보안 관련 사고, 이제 대중들의 궁금증 자아낼 시기

순간의 기지보다 평소 태도가 듬직한 답변 만들어 내

[보안뉴스 문가용] 대규모 정보 유출사건이 번번이 헤드라인을 장식할 때, 하필 보안업계에 종사 중이라면 어려운 질문에 종종 부딪히곤 할 것이다. “그 회사들은 왜 뚫렸는가?” “우리 회사도 비슷한 위험에 노출되어 있는 건 아닌가?” “누군가 우리도 노리고 있는 건 아닌가?” 등등. 이럴 땐 땀을 삐질삐질 흘릴 것이 아니라 많은 관심에 감사하는 마음부터 가지면서 자신의 가치를 올릴 수 있는 기회로 만들어야 한다. 질문에 답만 제대로 하면 신뢰도 쌓이고 존중도 받을 수 있으며 중요한 사람이 될 수 있다. 멋진 대답이 필요한 사람을 위해 다음 몇 가지 팁을 준비해보았다.

1. 공포, 불확실성, 의심의 3요소를 버려라

정보보안의 중요성을 누군가에게 설명하려는 사람들이 흔히 가져가는 전략으로 공포, 불확실성, 의심의 3요소가 있다. 한 마디로 겁을 줘서 마음을 동요시킨 후 물건이나 서비스를 팔려는 것이다. 그런데 이는 생각보다 성공 확률이 낮은 전략이다. 일단 공포는 세 가지 반응을 일으키는데, 이는 싸움, 도주, 마비이다. 즉 공포가 깔리는 순간 차분한 판단이 불가능해진다는 것이다. 겁을 먹은 자는 어떤 정보도 소화할 수 없게 된다. 정보보안의 중요성은 한 귀로조차 들어가지 않을 게 분명한데 왜 겁부터 주려고 하는가?

2. 확실한 정보를 갖추라

언론마다 떠들어대는 통에 심지어 컴퓨터를 뜨개질로 만드는 줄 아는 우리 노쇠한 어머니도 타깃이나 홈데포에서 사건이 일어났다고 이야기하신다. 그러나 아무리 정확히 이야기해봐야 헤드라인을 외우시는 것 정도다. 하지만 보안업계에 종사하는 우리들은 안다. 그 이상의 혹은 그 뒤의 이야기가 존재한다는 걸. 평소에 일을 잘 해놓고 관계를 잘 다져놓았다면 이런 큰 사건에 대해 보다 자세한 정보를 아는 사람이 한 사람쯤은 있을 것이다. 그런 사람을 찾아 ‘사실’을 얻어내야 한다. 헤드라인만 앵무새처럼 반복해서는 안 된다.

3. 뒷담화는 절대 금물이다

모든 게 가능한, 완전무결한 보안 프로그램이라는 건 없다. 심지어 국가 기관의 최고 인재들이 모인 곳도 마찬가지다. 그러므로 보안 업무를 맡고 있다면 가지고 있는 재료를 가지고 최대한의 결과를 만들어내는 것을 목표로 해야 한다. 보안에 할당된 재정이 적다면 적은 대로 운영해야 한다. CEO의 보안인식이 낮다느니 하는 불평을 해서야 의미가 없다. 당신이 CIO 혹은 CISO라면 이는 당신의 잘못일 수도 있다. 보안 최고 책임자로 있으면서 보안에 대한 필요성을 충분히 알리지 못했다는 뜻이기 때문이다. 현실을 받아들이고 앞으로 걸어가라. 질문을 받았는데 누군가에 대한 손가락질이 그 대답이라면, 당신은 그 순간에 웃음을 자아낼 수는 있어도 신뢰를 얻어낼 수는 없다.

4. 평소 목표가 구체적이어야 한다

회사 내 모든 애플리케이션에 대한 보안 코드 감사를 앞둔 저녁. 혹은 이제 분기마다 회사 내 보안 감사를 실시해야 한다는 결정이 내려진 날 밤. 보안 책임자로서 당신은 얼마나 편하게 발을 뻗을 수 있을까? 혼자 해야 한다면, 혹은 혼자 하는 것이나 다름없는 팀원들을 이끌고 있다면 심란한 마음 달랠 길이 없을 수도 있겠다. 하지만 보안은 늘 이상적인 환경에서 달성해야 하는 게 아니다. 팀원을 한 데 모으는 건 구체적이고 분명한 공통된 목표점이다. 큰 일이 있을 때마다 팀의 목표를 구체적이고 분명하게 정해서 운영한다면, 그것이 바로 사건 대응이고, 어려운 질문에 신뢰를 줄 수 있는 답안이 된다.

5. 팀웍을 강조하라

보안은 혼자 하는 게 아니다. 그렇게 생각하고 있다면 당신은 스스로를 너무 과대평가하고 있는 것인지도 모른다. 그러니 팀웍을 중요하게 생각하고, 또 그 필요성을 남들에게 알릴 필요가 있다. 어려운 질문을 접했을 때나 보안에 대한 방법론을 논해야 할 때 자신의 팀이나 팀웍의 필요성에 대해 확신 있게 이야기 한다면 그들은 뛰어난 인재 한명에게 주는 것보다 더 큰 신뢰를 줄 마음상태가 된다. 팀에 구멍이 있다? 그러면 그 또한 어떻게 보완할 것인지, 어떤 인재가 더 필요한지 솔직하게 말하라. 위에서처럼 구체적으로 설정된 목표가 충분히 설명됐다면 그 인재 하나 못 채워줄 회사는 드물다.

6. 하지만 최악의 결과가 나올 수도 있다

이 모든 것이 그러나 이상적이기만 해서는 안 된다. 꿈과 목표는 개인적인 것이 아니고서야 항상 현실에 바탕을 두고 있어야 한다. 그렇지 않으면 늘 붕 뜬 채, 아무 것도 이루지 못하고 시간을 흘려보내야 할 것이다. 그리고 이 현실이란 건 생각보다 잔인하다. 그래서 목표한 것과 전혀 다른 결과를 허락할 때도 많다. 심지어 누구보다 열심히 일했는데도 해커에게 뚫려 유출사고가 날 가능성도 다분하다. 그런 현실을 있는 그대로 말해야 한다. 그래서 너무 높은 기대를 갖지 않도록 하는 것이 보안 담당자 자신에게도 좋은 일이다. 솔직하면 더 신뢰가 가기도 한다.

7. 적극적이어야 한다

적극적인 태도가 중요하다. 투자자들 혹은 재정 권한을 쥐고 있는 사람에게 있어 앞선 미래에 대한 투자를 하는 게 굉장히 망설여지는 일이다. 특히나 사고가 일어난 직후, 돈을 더 움켜쥐려는 성향이 강해지는데, 이럴 때 적극적으로 나서서 지금 터진 사건을 해결하기에만 돈을 써서는 안 된다는 걸 피력해야 한다. 같은 일이 반복되지 않도록 투자해야 한다고 설득해야 한다. 사건이 터지지 않았더라도 앞으로 터질 수 있는 일들에 대해 충분히 설명해 회사 차원의 투자를 이끌어 내는 것도 보안 담당자의 할 일이다. 누군가 중요한 질문을 당신에게 던질 때가 바로 이런 설명을 할 수 있는 기회다!

글 : 켈리 피치몬스(Kelly Fitzsimmons)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>