발점이다.

Q. 정부 주도의 ‘체크리스트 기반 보안’이 현장의 자율성을 억압한다는 비판이 많다. 이 구조적 문제의 본질은 무엇이라 보나
현 규제는 ‘잘못 낸 시험 문제’와 같다. 기업들이 문제를 해결하는 게 아니라 정답을 맞혀 리스크를 줄이는 데 급급하기 때문이다. 기업들이 자율적으로 보안 체계를 고민할 기회를 주고, 형식적 서류 작업을 줄여야 한다. 자율성을 주고 결과에 엄중한 책임을 묻는 구조로 전환해야 실질적 보안이 작동할 수 있다.

Q. 보안 담당자들이 임직원을 취조하는 ‘경찰’이 아니라 비즈니스를 돕는 ‘조력자’가 되어야 한다고 강조헸다. 구체적으로 어떤 노력을 해야 할까
보안 부서의 페르소나를 바꿔야 한다. 안 된다고만 하는 ‘No-Man’이 아니라, 안전한 대안을 제시하는 ‘Enabler’가 되어야 한다. 현업 부서의 고충을 듣고, 보안이 그들의 성과를 지켜줄 보호막임을 인식하도록 설득하는 과정이 필요하다. 보안 담당자가 사내 소통의 창구가 될 때, 임직원들이 보안 수칙을 강요가 아닌 협력으로 받아들일 수 있다.

Q. 현업 보안 담당자들이 당장 사내에서 시도해 볼만한 ‘인간중심보안’ 실천법이나 넛지(Nudge) 전략이 있다면
거창한 시스템 도입이 아닌 사용자의 ‘경험 설계’다. 예를 들어 패스워드 변경을 강요하기 보다 변경했을 때 얻을 수 있는 혜택을 제시하거나, 보안 신고를 한 직원에게 작은 보상과 함께 전사적 칭찬을 보내는 방식이 있다. 임직원들이 ‘보안팀이 나를 돕고 있다’고 느낄 수 있는 작은 배려가 모여 거대한 보안 문화를 형성한다. 작은 넛지가 큰 사고를 막는 방어선이다.

김정덕 교수는 중앙대학교 산업보안학과 명예교수이자 인간중심보안포럼 의장이다. 텍사스A&M대학교에서 박사 학위를 받았다. 한국전산원(현 NIA)을 거쳐 중앙대에서 30여년 간 보안관리와 거버넌스를 연구했다. ISO/IEC 27014(정보보호 거버넌스) 국제표준 에디터 및 사이버보안(SC 27), 블록체인(TC 307) 국제표준 전문가로 활동했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>