보안, 말과 생각이 아니라 행동으로 나오는 성과
실천하지 않는 사용자, 실천 없는 보안이 만들어낸 건 아닌지

[보안뉴스 문가용] 보안 전문가, 보안 지도자, 보안 프로그램, 보안 문화 등등 보안과 관련된 모든 것들에서 제일 중요하면서 제일 무시 받는 가치는 무엇일까? 일관성이라고 생각한다. 사람에 따라 ‘일관성’의 의미가 조금씩 다른데 필자가 생각하는 것은 ‘말과 행동의 일치’와 ‘보이는 것과 실상의 일치’다. 인터뷰는 능수능란하게 하는 칼럼니스트가 사실 코드를 열 줄 이상 해석할 힘이 없다던가, 세계 1위 제품이라고 해서 사봤더니 무료 백신보다 조금 더 나은 수준인 것을 우린 심심찮게 경험하지 않는가?


개인에게서 이러한 일관성이 부족하다고 한다면, 그것은 개인의 문제이지만 조직 전체가 이런 문화에 잘못 젖어든다면 큰일이다. 그리고 이상하게 나쁜 것들은 금방 전파되고 받아들여진다. 우리 회사는 괜찮다고 자부하는가? 그렇다면 다음 몇 가지 징조들을 살펴보라. 조직문화에서 ‘일관성’이 제대로 갖춰지지 않았을 때 나타나는 흔한 현상들이다.

1. 행동 없는 말 : 행동이 말보다 훨씬 설득력이 높고, 성과도 좋다. 스스로는 지키지도 못할 말을 하는 것, 조직의 리더가 가장 쉽게 빠질 수 있는 함정이다. 그리고 이는 위에서부터 아래로 재빨리 퍼진다.

2. 말로 하는 지시, 보여주는 지시 : 의외로 굉장히 흔히 나타나는 패턴인데, 보안이 중요하니 이런 저런 실천사항들을 반드시 지켜야 한다고 감시하고 잔소리하는 사람들 중에 자기가 말한 걸 스스로 제대로 지키지 않는 경우가 참 많다.

3. “뭔가 하긴 해야 하는데...” : 이 말을 얼마나 많이 들었는지 셀 수도 없다. 거의 모든 사람들의 입에 붙어 있는 듯한 표현이다. 자매품으로는 “일단 생각해 봅시다”가 있다. ‘뭔가’는 누구나 할 수 있고, 생각해보는 것 역시 누구나 할 수 있는 일이다. 아무런 도움도 되지 않을뿐더러, 당신이 지금 일을 미루고 있다는 뜻으로밖에 받아들여지지 않는다.

4. “우리 팀은 최고 인재들이 모여 있는 곳” : ‘최고의 인재’라는 말은 기업 홍보 문구에 자주 등장하는 표현이다. 보안업체들 말고도 이런 표현을 써가며 회사 광고를 하는 곳들은 굉장히 많다. 실상은 어떤가? 당신은 잘 알고 있지 않은가? 이런 말이 내부에서 오갈 때는 보통 ‘그냥 이 수준에서 만족하자’는 뜻이다.

5. “정보? 중요하지. 정말 중요하지” : 아, 정말? 와우! 솔직히 매체에 나가는 칼럼이 아니라면 ‘ㅋ’을 연타하고 싶다. 앵무새나 ARS가 할 말이다. 쓸데없는 것 혹은 다들 잘 아는 상식만 강조하는 건 그 외의 ‘콘텐츠’가 없다는 뜻이다. 특히 보안 관계자나 보안 담당 부서에서 이런 말을 습관적으로 한다는 건... 뒷말은 생략한다.

이런 문제들이 정보보안에 어떤 영향을 미치는지, 또 어떤 조치를 취할 수 있는지 몇 자 적어보겠다.

1. 행동 없는 말 : 보안 전략이니 글로벌한 솔루션이니, 하는 이야기는 지겹도록 듣는다. 그런데 이런 거창한 그림을 세분화하고 잘게 쪼개서 매일 우리가 실천할 수 있는 작은 항목들로 말할 수 없다면, 그림의 떡일 뿐이고 그 사람 입에서 생성되고 동시에 소멸되는 ‘해프닝’일 뿐이다. 이런 일이 반복되면 아무도 그 좋은 전략과 명강연도 귀담아 듣지 않는다. 지식의 흐름이 멎고, 기억에서 보안은 점점 사라진다. 지금도 기본 실천 사항들을 잘 안 지키는 사람이 수두룩한데 말이다.

2. 말로 하는 지시, 보여주는 지시 : 위와 동일하다. 행동으로 옮기지 못할 거라면 차라리 말이라도 말아야 한다고 생각한다. 그러면 최소한 감점은 면할 수 있으니까. 게다가 요즘 사람들이 지시라는 걸 제대로 받아들이는가? 분야를 막론하고 사람들이 리더십에서 찾고 있는 건 ‘행동’이다.

3. “뭔가 하긴 해야 하는데...” : 운동선수들은 대부분 반사 신경이 뛰어나다. 일반인들도 무릎을 톡톡 건들이면 다리가 자동으로 탁탁 올라오는데, 이걸 보고 반사 신경이 뛰어나다고 하지는 않는다. 왜냐하면 득점을 하거나 빨리 뛰는 데에 아무런 도움이 안 되는 것이기 때문이다. 뭔가 하긴 해야 한다고 반사적으로 하는 말 한 번에 보안에 대한 신뢰가 한 겹씩 엷어진다. 뭔가 하긴 해서 나오는 성과도 대단치 않을 확률 또한 줄어든다.

4. “우리 팀은 최고 인재들이 모여 있는 곳” : 정말 이 말이 하고 싶다면 팀원들을 훈련시킬 줄 알아야 한다. 또한 필요한 도구를 손에 쥐어줄 수 있어야 한다. 말을 줄이라고 교육을 시키고 무릎이 노크 몇 번에 움찔거리는 것과 같은 유용성이 희박한 반사 신경 같은 말은 삼가라고 해야 한다. 사내 정치 싸움에도 휘말리지 말고 묵묵히 자기 자리에 서있는 사람이 되어야 ‘보안’이라는 귀중한 가치가 이해관계에 좌지우지되지 않을 수 있다.

5. “정보? 중요하지. 정말 중요하지” : 그렇다면 정보를 보호하고 도난을 방지하기 위한 조치를 어떻게 취하고 있는가? 정보의 중요도를 세분화, 등급화 하고, 사고가 일어났을 때의 시나리오를 미리 마련해, 사고의 종류에 따라 대처법을 준비해놓고 있는가? 정말로 중요한 일은 시키지 않아도 몸이 저절로 움직이기 마련이다. 실천은 애써해야 하기도 하지만 저절로 되기도 한다. 중요하다는 말에는 그래서 체중만큼의 무게감이 실린다.

글 : 조슈아 골드팝(Joshua Goldfarb)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>