잭 웰치의 새로운 책, ‘이기는 법’을 정보보안에 적용하다

쉬운 정의, 투명한 소통이 기업 전체의 보안문화를 정착시켜

[보안뉴스 문가용] 현대 세계의 중추는 누가 뭐래도 기업이다. 그래서 우리는 사장이든 직원이든 일을 해서 기업을 살리고 유지하는 것에 필사적이다. 요즘에는 좋은 생각 한두 가지로 이를 해낼 수가 없다. 어느 정도 시간을 통해 검증된 핵심 가치를 끈기 있게 쫓되, 변화무쌍한 기업환경에서 발생하는 상황에 따라 수정할 수 있는 유연함이 더 필요하다.

이 핵심 가치라는 걸 보통의 기업에서는 최고 운영진들이 고수하고 있으며 그것을 기업 전체에 적용시킨다. 기업 전체에 적용시킨다는 건 기업이 운영하고 있는 사업을 맡아서 실제 업무를 보고 있는 직원 개개인 역시 영향을 받는다는 의미다.  그런데 이 핵심 가치에 사이버 보안을 포함시키는 회사는 굉장히 드물다. 회사들이 보안 관리 잘못해서 그렇게 애를 먹고 고생을 하고 심지어 망하기까지 하는데도 다른 사업을 추진하듯 열심히 보안을 강화하지는 않는다.

하지만 이를 비웃기라도 하는 듯이 보안 사고는 현재 하루가 멀다하고 일어나고 있으며 이는 특별히 기업을 가리지도, 사업 분야를 가리지도 않는다. 회사 규모도 이들에겐 별 고민거리가 안 된다. 해킹의 목적 역시 다양한데, 대략 생각나는 대로 요약해도 다음과 같다.

* 현금의 직접 탈취

* 브랜드 및 기업의 명성 훼손

* 지적 재산 도난

* 고객들을 직접 타격

* 정보 유출과 탈취

* 파트너 및 고객과의 소송 싸움

* 기타 등등

열거한 일들이 염려되는 건 잘 나가는 국제적 기업일 뿐이라는 생각이 들 수도 있다. 그러니 내가 걱정할 건 아니라고 결론을 내릴 수도 있다. 하지만 거꾸로 생각해보면 국제적인 기업처럼 경쟁력이 강한 기업이 되려면 이런 수준의 걱정을 해야 한다는 뜻도 된다. 경쟁사회에서 이제는 보안에 대한 적절하고 효과적인 조치가 필수 요소가 되어가고 있다.

하지만 사이버 방어에 대한 사람들의 인식은 그저 하드웨어, 소프트웨어, 전문인력을 한 데 섞어놓은 큰 기술 전략 그 이상도 이하도 아니다. 그 안에서 손잡이를 당기고 버튼을 누를 뿐이라고 생각한다. 그러나 이는 굉장히 단시안적인 접근이다. 장기적으로 봤을 때 사이버 보안은 보통의 사업을 열심히 진행하듯이 단단한 과정과 전략, 금융 및 제품 개발, 마케팅 전략을 모두 필요로 한다.

세상의 존경을 한 몸에 받는 혹은 존경까지는 아니더라도 유명한 사업가들이 여럿 있는데, 그 중 잭 웰치를 꼽을 수 있다. 잭 웰치야말로 시간을 통해 증명된 관리, 전략의 핵심가치를 꾸준하게 쫓음으로써 자신이 경영하는 사업과 브랜드를 성공의 반열에 올려놓은 사람이다. 그것도 잠깐 반짝였다 사라진 강자가 아니라 40년을 승자의 위치에 머물러있었던 인물이다. 잭 웰치가 경영하는 동안 제너럴 일렉트릭(GE)의 가치는 4000% 증가했다.

그는 그야 말로 경영 세계의 살아있는 교과서였고, 사업체를 운영하는 데에 있어 잭 웰치와 관련된 수많은 책들이 쏟아져 나왔다. 그중 많은 수가 베스트셀러이기도 했다. 그가 그런 책들과 문헌을 통해 가르쳐준 수많은 교훈 중 몇 가지를 꼽아보겠다. 특별히 가장 최근에 발간된 <이기는 법 : 궁극의 사업 가이드북(Winning: The Ultimate Business How-To Book)>에서 몇 가지를 추렸다. 시작은 결국 가야할 곳이 어디인지 정하는 것이다. 이는 사실 분명하다.

미션 : 사이버 범죄에 대항해 우리는 어떻게 승리할 것인가?

