“필요한 건 알겠지만 나중에 하면 안 되겠습니까” 불과 몇 년 전만해도 국내의 보안관리자라면 으레 보안기획안 또는 제안서를 앞에 두고 경영진으로부터 들었던 답변이다. 이 답변 앞에서 얼마나 많은 보안관리자들이 실망하고 안타까워했었는지 모른다. ‘보안관리자들의 경고-경영진의 무시-사고의 발생-경영진의 경각심 환기-투자의 발생-경영진의 망각 그리고 다시 보안관리자의 경고’로 이어지는 무한반복의 고리 속에서도 국내 보안관리자들은 7전 8기의 심정으로, 그리고 우리 스스로 진정 가치 있는 일을 하고 있다는 사명감으로 보안활동의 가치를 증명하기 위해 노력해 왔다. 이러한 노력이 보상을 받듯 언제부턴가 서서히 대기업과 공공기관 등을 중심으로 변화가 일어나 오늘날에는 보안이 경영진의 의사결정에 영향을 미치는 중요한 요소로 인식되기 시작했으며 일부 선두 기업에서는 해외 일류기업과 견주어도 손색이 없을 정도의 보안체계와 문화를 이루어냈다. 그리고 그 중심에는 변화를 위해 노력하는 보안관리자 외에 앞서가는 보안마인드를 가진 경영진이 있었다. 결국 모든 보안교과서의 1페이지에서 강조하는 “기업보안의 성패 여부는 경영진의 지원에 달려 있다”라는 문장은 ‘불변의 법칙’이었던 것이다.

하지만 보안의 중요성을 간과하고 있는 여전히 다수로 남은 기업들의 경영진은 언제쯤이나 선진화된 보안마인드를 갖추고 보안관리자들을 지원해 줄 수 있을까? 필자는 보안관리자로 일하며 수 없는 지원요청과 거절 경험을 통해 경영진의 보안마인드와 관련된 문제는 ‘언제’가 중요한 것이 아니라 ‘어떻게’가 중요하다는 것을 깨닫게 되었다. 즉, 보안관리자들이 고민해야 할 문제는 ‘경영진의 마인드가 언제쯤이나 바뀌어 줄까’가 아니라 ‘어떻게 경영진의 마인드를 바꾸어 지원을 이끌어낼 것인가’에 있는 것이다. 기업에서의 보안관리자들의 역할을 다시 한 번 생각해보자. 기업 내 보안관리자들의 주된 역할은 경영진이 보안에 관한 올바른 판단을 할 수 있도록 보좌하는 한편 경영진의 의지가 반영된 보안체계를 구축·관리하고, 임직원들을 가이드 하는 데 있다. 그리고 이러한 일련의 활동들이 ‘위험관리를 통한 손실비용의 감소’라는 ‘가치’로 증명될 수 있을 때 비로소 경영진의 보안마인드를 바꾸고 지속적인 지원을 얻어낼 수 있을 것이다.

따라서 우리 보안관리자들이 보안의 가치를 증명할 수 있는 기회와 지원을 얻기 위해서는 전략가가 되어야 한다. 보안활동은 이익을 창출하는 일이 아니라 비용을 지출해야 하는 일이라는 인식 때문에 경영진은 최대한 보수적으로 판단하려고 한다. 이는 매우 자연스러운 일이므로 보안관리자들은 필요한 지원을 확보하기 위한 전략을 개발하는데 노력을 기울여야 한다. 같은 내용을 가지고도 어떤 시각에서, 어떤 타이밍에, 어떤 커뮤니케이션 방법으로 전달하느냐에 따라 결과는 크게 달라질 수 있기 때문이다. 그간의 노력이 단순히 경영진에게 보안에 대한 관심을 불러일으키기 위한 것이었다면 이제는 경영진의 입장과 시각으로 보안에 대해 생각하며 전략적인 의사소통 방법을 개발하는데 투자할 때다. 결국엔 이것이 선진화된 보안을 이루어낸 보안관리자와 그러지 못한 보안관리자의 중요한 차이가 될 것이므로….  

[글 : 공 도 환 두산중공업 Security Auditor(dohwan.kong@doosan.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>