보통은 위에서 아래로 하달되는 게 회사 정책이지만...

BYOD의 성격상 실무자의 의견을 적극 반영해야 실효

‘일단 저질러놓고 보면 되지 저렇게 하나하나 짚고 넘어가서는 언제 만드나’라는 사람들이 있는데, 그런 경우 눈으로 읽기에는 멋지지만 회사 생활에 있어 절대 실질적으로 구현될 수 없는 식물인간 같은 정책만 탄생할 뿐이라는 게 모바일 플랫폼 판매업체인 아이오닉 시큐리티(Ionic Security)의 창립자이자 CTO 아담 게티(Adam Ghetti) 씨의 설명이다. “보통은 사장님들이 혼자서 다 작성하고 법무부장 검토 좀 받는 게 일반적인 상황입니다. 현실 기술에 대한 반영은 없다시피 하죠.”

아담 게티 씨는 결국 실무자급의 의견이 꼭 반영되어야 한다는 점을 강조하고 있는 것이다. “정책에 가장 민감하게 영향을 받을 사람들은 각자의 스마트 기기로 회사 일을 하는 사람들이죠. 그러니 그런 사람들을 위해 정책을 마련해야 맞습니다. 사장님들은 경영자와 법의 입장에서는 아주 잘 생각하면서 실무자 입장에서 생각하는 건 많이들 어려워하십니다.” 굿 테크놀로지(Good Technology)의 반 소메렌(van Someren) 씨도 이에 동의한다. “실무자와 같은 회의실에 앉아 정책 짜는 게 어렵다면 피드백이라도 제출하도록 해야 합니다.”

물론 100가지 의견을 전부 수용하는 정책이란 있을 수 없다. 정책을 만드는 과정에서 이 점에 봉착했다고 한다면 그건 정책을 좀더 ‘세분화 할 때’라는 것이다. 너무 통합된 규칙을 세우려다보니까 전부를 만족시킬 순 없다는 결론에 다다르는 경우가 많다. 그럴 때는 부서별로, 정보의 유형별로, 사용처별로 차별화된 규칙을 수립하는 것도 좋안 방법이다. 좋은 정책은 최대한 많은 이들을 아우르는 것이지 ‘모 아니면 도’의 자세를 견지해서는 안 된다.

“그럼에도 역시나 ‘전부를 만족시키는 정책은 없다’는 게 현실이고 진리입니다. 이를 어느 정도 선까지 받아들이면서 정책을 짜야지 안 그러면 BYOD 정책 따위 영원히 보지 못할 겁니다.” 취약점 관리 업체인 비욘드트러스트(BeyondTrust)의 CTO 마크 매이프렛(Marc Maiffret)의 설명이다.

정책이 모든 직원을 다 아우르지 못하는 만큼, 회사의 새로운 정책이 모두에게 꼭 필요한 것도 아니다. 직무에 따라 어떤 직원은 회사의 민감한 정보에 접근할 필요조차 없을 수도 있다. 이런 직무를 가진 사람에게 BYOD 정책은 아예 필요 없는 존재인 것이다. 그리고 경영자에 따라서는 너무 민감한 정보라면 이미 개인 기기로 접근할 엄두조차 내지 않을 수도 있다. 역시나 BYOD 정책이 따로 필요 없는 부류다. “정보란 결국 같은 내용이더라도 그걸 접하는 사람에게 마다 가치가 달라집니다. 그 ‘정보’를 다루는 BYOD 정책도 정보이 그런 고유한 성격이 반영될 수밖에 없습니다.” 반 소메렌 씨의 설명이다.

(다음 기사에서는 BYOD 정책에 있어 가장 중요한 ‘정보 중심 사고’에 대해 이야기합니다.)
ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>