분야를 막론하고 사이버 범죄를 고민하지 않는 사장은 없다. 하지만 사이버 보안 분야라는 게 쉽지도 않을뿐더러 그 지형이 매일처럼 바뀐다. 그러다보니 사이버 보안이 사업 및 수익과 어떤 연관성이 있는지도 체감하지 못한다. 잭 웰치는 고령임에도 불구하고 이 문제를 그냥 막연한 고민거리나 걱정거리에서 그치게 하지 않았다. 일단 그는 문제를 정확히 규명하는 데서부터 출발했다.

해야 할 일, 즉 미션을 정의하는 건 운영자의 책임이다. 책임을 질 수 있는 사람들 외에는 그 어떤 경우라도 미션 정의 임무를 가져서는 안 된다.

결국 명확하고 확실한 목표 정의에서부터 이기는 사업은 시작한다는 것. 또한 이는 간단한 몇 가지 절차를 통해 어렵지 않게 도출된다는 것 역시 잭의 주장이다.

* 정보를 모으라.

* 자신이 누구인지 혹은 어떤 회사인지 정의하라. 간단하고 명료하게 해야 한다. 그리고 누구나 볼 수 있도록 공개할 수 있어야 한다.

* 그런 후에 긍정적이고 밝은 기운을 가지고 직원들 혹은 관련 사람들이 이 목표에 맞게 삶과 일터에서 변하도록 독려하라.

이를 사이버 보안에 적용해보도록 하자. 쉽지는 않다. 사실 햄버거나 자동차처럼 뭔가 보이는 걸 파는 사업을 하는 것보다 정보 보안 분야의 시각에서 ‘내가 누구인지’ 혹은 ‘무슨 사업을 하는지’ 정의하는 건 까다롭다. 그럼에도 사이버 범죄에 대항해 승리해야 한다는 미션자체에는 변화가 없다. 우리가 누구인지 정의하는 것부터 힘이 드는데, 사이버 범죄 소탕이라는 미션까지 어떻게 도달할 수 있을까? 한 발만 더 깊이 생각하면 된다.

햄버거를 팔건 자동차를 팔건, 미션을 정의할 때는 그에 합당한 정보를 모으는 것에서부터 시작한다는 잭 웰치의 말을 떠올려보도록 하자.

* 내가 고객들에게 제공하는 건 무엇인가? 어디에서 제공하는가? 누구에게 제공하는가? 어떻게 제공하는가?

* 내가 가진 차별점은 무엇인가?

* 경쟁상대는 누구이며 비교했을 때 어떤 위치에 있는가?

이 세 문제와 같은 경우 정보를 열심히 모으기만 한다면 얼마든지 대답하는 게 가능하다. 사이버 보안에서의 미션도 다르지 않다. 처음엔 똑같이 시작한다.

* 나는 누구이며 무엇을 제공하는 사람인가?

* 그 제품이나 서비스는 어떤 방식으로 전달되는가?

* 사이버 범죄인들이 보기에 내가 가진 것 중 가장 매력적인 건 무엇인가?

* 외부에서는 나를 어떻게 정의하고 있는가? 나는 어디서 주로 노출되는가?

* 사이버 범죄에 당했을 때 가장 타격이 심한 부분은 어디일까?

* 고객들에게는 어떤 영향이 있을까? 제품들에는? 내가 생각한 차기 사업 아이템은? 거래 비밀은?

이런 문제들에 성실하게 답을 해나가다 보면 사이버 범죄자들의 공격 대상으로서 당신 스스로를 정의할 수 있게 될 것이다.

그러면 자연스럽게 ‘어떻게 방어할 것인가?’에 대한 답이 나온다. 또한 이를 회사 내부에 투명하게 공개함으로써 모두가 이해할 수 있고, 모두가 이해하면 공감도 살 수 있다. 보안은 운영진이나 보안팀만의 고민거리가 아니라는 걸 인식시켜야 한다는 미션을 어느 정도는 이룰 수 있는 것이다. 이는 보안에 있어서 각자의 역할을 보다 매끄럽게 배분할 수 있게 돕고, 그러면 기업 전체가 보다 탄탄해지는 데 이바지 할 수밖에 없다.

사이버 보안 혹은 정보 보안의 전략을 이렇게 저렇게 수립하자고 임원진들이 간단명료하게 정의하고 사원들에게 투명하게 공개하는 경우를 본 적이 있나? 나는 없다. 그렇다고 보안이 중요하지 않은 건 아니다. 오히려 날마다 중요해지고 있는 게 바로 보안이다. 정보를 모으고, 범죄인의 시각에서 자신을 바라보라. 그렇게 해서 해야 할 일을 깔끔하게 정리하고 이를 조직 내부로 퍼트리라. 보안 전략은 거기서부터 시작한다.

글 : 제이슨 폴란키치(Jason Polancich)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>