XI. 우리 조직 보안문화 진단하기

통합형 진단 방법과 데이터 수집 및 분석

1. 진단의 첫걸음: 무엇을, 어떻게 볼 것인가

1.1 숲과 나무를 함께 보는 3단계 통합 진단법

10장에서 분석한 세 가지 접근법은 보안문화의 서로 다른 측면을 보여줍니다. 각 방법은 장단점이 뚜렷하고 상호 보완적이므로, 실제 진단에서는 이들을 통합적으로 활용하는 것이 가장 효과적입니다. 또한 진단 결과의 신뢰성과 실효성을 높이려면 순서도 중요할 것입니다.

1단계_다차원/구성요소 진단: 조직의 보안문화 수준을 7~10개 주요 영역으로 세분화하여 전체 현황과 구조적 강점·약점을 객관적으로 파악합니다. 정량적 데이터 중심이라, 이후 문화유형이나 성숙도 평가의 기반이 됩니다.

2단계_문화유형 진단: 1단계 결과와 별도 설문을 결합해 조직 특유의 보안문화적 성향과 유형을 분류합니다. 이 과정에서 보안문화의 방향성과 맥락이 명확해집니다.

3단계_성숙도 진단: 앞선 단계에서 확보한 데이터를 바탕으로, 별도의 문화성숙도지표(CMI)를 활용해 조직 전체의 현재 성숙도 단계, 목표, 벤치마킹 대상, 개선 로드맵을 설계합니다.

보안문화 모델 접근방법과 장단점 분석

1.2 ‘우리’의 특수성: 한국 보안문화를 위한 전략적 시각

한국 사회는 고유의 문화적 특성과 빠른 디지털 전환이라는 환경적 변수로, 보안문화 진단에 있어 별도의 접근이 필요합니다. 무엇보다 한국 조직의 진단에서는 한국적 조직문화의 특수성을 충분히 이해하고 반영해야 합니다. 한국은 집단주의와 공동체 의식이 강해, 조직 내 상호의존·자기 억제·집단 내 협력 등이 중시됩니다. 이 같은 특성은 보안 규정 준수에 긍정적일 수 있지만, 동시에 권위주의나 관계 중심 문화는 보안 원칙의 실효성을 저해하는 요인이 되기도 합니다[1].

또한, 한국 조직 내에는 다양한 세대가 함께 일하고 있습니다. 베이비부머 세대(1955~1963년생)는 안정성과 규칙을 중시하는 반면, X세대(1970~1980년생)는 개인주의와 효율성을, MZ세대(1980~2000년대생)는 워라밸과 자율적 선택, 자기 성장의 기회를 중요하게 생각합니다. 이러한 세대별 인식과 행동 차이는 보안 교육 및 정책 수립 시 반드시 고려되어야 할 핵심 요소입니다.

결론적으로, 실효성 있는 보안문화 진단을 위해서는 한국 조직문화의 특수성과 세대별 차이를 충분히 반영하는 진단 및 전환 모델이 요구됩니다. 그렇지 않으면, 진단 결과의 실질적 의미와 효과도 크게 떨어질 수 있습니다.

2. 1단계: 10가지 차원으로 본 보안문화 현주소

현실적으로, 보안 문화란 개인과 조직 두 축이 따로따로 움직이는 게 아니라 서로 긴밀하게 얽혀 있습니다. 둘 중 하나만 보고 진단하는 건 한계가 명확하죠. 그래서, 실질적이고 지속적으로 효과를 내는 보안문화 진단을 원한다면, 이 두 수준을 함께 고려해야 합니다.

