오늘은 보안 역량이 낮은 조직에서 건전한 보안 문화를 수립하는 것이 왜 어렵고, 어떻게 지속 개선해나가는 것이 좋을지에 대해 저의 사례를 기반으로 말씀드리고자 합니다.
정보 전달 목적의 글은 최대한 형식을 갖춰 가시성이 좋게 적으려고 하는데 ㅎㅎ 제가 적고 싶어서 적는 글 들은 그렇지가 못하네요 양해 부탁드립니다.
- 소기업에서의 보안 인식
- 보안에 대한 인식 개선과 문화의 필요성
- 끝으로
1. 소기업에서의 보안 인식
몇년 전 산업스파이 및 내부자 휴먼에러 등에 의해 정보 유출 사고가 빈번하게 발생하고, 이로인해 내부자 위협에 대한 위험성이 지속적으로 이슈화되던 시기, 한 작은 의약품회사에 미팅 기회가 생겨 방문한 적이 있습니다. 당시가 코로나 시기이던 것으로 기억하는데, 밀려오는 주문에, 물량 맞추고, 연구하고, 직원들이 얼마나 바쁘셨을까요? 미팅에서 몇마디 나눠본 결과, 그렇게 한창 바쁜 와중에도 주변에 다른 경쟁 업체들이 하나 둘 우후죽순 생겨나기 시작하자 기술유출에 대한 우려가 심화되어 보안에 대한 관심을 갖게 된 것으로 보였습니다.
미팅 이후 내부 현황조사를 하다보니 일반 가정집보다 보안이 취약한 것이 참 인상 깊었습니다. 모든 연구자료가 내부 NAS에 보관되고, 외부망으로 연결되는 장치는 달랑 공유기 하나에 의존하고 있는, 그 흔한 방화벽도 없던 환경이었습니다. 이런 환경에서 컨설턴트로서 보안 조치를 권고할 때는 근본적이고, 가장 위험한 위협 하나에 집중하여 의견을 제시하는 편이 더 나은 현실이고, 고객 또한 외부 경쟁 업체로 자료 유출이 되는 것을 심히 우려하던 상황이었기에, 저는 내부자 위협에 대한 우려를 제시했었죠. 내부 파일서버에서 접근통제와 매체제어 구현을 위한 DLP와 작업 모니터링 솔루션 등을 도입하는 것이 최우선 적이라는 말씀을 건넸던 것으로 기억합니다. 이때 해당 업체의 대표님께서 이렇게 말씀하시더라구요. “대표가 직원을 못 믿으면 어떻게 일합니까?”
앞서 말씀드렸듯, 작은 조직일수록 내부 조직원 간의 연대와, 믿음을 더욱 중요시하는 풍토가 강합니다. 저는 이것이 ‘한솥밥 먹는 식구는 가족’이라고 여기는 국내 정서에 기반한 문화적 산물이라고 생각합니다. 이것이 나쁘다는 의미는 결코 아닙니다. 다만 저는 기업이 이익집단인 만큼 상호간의 믿음을 기반으로 깊은 정서적 교류를 나누기에 적절하지 않은 형태라는 것이 우려스럽습니다.
한 가족에서 각 구성원의 역할과 말로 설명할 수 없는 끈끈함은 하루아침에 만들어지는 것이 아닙니다. 이는 오랜 시간이 지나며 조금씩 가족이라는 작은 조직에 규칙이 자리 잡고, 서로에 대한 학습이 반복되면서 말로 설명하기 어려운 무언가가 생기는 이유 때문입니다. 저는 이런 무언가가 아주 자연스럽게, 또 그 누구도 의식하지 못하는 순간에 만들어진 ‘시스템‘이라고 생각합니다.
