명함을 주고 받으면서 꼭 듣는 말 중에 하나가 보안팀의 이름이 매우 특이하다는 말이다. 우선 생소한 보안문화 용어에 대해서 이야기 하기 전에 어느 정도 익숙한 기업문화라는 용어에 대해서 먼저 알아보기로 하자.
기업문화랑 한 조직의 구성원이 어떤 일을 함에 있어서 구성원이 공유하고 있는 신념, 가치관 또는 체계라고 할 수 있을 것이다. 이러한 기업문화는 기업이 영위하는 사업의 종류, 기업의 크기에 따라서도 모두 다를 것이다. 예를 들어 삼성전자나 포스코 또는 현대자동차와 같은 제조업 기업의 경우에는 기업문화가 상대적으로 딱딱하며 수직적인 의사결정 구조를 가지고 있는데 반해 자사와 같이 서비스를 제공하는 회사는 상대적으로 자유분방하고 수평적인 의사결정 구조를 가지고 있다고 할 수 있다. 따라서 이러한 회사의 구성원들이 공유하고 있는 기업문화가 어떻게 되어 있느냐는 어떤 일이 발생하였을 때 이를 어떻게 해결을 하는지와 매우 밀접한 관계가 있다고 할 수 있다.
기업이 사업을 하는 과정에서 반드시 하여야 하는 것이 위험 관리이다. 관리를 하여야 하는 위험 중에 하나로 보안를 꼽을 수 있으며, 최근에 발생하는 여러가지 보안 사고로 인해서 그 중요도가 점점 높아지고 있는 것이 현실이다. 이렇게 관리하여야 하는 위험 중에는 특정 부서에서만 관리하면 되는 것도 있을 수 있지만 전사의 구성원이 모두 책임 의식을 가지고 노력을 하여야 하는 것도 있다.
예를 들어 기업의 윤리는 법무팀이나 윤리경영팀의 노력만으로는 되지 않고 모든 구성원이 노력을 하여야 하는 것처럼 보안도 역시 모든 기업의 구성원이 노력을 하여야 하는 위험 중의 하나인 것이다. 따라서 구성원들이 보안을 어떻게 생각하고 관리를 하게 할 것인지는 기업 구성원 사이에 공유되어 있는 기업문화를 먼저 고려하여 이에 맞게 접근을 하여야 한다. 그렇지 않을 경우 전사에 공표된 정보보호 정책과 정보보호 지침은 구성원들이 지키지 않는 사문서에 지나지 않게 된다.
올해 ISACA에서 "Creating a Culture of Security”라는 문서가 출판이 되었다. 해당 문서의 결론 중에 하나도 역시 ‘보안문화는 보안 지침 이상이다’라는 말로 시작을 하고 있을 정도로 기업 보안이 제대로 관리 되기 위해서 보안문화 형성이 얼마나 중요한지에 역설을 하고 있다.
그럼 보안문화를 형성하기 위해서 노력한 자사의 몇가지 사례를 통해서 기업문화와 일치하는 보안정책 시행의 효과에 대해서 알아보기로 하자. 자사의 경우 정기적으로 임직원을 대상으로 보안 훈련을 실시하고 있다. 훈련을 실시하기 전에는 실시 여부에 대해서 전사 공지를 하고 그 결과에 대해서는 순위와 같이 전사 공지를 하는 방법을 이용했었다.
하지만 몇년간 이러한 훈련을 실시해 본 결과 훈련의 효과는 좋아지지 않았고 오히려 구성원들 사이에 보안에 대한 거부감만 더 커지게 되었다. 이러한 문제점을 해결하기 위해서 전사 공지되는 이벤트 중에 참여도가 높은 이벤트의 진행 방식에 대해서 분석을 하기 시작하였고 그 결과 보안 훈련과 관련해서 몇가지 문제점이 발견이 되었다.
그것은 보안 훈련이 우수 부서에 대한 incentive를 부여하는 것이 아닌 성과가 낮은 부서에 대한 penalty를 부과하는 형태로 진행이 되었으며 그 공지 내용 또한 만화와 같이 재미있는 문장과 그림을 이용한 다른 공지와는 달리 딱딱한 공문과 같은 형태의 제목으로 공지가 되어 있어서 구성원의 시선을 끌지 못한 것이었다. 이렇게 진행 방식을 penalty에서 incentive 부과 형태로 바꾸고 친숙한 그림과 재미있는 문장을 이용해서 공지하는 형태로 바꾸는 것만으로 그 효과는 금방 나타났다.