2.1 진단 모델

A. 인간행동적(심리·행동) 수준

태도(Attitudes): 직원 개개인이 보안 이슈에 대해 어떤 감정과 인식을 갖고 있는지

행동(Behaviors): 실제로 보안 정책을 잘 준수하는지, 위험 상황에 어떻게 대응하는지

인지(Cognition): 보안 관련 지식, 정보 해석 능력, 위험 상황에 대한 인지

규범(Norms): 조직 내 비공식적 규칙, 동료 압력 등 집단적 기대

책임(Responsibilities): 각자의 보안에 대한 책임감, 적극적 참여 의지

B. 조직·경영적(구조·시스템) 수준

리더십(Leadership): 경영진의 보안 우선순위 설정, 직접적 참여 및 모범

의사소통(Communication): 보안 정보의 통합적 전달 및 피드백 체계

정책/절차(Policies & Procedures): 공식 보안 정책의 준수와 업무 프로세스 내 실질적 적용

통합(Integration): 보안이 실제 업무 흐름에 얼마나 자연스럽게 융합되어 있는지

성과측정/피드백(Measurement & Feedback): 보안 활동에 대한 성과 측정 및 인센티브, 개선 피드백 제공

이 10가지 차원으로 구성된 진단 모델은, 기존에 널리 쓰이던 K. Roer와 ENISA의 7개 차원 모델을 기반으로 하면서, 리더십·업무통합·성과측정 등 조직적 요소를 강화한 것입니다. 덕분에 글로벌 기준과 호환되면서도, 실제 조직 환경을 보다 입체적으로 진단할 수 있습니다[2][3].

2.2 데이터 수집 및 분석

진단 모델을 제대로 활용하려면, 다양한 방식으로 데이터를 수집해야 합니다. 설문지, 행동로그, 피싱테스트, 인터뷰, 워크숍/포커스그룹 등 다양한 도구를 병행하고, 각 차원별로 실무에 적용 가능한 진단 항목을 개발해야 합니다.

개인 수준의 구성요소 진단항목과 데이터 수집방법 예시

조직 수준의 구성요소 진단항목과 데이터 수집방법 예

예를 들어, 설문조사는 대규모 정량적 진단(5점 척도, 익명 응답)에 적합하고, 행동로그는 실제 정책 준수나 보안 사건 대응 등 객관적 행동 데이터를 제공합니다. 인터뷰나 현장 관찰은 조직 내 분위기, 문제의 원인, 개선점 등 정성적 데이터 확보에 유리합니다. 부서별, 세대별 차이를 파악할 때는 포커스 그룹이나 워크숍 활용이 효과적입니다.

수집된 데이터는 점수와 사례를 종합해 레이더 차트 등으로 시각화할 수 있습니다. 예를 들어, 조직 구성원들은 보안의 중요성을 인식하고 정책도 잘 준수하고 있지만, 경영진의 리더십이나 소통, 그리고 보안 활동에 대한 보상 및 피드백 체계는 미흡하다는 식의 분석이 가능합니다. 이런 시각화 결과는 조직의 현황 파악과 실질적 개선 방향 설정에 실질적인 도움을 줄 수 있습니다.

00 조직의 보안문화 10개 구성요소 진단 결과 예시

3. 4가지 유형으로 본 보안문화 색깔 찿기

3.1 진단 모델

보안문화란 결국 조직문화의 한 부분입니다. 그렇기 때문에 우리나라 조직의 보안문화를 제대로 진단하려면, 한국 특유의 조직문화를 반드시 고려해야 합니다. 국내 조직을 보면 전통적으로 집단주의(공동체 중심), 위계질서(상명하복), 온정주의(정과 유대감), 관계 중심(인맥, 네트워크)이 강합니다. 동시에 성과와 경쟁을 중시하면서도, 최근에는 세대 변화와 디지털 전환의 영향으로 자율성, 다양성, 창의성에 대한 요구도 커지고 있습니다[1].

이런 맥락에서, 한국형 보안문화 모델을 개발할 때는 ‘연대성(Solidarity)’과 ‘개방성(Openness)’이라는 두 가지 기준 축을 적용하는 것이 적합하다고 볼 수 있습니다.

연대성은 집단주의와 개인주의를 모두 아우르는 개념으로, 연대성이 높을수록 ‘우리’ 중심, 낮을수록 ‘나’ 중심이 강조됩니다. 이 축은 소속감·공동체 지향에서 자율성·개인책임으로 이어지는 연속선입니다.

개방성은 권위·명령·상명하복에서 소통·참여·수평적 협력으로 이어지는 변화입니다. 위계적일수록 폐쇄적이고, 개방적일수록 소통과 협력적 문화가 부각됩니다.

이 두 축에 따라 조직의 보안 문화는 크게 네 가지 유형으로 나눌 수 있습니다: 준거형, 협력형, 통제형, 주도형. 각 유형의 특징은 아래와 같습니다.

준거형(Compliance): 규정, 정책, 절차 준수가 가장 중요한 가치입니다. 보안을 반드시 지켜야 할 의무로 인식하며, 상명하복, 규정 중심, 책임 회피, 형식적 보고가 대표적입니다. “정해진 대로만 한다, 문제가 생기면 보고한다”는 인식이 강합니다.

