무엇이든 뚫을 수 있는 창과 무엇이든 막을 수 있는 방패. 보안은 뚫고자 하는 자와 막고자 하는 사이에서의 싸움이라고들 이야기한다. 모든 것에서 디지털화가 일어나고 있고 모든 것이 연결돼 있는 세상에서 기업은 이제 자칫 잘못하면 고객 정보를 포함한 기업의 핵심 자산들을 순식간에 잃어버리고 위기의 벼랑 끝에 설 수도 있다. 때문에 기업의 보안에 대한 중요성은 그 어느 때보다도 커져가고 있다.

그런데 보안에 관해서 우리가 굉장히 간과하고 있는 사실들이 있다. 보안이 바로 집의 대문이나 담처럼 외부의 침입을 견고하게 막는 물리적인 무엇인가로 생각하는 경향이 있다는 것이다. 외부에서 전혀 볼 수 없을뿐더러 아주 튼튼한 재료로 높은 담을 쌓으면 도둑으로부터 자산을 지킬 수 있다고 믿는 생각말이다. 이에 관해 보안전문가 신수정 인포섹 대표이사는 <보안으로 혁신하라>를 통해 보안은 방벽을 쌓는 그런 것이 아니라 사람과 사람 사이에서 벌어지는 일이라고 봐야 하며 늘 살아있는 생명체를 다루듯 접근하지 않으면 늘 소 잃고 외양간을 고치는 허탈함에 직면할 수밖에 없다고 강조한다.

바보가 아닌 이상 도둑은 높은 담벼락에 감시카메라를 설치한 집의 벽을 넘지 않는다. 도둑은 주인이 스스로 문을 열고 나오도록 만듦으로써 모든 보안 장치를 무력하게 만드는 방법을 선택한다. 바람과 태양의 우화의 예처럼, 사람이 입고 있는 옷을 벗게 만들기 위해 아무리 바람을 불어봤자 실패할 수밖에 없지만 반대로 무더운 땡볕을 내리쬐면 스스로 더워서 옷을 벗게 만드는 것과 같다. 아무리 강력한 보안 시스템을 만들었다 하더라도 내부의 임직원이 스스로 정보를 들고 나가 버리면 보안은 무력화된다.

회사의 자산을 지키는 것이 목적인 보안팀을 생각해보자. 이들은 실제의 보안 위협이나 사고에 대해서 얼마나 정직할까. 만약 보안팀이 외부의 침입을 인지하지 못했다면 당연히 보고되지 않을 것이다. 만약 보안사고가 생겼을 때는 어떻게 할까. 자신의 책임에 대한 추궁과 직업적 존재가치에 두려움을 느낀 나머지 적극적으로 보고하기보다는 감추거나 경미한 사안으로 보고할 것이다. 미국의 정보기관에서 조사한 결과에 따르면 보고율은 1% 정도에 지나지 않는다. 즉 보안시스템이 문제가 아니라 사람이 더 문제다.

보안은 생명체다. 처음에 보안시스템을 완벽히 구축해놓았다 하더라도 이후 생기는 문제들에 대해서 안심할 수 있는 것이 아니다. 사람도 달라지고 컴퓨터 등의 시스템도 계속해서 달라진다. 변하는 모든 것은 모두 보안의 대상이다. 하지만 그 모든 것을 항시적으로 추적하고 관리한다는 것은 불가능하다. 그것은 부모가 아이를 따라다니며 일거수일투족을 감시할 수 없는 것과 마찬가지다. 도리어 완벽할 수 없다고 가정하고 우리가 대처할 수 있는 관점을 들여다봐야 한다. 최선은 투명한 것이다. 가져가도 아무런 유용성이 없는 형태로 조직을 운용하는 것이다. 그 다음으로는 가져가도 소용없도록 보호 대상의 데이터에 기본적인 보안을 적용하는 형태일 것이다.

보안에 관해 투자를 하는데 있어 가장 중요한 것은 기계가 아니라 사람에 있다. 보안시스템에 대한 투자 대신 보안 인력에 대한 투자와 교육에 신경 쓰고, 회사의 구성원들의 평소 의식의 재고에 더 신경 쓰는 것이 중요하다. 이것은 내부 임직원들에 대한 관계뿐만 아니라 외부 고객과의 관계에 대해서도 마찬가지다. 보안강화를 일률적으로 고객에게까지 요구하게 되면 고객은 정작 본인이 하고자 하는 일에 어려움을 겪게 돼 기업을 등지게 된다. 사람과 사람 사이에서 중요한 것이 무엇인지를 생각하고 접근하는 것이 무엇보다 중요하다고 책은 말한다.

신수정 지음 | 엘컴퍼니 펴냄 / 1만5000원

☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제281호에 실린 기사입니다.