보안 업계의 화법, 사용자와 경쟁사 내리까는 시선 다분해
고압적인 말과 태도로 ‘투사’만 일으키니, 진정한 변화 꾀할 수 없어

[보안뉴스 문가용 기자] 최근 두 명의 지인이 꽤나 격렬한 토론을 벌이는 걸 목격했다. 아이를 양육하는 문제와 관련된 것이었는데, 한 분이 다른 분의 양육 방식을 비판하면서 벌어진 일이었다. 둘 다 좋은 사람들이었지만, 세상에 완벽한 사람이 어디 있겠나. 또 자신에 대한 비판을 잘 받아들이는 사람 역시 드문 것이 사실이다. 난 어느 편도 들 수 없었지만 둘의 토론을 지켜보며, 한 가지 중요한 개념에 대해 생각해볼 수 있었다. 바로 ‘투사’다.


‘투사’는 심리적 방어 기제 중 하나로 위키피디아의 정의는 다음과 같다. “인간이 자신도 인지하지 못하는 충동이나 특성(긍정적인 것과 부정적인 것 모두)에 대하여 그 존재를 부정함으로써 스스로를 방어하는 방법.” 필자는 심리학 전공자도 아니고, 심리학에 대해 취미도 가지고 있지 않아 자세히 모르겠지만, 위키피디아의 내용만 읽어도 왜 그 날 토론이 그렇게까지 격렬하게 이어졌는지는 이해할 수 있었다.

그렇다면 이 ‘투사’와 보안은 어떤 관계에 있는 걸까? 이야기를 풀어보자면, 필자의 생각에 보안 업계는 일반 기업이나 일반 사용자의 약점에 대하여 지나치게 비판적이다. 그리고 솔직히 말해, 그렇게 침 튀기며 비판하는 내용을 보안 전문가 스스로도 가지고 있다. 이 부분은 굉장히 중요한데, 사람이나 기업이 변하는 건 자신의 약점을 ‘스스로 볼 때부터’이다. 즉 ‘난 이게 약해’라고 스스로 인정이 될 때 변화를 기대할 수 있는 건데, 보안 전문가들이 한 수 가르쳐준다며 비판조로 잘못을 짚어대니 투사라는 현상이 발동되는 것이다. 보안 업계 종사자들이 주로 하는 비판들을 정리해보았다.

1) “사용자들은 자기가 뭘 하고 있는지도 몰라” : 무수히 많은 보안 전문가들로부터 무수하게 들어본 문장이다. 여기서 ‘사용자’에는 사람의 이름이 들어간다. 자매품으로는 “그 사람은 보안에 대해서 일자무식이야.”가 있다. 물론 보안 전문가가 지칭하는 그 인물(들)이 정말 아무 것도 모를 수 있다. 실제로 그런 사람은 수두룩하게 많기도 하다. 하지만 이렇게 내려다보는 시선 때문에 그가 변하지 않는다는 걸 기억해야 한다. 자기가 담당하는 조직 내 누군가가 보안에 대해 모른다는 건, 보안 전문가가 일을 제대로 하지 않았다는 뜻도 된다.

2) “보안 책임자라고 하지만 비전도 없고 방향도 잡지 못해” : 높은 자리에 앉아 있지만, 지도자다운 모습을 보이지 못하는 사례가 없지 않은 것을 우린 잘 알고 있다. 지도자답지 못한 지도자들은 비전도 제시하지 못하고, 조직을 일정한 방향으로 끌고 가지도 못한다. 그런데 이런 경우는 생각보다 흔치 않다. 필자의 경험상 지도자의 위치에 있는 사람들은, 그럴만한 능력을 갖춘 사람들이었다. 물론 완벽한 사람은 없지만, 책임을 져야 하는 자리에 있는 사람들은 한두 가지 남들에게 없는 장점을 가지고 있었다. 상사의 자리는 약점이 잘 노출되는 곳이다. 그런 사람들의 약점을 발견했다고 좋아하는 건 누구나 할 수 있는 일이다. 그들의 모습을 보면서, 나에게 없는 점을 발견하는 건 아무나 할 수 없는 일이다.

3) “저 팀(회사)은 제대로 된 사람이 없어” : 이상적인 인재들로만 구성된 팀은 아마 이 세상에서 찾을 수 없을 것이다. 어느 팀이건 구성원 모두가 한두 가지씩 약점을 가지고 있기에, 결국 팀 운영이나 사업 경영은 ‘우선순위 정하기’로 귀결된다. 제일 중요한 것에 최대한의 자원과 인력을 배치하는 것이 바로 운영이다. 그리고 우선순위라는 건 사람마다, 보는 관점에 따라 달라지기 마련이다. 우리기 보기에 제대로 된 사람이 없어 보일지라도, 그 조직이 별 탈 없이 살아있다면, 나름 잘 하고 있는 것이다. 그러니 손가락질을 멈추고, 좀 더 향상될 부분을 찾아주는 것이 모두에게 이롭다.

4) “보유하고 있는 보안 기술에 문제가 있어” : 보안 회사나 보안 전문가마다 굉장히 선호하는 보안 기술이나 툴이 있다. 그리고 대부분 자신의 선호도를 진리처럼 받아들이고, 주위 사람들도 그렇게 해주길 바란다. 하지만 보안 기술이나 툴, 솔루션은 조직을 운영하는 데 있어서 위험부담을 최소화 하는 것일 뿐이다. 그리고 조직마다 관리해야 하는 위험의 종류도 다르고, 그것에 대한 접근법도 다를 수밖에 없다. 그런 맥락 없이 선호하는 툴을 고집하는 건 위험 관리로서의 보안을 모른다는 소리밖에 되지 않는다. 전문가가 하나의 고지식한 장인이 되어 특정 툴이나 기술을 고집하는 순간 보안은 제자리걸음을 걸을 운명에 처하게 된다. 내가 좋아하는 걸 주장하기 전에, 조용히 전체 상황에 대한 이해도를 높이는 게 훨씬 생산적이다.

5) “우리만큼 잘 하는 사람들이 아니야” : 우리 조직에는 아무 일도 일어나지 않는데 다른 곳에서 사건들이 빵빵 터져나가면, ‘역시 우리 최고’라는 생각이 들기 마련이다. 같은 지역, 같은 시장, 같은 업종으로 경쟁하는 회사들에 대하여 비판적인 눈을 치켜뜨는 것도 자연스러운 일이다. 그런데 필자가 여러 보안 회사들의 직원과 중역들을 만나본 결과 다들 ‘우리는 그래도 평균 이상’이라고 진지하게 생각하고 있었다. 모두가 평균 이상인 단체로만 구성된 보안 업계라니... 그런데 왜 우리는 허구헌 날 당하기만 하는 걸까? 물론 정말 평균 이상의 월등한 조직도 있다. 그러나 평균값이 존재한다는 건, 평균을 밑도는 누군가도 존재한다는 뜻이다. 자신감을 갖는 것도 좋지만, 스스로에 대한 객관성을 잃으면 누구도 설득할 수 없는 ‘보안 꼰대’만 될 뿐이다.

글 : 조슈아 골드팝(Joshua Goldfarb), IDRRA

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>