협력형(Collective): 집단적 연대와 상호 신뢰를 바탕으로, 보안을 공동의 책임으로 보고 적극적으로 협업합니다. 정보 공유, 집단 대응, 집단 학습이 주요 특징입니다. “보안은 우리 모두의 일”이라는 인식이 자리잡고 있습니다.

통제형(Guarded): 전문성과 권위적 리더십이 결합되어, 보안을 소수 전문가나 리더가 통제·감시하는 구조입니다. 강한 통제, 권위적 결정, 제한적 정보 공유, 방어적 태도가 특징입니다. “보안은 전문가 혹은 리더가 책임진다”는 인식이 강합니다.

주도형(Proactive): 자율성과 주체성을 바탕으로, 보안 위험을 선제적으로 탐지하고 대응합니다. 자기주도, 창의적 문제해결, 위험 감수, 자발적 참여가 특징입니다. “보안은 각자가 주체적으로 실천한다”는 인식이 뚜렷합니다.

조직마다 보안문화의 색깔이 다르기 때문에, 이러한 유형을 바탕으로 우리 조직의 현 위치를 점검해보는 것이 중요합니다.

한국형 보안문화 유형 모델

3.2 데이터 수집 및 분석

현실적으로 보안문화라는 게 단순히 지침만 던져준다고 해결되는 문제가 아닙니다. 실제 현장의 조직 특성과 행동을 객관적으로 파악하려면, 설문도 실질적이고 신뢰성 있게 설계해야 합니다. 그래서 Lance Hayden 교수의 보안문화 유형모델 평가 영역과 최근 보안문화 연구 자료들을 참고해서, 국내 환경에 적합한 10가지 핵심 진단 영역을 선정했습니다[4].

이 10가지 영역은 다음과 같습니다: 리더십(Leadership), 보안팀 위상(Security Team Status), 정책 및 규정(Policies & Procedures), 교육 및 훈련(Education & Training), 의사소통(Communication), 보고 및 대응(Incident Reporting & Response), 보상 및 인센티브(Rewards & Incentives), 업무 프로세스 통합(Integration with Business), 기술 및 도구(Technology & Tools), 성과 측정 및 피드백(Metrics & Feedback).

각 영역별로 준거형, 협력형, 통제형, 주도형 등 4가지 보안문화 유형을 SMART 원칙에 맞춰 구체적으로 설문 문항으로 구성할 수 있습니다. 예를 들어, “최근 6개월간 보안팀의 안내를 실제 업무에 적용했는가” 등 실질적인 행동 기반 문항을 5점 척도(전혀 아니다~매우 그렇다)로 설계합니다.이렇게 수집된 데이터를 분석하면, 조직 전체는 물론 부서별, 직급별, 세대별 등 다양한 차원에서 보안문화 유형 프로파일링이 가능합니다. 분석 결과는 바 차트, 레이더 차트 등으로 시각화하여 조직의 현재 보안문화 상태를 명확하게 파악하고, 개선 방향을 도출하는 데 효과적으로 활용할 수 있습니다. 결국, 현장 중심의 객관적 진단을 통해 실제 개선이 가능한 보안문화 전략 수립이 가능해지는 셈입니다.

유형별 보안문화 진단을 위한 설문항목

한국형 보안문화 유형 분석 결과 예

4. 성장 로드맵을 그리는 성숙도 진단

4.1 진단 모델

Perry Carpenter & Kai Roer의 ‘Security Culture Maturity Model (SCMM)’은 조직의 보안문화 성숙도를 체계적으로 진단하고, 실질적인 개선 방향을 제시하는 5단계 모델입니다. 이 모델은 단순한 교육 이수나 인식 제고에 그치지 않고, 실제 행동 변화와 조직 전반에 보안 가치가 내재화되는 수준을 목표로 삼고 있습니다[5].

한국 조직 환경에 맞게 SCMM을 재구성한 K-SCMM(한국형 보안문화 성숙도 모델)은 집단주의, 위계질서, 온정주의, 세대 간 차이, 준법 중심, 빠른 실행력 등 국내 조직문화의 특성을 각 단계별로 반영하도록 설계되어 있습니다. 이 모델은 조직의 보안문화를 5개 핵심 차원으로 구분하고, 각 차원별로 5단계 성숙도를 평가해, 조직의 현 위치와 미래 목표를 명확하게 제시합니다.