사내 보안 훈련에 대한 부정적인 말들이 사내 게시판에서 사라지고 적극적으로 훈련에 참여하게 된 것이었다. 그 결과 현재는 사소한 스팸메일 하나도 악성 코드 포함 되어 있는지 구성원들이 자발적으로 확인을 요청할 정도가 되었다.
또 하나의 예로서 사내에서 자주 있는 보안점검으로 인해서 적발되는 인원이 있는 그 중에는 여러가지 사유로 억울함을 호소하는 사람이 종종 있다. 이러한 경우에는 구성원을 신뢰하자는 입장으로 특별한 이슈가 있는 경우가 아니면 구성원의 사유를 인정을 해주고 있다. 물론 일부 인원의 경우에는 그렇지 않은 경우도 있을 수 있지만 이는 자사 대부분의 구성원들이 공유하고 있는 가치관과 신념이 무엇인지에 대해서 고민을을 한 후에 결정을 한 것이며 실제 보안 업무를 수행하여야 하는 사람은 보안팀이 아닌 기업 구성원 모두라는 것을 고려한다면 구성원이 인정하기 어려운 보안업무는 진행이 되기 어려운 것이 사실이다.
위에서 예로 든 것은 정기적으로 실시하는 이벤트만으로 보안문화가 형성이 되게 하는 것에는 분명히 한계가 있다. 실제적으로 보안문화를 형성하기에 가장 좋은 수단은 아마도 정기적으로 그리고 지속적으로 실시하는 보안교육 프로그램이 될 것이다.
하지만 대부분의 기업에서 보면 보안교육은 형식적으로 매년 똑같은 내용으로 실시가 되는 경우를 많이 볼 수 있었으며 자사에서도 초창기에는 그렇게 프로그램이 운영이 되었었다. 그러나 보안교육도 구성원이 선택해야 되는 많은 교육 프로그램 중의 하나로 선택이 되어진다는 의미로 본다면 보안교육 프로그램은 보안팀이 내부 고객에게 판매해야 되는 일종의 상품 또는 서비스라고 볼 수 있다.
모든 사람이 필요로 하는 속옷이라고 해도 무조건 만든다고 팔리지는 않는 것처럼 정확하게 고객을 누구로 볼 것인지 고객의 요구 사항은 무엇인지에 대해서 분석이 먼저 선행이 되어야 한다. 보안교육 프로그램도 이와 같이 요구 사항이 다른 전사 구성원에게 동일한 품질의 것을 판매할 수는 없다. 따라서 보안교육 프로그램에서도 정교한 마케팅 전략의 적용이 필요한 것이며 이런 전략을 통해서만이 보안교육을 통해서 효과적으로 기업에 보안문화를 빠르게 정착하는 것이 가능할 것이다.
만약 회사의 보안정책이 잘 이행이 되지 않는다면 협조가 잘 되지 않는 부서 또는 구성원이 현재 하고 있는 업무 수행 절차를 한번 확인해볼 필요가 있다. 왜냐하면 그 해당 부서의 입장에서는 보안팀만 예외적인 절차와 방법으로 업무를 요청하고 있는 것일 수 있기 때문이며 이러한 것은 오랫동안 지속이 되기 힘들다. 또한 보안 위험을 제거하기 위한 의사 결정 방법 역시 기업 내에서 선호되는 의사 결정 방식을 따르고 있는지에 대해서 확인을 해 볼 필요가 있다.
이는 기업문화에 따라 의사결정 방식이 Top-Down 형태가 될 수도 있고 Bottom-Up 형태가 될 수도 있는데 Bottom-Up 형태의 의사결정이 이루어지는 기업에서 보안팀만 Top-Down으로 의사결정을 하고 과제를 추진하게 된다면 현업 담당자의 반발로 실제 과제가 수행되기 어렵기 때문이다.
마지막으로, 보안관리 역시 기업이 영업활동을 하는데 반드시 필요한 위험관리 요소 중의 하나이며 구성원들 간에 공유된 기업문화 틀 내에서 의사결정되며 처리되어야 하는 하나의 활동이기 때문에 이미 조직 내에 형성되어 있는 기업문화와 보안문화가 조화롭게 어울리고 있는지에 대해서 확인을 하여야 하며 문제가 발견이 된다면 보안 엔지니어의 시각이 아닌 일반 구성원의 시각으로 개선책을 마련할 필요가 있다.
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지