경영이론가 피터 드러커는 “아무리 좋은 전략이라도 기업문화가 뒷받침되지 않으면 소용없다.”고 말한 바 있습니다. 여타 비즈니스 영역들과 마찬가지로 IT 보안에도 적용되는 사실입니다. 직원들의 보안의식이 낮다면, 보안정책도, 첨단기술로 무장한 제품과 분석툴도, 보안전담 전문가조차도 무용지물이기 때문입니다.
기업은 무엇보다도 사람의 집합체입니다. 직원들의 일상적인 습관, 그들이 내리는 결정들, 우선시하는 목표들이 보안보다는 수익성이나 생산성 같은 요소에 더 초점이 맞춰져 있다면 보안은 취약해질 수 밖에 없습니다.
이러한 기업의 문화를 바꾸는 것은 결코 쉬운 일이 아닙니다. 문화는 한 집단에 속한 사람들이 공유한 가치, 신념, 관념 등을 일컫는 말입니다. 문화는 사람들이 세상을 바라보고 세상 안에서 행동하는 방식에 영향을 끼치기도 하죠.
그렇다면 문화는 보안에 어떤 영향을 줄까요? 한 기업의 문화가 다른 기업의 문화보다 더 안전하거나 덜 안전한 것이 과연 가능할까요? 물론입니다. 몇몇 기업들이 다른 회사들에 비해 작업장의 안전문제를 좀더 심각하게 받아들이는 것처럼, 정보 보안 습관도 기업마다 다를 수 있습니다.
피싱(phishing), 소셜 엔지니어링(social engineering), 테일게이팅(tailgating)처럼 인증 받은 직원들이 회사 내부로 들여오게 만드는 해커들의 공격 수법을 생각해 보세요. 보안 전문가들은 사람과 기술 시스템을 대결구도로 만드는 이런 공격들에 점점 더 익숙해지고 있습니다. 하지만 동시에 취약한 보안 문화는 보다 다양한 방식으로 보안위협을 증가시키고 있습니다.
가령 고객용 소프트웨어 제품을 개발하고 있는 한 개발자가 있다고 가정해 봅시다. 그리고 그가 제품을 정해진 예산과 일정에 맞춰 완성하는지 여부가 회사의 사업성패를 가르고, 그의 연봉이며 보너스, 승진에까지 결정적인 영향을 미치는 분위기라고 합시다. 하지만 이 회사는 소프트웨어의 보안 결함이 치명적일 수 있다는 사실을 잘 알고 있기 때문에, 개발자가 코드검수와 품질보장 프로세스를 진행해 소프트웨어의 버그를 최소화하도록 규제하고 있습니다.
이처럼 보안이 프로젝트 마감기한 같은 다른 목표들과 상충할 때, 조직문화는 비로소 진정한 시험대에 오르게 됩니다. 만약 제품을 일정에 맞춰 완성하려면 보안까지는 도저히 신경 쓸 수없을 때, 과연 어떤 일이 벌어질까요?
개발자는 보안과 마감일정 사이에서 우선 순위를 정해야만 합니다. 보안검수 과정을 단축하거나 아예 생략한다면 마감기한까지 소중한 시간을 아낄 수 있을 지도 모릅니다. 바로 여기서 조직문화가 제대로 드러납니다.
보안을 가장 우선시한다고 표방하면서도 그에 따른 상벌체계가 갖춰져 있지 않은 기업이라면 직원들은 각자 경우에 따라 처신할 것입니다.
조직문화를 쇄신하려는 기업이라면 직원들의 일상적인 습관과 업무방식을 바꾸고, 기업에게 가장 중요한 것이 무엇인지 재검토 해봐야 합니다. 앞서 예로 삼은 회사의 개발자라면 나중에나 문제가 될 보안 결함 보다는 제품 완성 지연이라는 단기적인 문제가 더 큰 위협으로 다가올 것입니다. 이 기업은 보안을 중요시 한다면서도 결국 단기적 성과에 신경 쓰느라 취약한 보안 문화를 장려하고 있는 셈입니다.
보안문화를 포함해 일하는 방식을 바꾸는 것은 세상에 대한 사고방식을 바꾸는 것을 의미합니다. 조직문화를 쇄신하는 일이 훈련 프로그램이나 인식교육 프로그램을 마련하는 것처럼 쉽다면, 모든 기업이 Apple이나 Baidu처럼 혁신적이며, Tata나 Berkshire-Hathaway처럼 전략적인 회사가 됐을 것입니다. 어제는 별로 중요하지 않았던 일들이 오늘은 우선순위가 되는 현실 속에서, 전혀 다른 패러다임으로 재빠르게 변화를 일궈내려면 리더십과 고된 노력이 필요합니다.
사람들이 네트워크에 연결된 세상, 그리고 사물인터넷(Internet of Things) 세상에서는 보안이 수익과 효율성 제고에 있어서 다른 비즈니스 요소들만큼이나 중요해졌습니다. 이제 기업이 기술에 대한 보안 태도에 걸맞은 보안문화를 만들기 위해 분투해야 할 때입니다.
회사 보안에 대해 생각해볼 때는 “우리 회사의 조직문화는 회사 보안 프로그램에 어떤 도움을 주고 있지? 혹은 어떻게 방해가 되고 있지?” 하고 자문해봐야 합니다. 기업 보안 문화를 평가할 때 생각해봐야 하는 핵심 질문들을 모아봤습니다.
직원들 개개인이 보안에 대해 적극적인 책임감을 갖고 있습니까, 아니면 보안은 그저 남의 일이라고 생각합니까?
회사는 직원들이 보안 과실을 찾아내고 이를 보고하도록 장려하고 있습니까, 아니면 이런 ‘나쁜 소식’은 꺼려합니까?
직원들이 보안정책과 따로 노는 행동을 하고 있는 상황들에 대해 들어본 적이 있습니까?
보안이 기술의 문제, 컴플라이언스의 문제, 정책의 문제 중 주로 무엇으로 간주됩니까?
안전과 보안 분야에서 ‘방화벽’이란 단어는 오랜 역사를
갖고 있습니다. 본래 물리적 설비에서 열 차단벽을 가리키던 용어를
IT 보안 분야에서 차용해와 보안 공격을 막아주는 네트워크 장벽이란 뜻으로 쓰게 되었습니다. 오늘날의
기업조직은 기술을 이용하는 사람들로 이루어졌습니다. 점점 더 많은 것들이 네트워크에 연결되어 매일 새로운 위협과 맞닥뜨리게 될
세상에서, 인간 방화벽은 차세대 방어 전략이 될 것입니다.