K-SCMM 5개 영역별 상세 특징

4.2 데이터 수집 및 분석

SCMM은 다양한 ‘문화 성숙도 지표(CMIs)’를 활용해 조직의 성숙도를 다각적으로 진단합니다.

교육/훈련 데이터: 교육 빈도, 맞춤형 교육 여부, 이수율, 교육 후 평가

행동 데이터: 피싱 훈련 클릭률, 보안 위반 및 보고 건수, 실제 행동 변화

조직 커뮤니케이션: 경영진 메시지, 사내 보안 캠페인, 커뮤니케이션 채널의 다양성

정책 및 프로세스: 정책 내재화, 업무 통합 정도, 사용자 중심 설계

문화적 요소: 비공식 규범, 스토리텔링, 자율적 참여, 문화 캐리어(Champions) 운영

집단주의/공동체성: 팀 단위 보안 실천율, 캠페인 참여율, 동료 간 상호 점검 빈도

위계질서/리더십: 경영진 및 중간관리자의 솔선수범, 일방적 정책 전달 빈도

온정주의/관계중심: 비공식적 지원 사례, 온정적 피드백 빈도, 집단 내 비난/비판 정도

세대별 특성: MZ세대의 자율적 참여율, 기성세대의 규정 준수율, 세대 간 인식 및 행동 차이

실행력/속도: 정책 또는 캠페인 도입 후 행동 변화, 현장 피드백 반영 속도

공유가치/스토리텔링: 보안 우수사례 공유 빈도, 문화 챔피언 제도 운영 현황

이러한 지표에 가중치를 적용하여, 조직의 보안문화 성숙도를 종합적으로 산출합니다. 분석 결과는 표와 시각 자료로 제시되어, 현황을 직관적으로 파악할 수 있습니다.

이 방식의 강점은 실제 행동 변화와 문화 내재화에 초점을 두고, 정량 및 정성 데이터를 모두 포함하는 다면적 분석이 가능하다는 점입니다. 업종, 지역, 조직 규모별 비교와 트렌드 분석이 가능하며, 단기 성과가 아닌 장기적·지속가능한 보안문화 구축에 적합합니다. 다만, CMIs 설계와 데이터 수집·분석, 행동 변화 측정 등에서 일정 수준의 전문성과 리소스가 필요하며, 각 단계별 경계가 완전히 명확하지 않을 수 있다는 한계도 존재합니다.

K-SCMM 분석 결과 예시

00 조직의 보안문화 성숙도 수준 예시

3단계 통합 진단 결과 예시는 다음과 같이 제시할 수 있습니다: “우리 조직의 보안문화는 SCMM 기준 3단계(행동 변화 중간) 수준이며, 7개 차원 분석 결과 ‘소통’과 ‘책임’이 취약합니다. 문화 유형은 ‘준거형’과 ‘통제형’이 혼재되어 있으며, 향후 ‘협력형’ 및 ‘주도형’ 문화로의 전환을 목표로 소통 및 책임감 강화, 리더십 변화, 자율적 참여 확대를 위한 단계별 맞춤 전략이 필요합니다.”

결론적으로, 통합 진단 방법은 각기 다른 강점을 보입니다. 차원/구성요소 분석은 세부 문제 진단과 맞춤형 개선안 도출에, 유형 분석은 조직 특성에 맞는 변화 방향 설정에, 성숙도 분석은 전체 발전 단계와 장기 로드맵 수립에 효과적입니다. 이로써 조직의 보안문화 진단 및 개선이 실질적이고 체계적으로 이뤄질 수 있습니다.

5. 성공적 진단을 위한 조언: 핵심을 짚고, 함정을 피해라

보안 문화 진단, 겉으로 그럴듯하게만 해선 소용없습니다. 조직의 현실을 제대로 비추는 거울이어야 합니다. 기계적으로 설문 돌리고, 표면만 살짝 훑는 식이면 실질적인 개선을 기대하기 어렵습니다. 진단이 진정한 변화를 만들려면, 과정에 숨어있는 함정부터 정확하게 파악해야 합니다. 이 절에서는 진단이 조직에 실질적 동력이 되려면 반드시 짚고 넘어가야 할 장애물과 성공의 조건을 다룹니다.

5.1 진단 설계의 함정: 무엇을, 그리고 어떻게 측정할 것인가?

첫 단추를 잘못 끼우면 끝까지 어긋나는 법입니다. 진단 설계 단계에서 흔히 빠지는 함정, 반드시 체크해야 합니다.

