적을 알고 나를 안 후, 큰 그림을 먼저 그려야

프로란 열정과 집착을 확실히 구분할 줄 아는 법

[보안뉴스 문가용] 당신이 어디에서 일하든 현실은 분명하다. 기술은 계속해서 앞으로 나아가고 있고 위협은 끊임없이 당신을 노리고 있으며 보안은 이를 뒤늦게 쫓아간다. 그렇다면 정보보안의 전략을 처음부터 다시 고려해봐야 한다. 언제까지 소 잃고 외양간만 고칠 것인가?

물론 보안전략에 대해 논하는 글이나 책은 이미 많다. 하지만 그 수많은 방법론을 현실 환경에 접목하는 법까지 다루는 곳은 거의 없다. 전략이란 과정과 경험, 기술, 능력이라는 재료에 대해 평가하는 걸 넘어 실질적인 결과를 만들어야 비로소 가치를 갖게 된다.

1. 최악의 적은 무엇?

이런 ‘유효한’ 전략을 수립하기에 앞서 보안업무라는 전체 과정에서 자기가 맡은 임무가 정확히 무엇인지 파악하는 건 필수다. 손자병법에 이르길 적을 알고 나를 알면 백전백승이라고 하지 않았는가. 그 어떤 훌륭한 전략이라도 현재 자신이 할 수 있는 것과 없는 것을 먼저 인지하지 않으면 아무런 소용이 없게 된다.

보안담당자라면 누구 하나 사연 없는 사람이 없을 것이다. 또한 좋든 싫든 보안전략을 업무 환경에서 실행하는 방식은 분명 어떤 요인에 의해 형성되어 왔을 것이다. 그러나 그런 사연과 우리의 업무처리 방식이 말해주는 ‘우리 자신’에 대해서는 잠시 접어두고 쉬운 답을 찾아보자. 먼저 보안에 대해 고민하고 있는 우리는 대부분 다양한 분야의 정보보안 쪽에 경험과 기술을 갖춘 보안전문가일 것이다. 그러므로 보안의 핵심가치가 무엇인지 누구보다 잘 이해하고 있으며 보다 넓은 관점에서 보안전략을 세우고 도입할 능력이 있다.

그러나 과연 이런 자평이 현실을 잘 반영하는가? 그렇지 않다면 우리의 잘난 경험과 능력을 막아서는 가장 큰 세력은 무엇인가? 여러 가지가 떠오르겠지만 어쩌면 정보보안의 가치에 대한 이해도가 너무 높아서일 수 있다. 남다른 이해도 때문에 정보보안에 대한 열정이 한 끗 차이로 집착으로 바뀔 수 있다. 물론 보안담당자가 정보 보안에 집착하는 건 그리 나쁜 게 아닐 수도 있다. 하지만 아무리 좋은 것이라도 과도한 건 언젠가 ‘방해’가 되기 마련이다. 그리고 보안에 대한 과도한 집착은 혁신을 가로막는 주요 요인이 되기도 한다.

2. 틀 안에서 생각하기
전략적인 계획에 대한 잘못된 선입견이 하나 있는데, 바로 창의력과 혁신성은 언제나 틀 밖에서 나온다는 것이다. 그럴 수도 있지만 현실에서는 이렇게 틀 밖에서 나온 재기 발랄한 아이디어들은 현실성이 부족하거나 목표에 부합하지 않은 것이 대부분이다. 보안에서만큼은 틀 안에서 사고하는 게 제일 안전하고 뛰어나다.

핵심 가치에 대한 판단을 정확히 하는 사람일수록 대략의 방향을 정하거나 다수의 주제를 다룰 때보다 특정한 사건 하나에 집중했을 때나 제한점이 분명할 때 창의력을 발휘한다. 그런 집중력을 발휘하려면 정보보안이라는 분야를 보호가 필요한 조각들이 아니라 하나의 커다란 생태계로 볼 필요가 있다. 전체를 보는 시야를 확보해야 한다는 것이다. 그렇게 된다면 불필요하게 일어나는 반복 작업들을 한 눈에 알아볼 수 있으며 그에 대한 조치를 빠르게 취할 수 있다.