시스템이라고 꼭 문서와 절차로 정의되거나 220V의 전원이 공급될 필요는 없습니다. 늦게 들어오지 않기, 거짓말 하지 않기 등 작은 규칙들이 정해지고, 만약 어린 시절부터 해당 규칙의 적용하에 여러 경험들을 직/간접적으로 학습해 왔다면, 마치 이런 규칙들은 특정 소프트웨어에 하드코딩된 명령들 처럼, 우리 내면에 깊이 스며 들어,하나의 시스템으로서 작용하는 것이죠. 또한 해당 시스템의 결과 값은 대부분 가족의 번영이라는 공동의 가치와 관련됩니다. 다시 묻고 싶습니다. 대부분의 임직원들의 동기가 대표님과 같은 ‘조직의 번영‘인지 말입니다.
2. 보안에 대한 인식 개선과 문화의 필요성
한참 CISSP 취득을 목적으로 각종 해외 정부 및 기관, 표준, 참조모델 등을 학습 하던 시기에 ‘CPTED(Crime Prevention Through Environmental Design)’라는 범죄예방설계 원리를 보았습니다. 이는 깨진 유리창 이론(Broken Windows Theory)과는 전면 반대되는 것으로, 보안 구조가 설계되고, 또 의도대로 동작하는데 그에 속한 구성원들이 의식하지 못하도록 자연스러운 감시와, 위축 등이 가능하도록 심리적으로 접근한다는 점에서 매우 인상 깊었습니다. 저는 그 이후로 CPTED에 대해 관심을 갖게 되었습니다.
현대 조직들은 조직의 보안 체계를 연속적으로 유지하는데 막대한 비용을 소모하고 있습니다. 만약 보안 체계를 운영하지 않는 조직이라면, 정보 유출과 같은 사고의 발생으로 인한 피해를 복구하는데 이와 같은 비용을 소모하겠죠. 저는 초기 단계에서부터 인간의 심리를 고려한 보안 설계를 만족할 수 있다면, 운영 단계에서 추가적인 비용을 낭비하지 않을 뿐더러, 조직의 보안 역량 향상에 직접적으로 기여할 수 있는 방안이 될 수 있을 것이라고 생각합니다. 그리고 믿습니다. 해당 조건을 달성하는데 건전한 보안 문화의 정착이 가장 원론적이고, 궁극적인 대책이라는 것을 말입니다.
문화란 단기간에 자리 잡기 어려운 그 구성원들 간의 보편성을 기반으로 성장하고, 완성되는 복잡한 개념입니다. 문화가 사회 통념상 ‘좋은 것’이라고 분류되기 위해서는 만족해야 할 많은 과제들이 존재하죠. 과제를 처리하는 것이 비단 경영진의 책임만은 아닙니다. 하지만, 가장 기본적으로 사내 보안을 전개해 나갈 책임이 있는 경영진이 보안을 단지 ‘의심하는 행위’라고 여기는 잘못된 사고를 먼저 바로잡을 필요는 있어 보입니다.
3. 끝으로
우리는 일상생활에서 정말 많은 부분에 보안을 적용하고 있지만 이를 모른 채 살아갑니다. 사생활 보호 필름을 핸드폰에 부착하는 것은 개인의 프라이버시와 기밀성을 지키기 위한 비밀성 확보 전략이며, 거울에 비친 내 모습을 계속 확인하는 것은 일종의 무결성 확보 전략이라고 볼 수도 있습니다. 또한, 계약서에 서명을 통해 추후 번복 등을 예방하는 것은 메시지 송수신 간 가장 중요한 인증과 부인방지의 일종이라고 볼 수도 있습니다.
이 외에도 버스 시간에 늦지 않기 위해 10분 서두르는 것, 사고에 대비하기 위해 보험에 가입하는 것, 스트레스를 관리하고 꾸준히 운동하며 좋은 음식을 섭취하여 우리에게 가장 중요한 생명을 지키기 위해 노력하는 것 모두 보안과 밀접하게 연결됩니다. 숨 쉬듯 보안을 신경 쓰는 자세야말로 조직 내 보안 역량을 강화하고 건전한 보안 문화를 달성하는 데 가장 중요한 부분임을 인지하고 받아들이는 것은 어떨까요?