‘인식’만 물어보는 진단의 한계: 많은 조직이 직원들의 ‘보안 인식 수준’만 평가합니다. 하지만 실제로 위험 행동을 하는 직원 상당수는 이미 자신이 뭘 잘못하고 있는지 알고 있습니다. 단순히 ‘아는가’가 아니라, 실제로 ‘어떻게 행동하는가’, 조직에 내재되어 있는 습관과 비공식 규범까지 측정해야 실효성 있는 진단이 됩니다.

설문조사에만 의존하면 문화는 보이지 않는다: 정량적 설문만으로는 한계가 있습니다. 행동 데이터, 심층 인터뷰 등 질적 요소를 결합한 ‘복합 진단(Mixed-Methods)’이 필요합니다. 그리고 최종 사용자만 볼 게 아니라, 시스템 전체에 퍼져있는 구조적 문제까지 함께 분석해야 진단의 완성도가 높아집니다.

리더십의 실종은 곧 실패: 경영진이 보안에 무관심하거나 보여주기 식으로만 접근하면, 조직 문화 정착은 불가능합니다. 진단에서 리더가 보안 문화를 얼마나 주도적으로 지원하는지도 반드시 평가해야 합니다.

5.2 진단 과정의 장애물: 저항을 넘고, 참여를 이끌어내는 법

아무리 잘 설계된 진단이라도, 실제로 구성원이 적극적으로 협조하지 않으면 진단이 무의미해집니다. 실질적으로 마주치는 장애물, 현실적으로 접근이 필요합니다.

경영진의 강한 의지 표명: 구성원의 협조를 끌어내려면, 최고경영진의 명확한 메시지와 자원 지원이 선행되어야 합니다. 솔선수범 없이 참여를 바라는 건 무리입니다.

구성원의 피로감, 냉소주의 극복: 반복되는 교육, 일방적인 지시로 인해 직원들이 진단을 또 하나의 ‘잡무’로 여기기 쉽습니다. 진단이 처벌이나 감시가 아니라, 안전하고 효율적인 업무 환경을 위한 공동의 노력임을 분명히 전달해야 실질적인 참여가 이뤄집니다.

형식적 진단은 오히려 역효과: 피싱 시뮬레이션 등 진단 도구를 잘못 활용하면 오히려 불신만 키웁니다. 현실성과 신뢰를 바탕으로, 참여를 유도하는 방식이 중요합니다.

5.3 결과 활용의 오류: 데이터를 실제 변화로 연결하는 조건

진단은 끝이 아니라 시작입니다. 결과 해석을 잘못 하면 오히려 조직이 잘못된 방향으로 갈 수 있습니다.

‘단발성 이벤트’는 의미 없다: 보안 문화는 지속적으로 변화합니다. 진단 역시 일회성 프로젝트가 아니라, 주기적으로 반복하며 개선하는 ‘지속적 개선 모델’의 일부여야 합니다.

표면적 수치에 집착하지 말 것: 설문 점수, 교육 이수율 등 표면적 지표만 볼 게 아니라, 그 이면의 원인—직원들의 습관, 무의식적 편향 등을 분석해야 합니다.

맥락 없는 벤치마킹은 위험하다: 다른 기업과의 수치 비교는 참고만 하세요. 우리 조직만의 환경과 맥락을 충분히 반영해서 “왜 이런 결과가 나왔는가?”를 먼저 고민하는 것이 더 중요합니다.

요약하자면, 보안 문화 진단은 단순 체크리스트가 아닙니다. 설계, 과정, 결과 활용까지 꼼꼼히 챙기고, 표면 아래에 숨은 원인과 조직 고유의 맥락을 고려해야만 실질적인 개선으로 이어집니다.

참고 문헌

1. 주영지 (2024), ‘신뢰 기반 보안문화 모델 개발에 관한 탐색적 연구: 조직적 관점을 중심으로’, 중앙대학교 대학원 박사학위논문.

2. Perry Carpenter & Kai Roer (2022), ‘The Security Culture Playbook’, Wiley.

3. Jeimy J. & Cano M. (2021), ‘Organizational Culture for Information Security: A Systemic Perspective on the Articulation of Human, Cultural and Social Systems’ ISACA Journal,

4. L. Hayden (2015),‘People-Centric Security: Transforming Your Enterprise Security Culture’, McGraw-Hill.

5. KnowBe4 (2024),‘Introducing the Security Culture Maturity Model’. https://www.knowbe4.com/resources/whitepapers/security-culture-maturity-model