높이 날면 멀리 볼 수 있다고 강조하고 있지만 낮게 날아 자세히 보는 걸 포기하라는 소리는 아니다. 다만 어느 부서, 어느 시스템이건 일괄적인 보안정책을 적용하라는 것이다. 전체에서 일부로 좁혀 들어가면서 보안을 강화해야 운영비도 줄어들고 진짜 중요한 걸 보호할 수 있게 된다는 걸 기억하자.

누구나 그렇지만 힘들게 세운 계획이 착착 맞아떨어지는 걸 보는 건 큰 기쁨이며 보람이다. 보안담당자도 마찬가지다. 하지만 현실은 어떤가? 계획이 착착 맞아떨어지는 경우는 손에 꼽는다. 왜 그럴까? 애초에 보안전략을 수립하는 목적이 무엇인가 생각해보자. 보안전략의 가장 현실적인 목표는 ‘리스크 줄이기’이다. 문제는 이 말 안에 너무 많은 것들이 포함된다는 것이다. 리스크가 무엇이며, 어디까지 줄여야 그것을 성공했다고 할 수 있는지 아무도 말해주지 않으니 보안담당자가 나름의 기준을 낑낑대며 정해야 한다. 어렵지만 이걸 먼저 규정하는 게 계획 수립에 도움이 된다.

3. 손 vs. 머리

계획의 중요한 요소 중 하나는 생각한 것을 실제로 해보는 것이다. ‘이걸 하면 좋을 거 같아’라는 것이 하나 떠올랐으면 해보라. 이 당연한 소리를 왜 하냐면 늘 하는 보안 업무를 하라는 것이 아니라, 회사 전체의 보안 운영을 바꿀 전략을 수립한 후에 실제 적용해보라는 것이기 때문이다. 업무를 하라는 것과 다른 차원의 ‘실천’을 뜻한다.

전략적인 계획을 실천하는 데에 있어 한 눈에 볼 수 있는 로드맵을 만들면 큰 도움이 된다. 다만 너무 기계적으로 로드맵을 쫓아가거나 맹신해서는 안 된다. 로드맵은 그저 완성된 큰 그림에 대한 이해도를 높이기 위한 도구로 사용해야 한다. 토템이 아니다. 이 큰 그림이 머릿속에 그려질 때 사람들은 자기가 할 일을 제대로 이해하고 동기를 부여받는다.

보안담당자로서는 사용자, 즉 다른 부서 직원들의 생산성을 억제하지 않는 차원에서 보안을 강화할 수 있도록 해야 한다. 이는 무슨 말인가? 사용자의 경험에서부터 고민을 시작해 기술로 마무리 지어야 하지, 기술부터 시작해 사용자 경험을 끼어 맞추지 말라는 소리다. 이는 스티브 잡스의 유명한 말이기도 하다.

정보보안의 진화는 기술과 정보의 발전의 당연한 결과물이다. 전략의 밑그림, 즉 로드맵을 먼저 제시한다면 실행은 틀 안에서 창의적으로 생각할 수 있는 사람들이 알아서 맡게 되어 있다. 그리고 그 전략 안에 포함된 구성원들은 자기도 모르게 ‘성공’의 방향으로 나아갈 것이다.

하지만 이 과정에서 열정과 집착을 잘 구분할 수 있어야 한다. 자기 조절을 의미한다. 이 실낱같은 차이가 보안계획을 도입하느냐 마느냐를 가름하기 때문이다. 그러기 위해서는 보안담당자인 ‘자신’이 아니라 보안계획과 전략 안에서 생활을 해야 할 사용자의 경험에서부터 고민을 시작한다면 보다 단단하고 실현 가능성이 높은 정보보안 전략을 수립할 수 있을 것이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>