고신뢰 보안프로그램 구축을 위한 보안문화 전환 전략

1. 전통적 보안행위 모델과 한계

전통적인 보안문화 변화를 위한 보안행위 모델 접근방법은 일반적으로 3가지 관점으로 요약할 수 있다. 첫째, ‘준거성 및 보안통제를 강력하게 추진함으로써 보안행위와 문화를 변화시킬 수 있다’ 라는 통제 중심 관점과 둘째, ‘정보보호관리체계(ISMS)와 같은 보안업무 수행방식(Process)의 개선을 통해 보안행위와 문화를 변화시킬 수 있다’라는 프로세스 지향 관점, 그리고 ‘기술과 자동화를 통해 보안행위와 문화를 변화시킬 수 있다’ 라는 기술 지향 관점이 지배적이다. 

세 가지 관점은 일면 유효한 측면이 있지만 디지털 비즈니스 환경에는 하나만의 관점으로 문화를 변경시키려는 전략은 비효과적 일 수 있다. 오히려 세 가지 관점의 교집합인 차원에서 새로운 접근방법을 모색할 필요가 있다. 

2. 고신뢰 보안 프로그램을 위한 5가지 핵심가치

인간중심보안 관점에서 보안문화와 행동을 개선시키기 위한 모델로 Security FORCE 모델을 소개하고자 한다. 이 모델은 조직 이론의 거장 칼 웨익(Karl Weick) 미국 미시간대 교수가 주창한 고신뢰 조직(High-Reliability Organization)의 개념을 보안에 적용한   모델이다. 즉 소방, 항공, 철도, 핵발전, 항공모함 전단 등 고도의 위험환경에 적응한 조직이 오히려 일반 기업보다 낮은 사고발생율 또는 사고 후유증을 보이고 있다는 점에 착안하고 있다. 텍사스 주립대학 Lance Hayden 교수는 이와 같은 고신뢰 기업의 특성과 행동패턴을 보안에 적용하여 ‘고신뢰 보안 프로그램’을 구축함으로써 보안사고 대응역량을 높이며, 보안행위와 지속가능한 보안문화를 구축하기 위한 방안으로 제시하였다.

즉 고신뢰 보안프로그램 구축을 위해서는 5가지 핵심가치(Failure, Operation, Resilience, Complexity,Expertise: FORCE)가 반영된 행동(Behavior)을 수행해야 함을 주장하고 있다. 5가지 가치 중에서 가장 중요한 가치로서 ‘실패(Failure)의 가치’는 '실패(실수)는 인간이 창출한 복잡하고 고도화된 기술 발전에도 불구하고 완벽하게 통제할 수 없는 것'이라는 기본 전제에서 출발한다. 그리고 이런 실패에 대해무엇을 어떻게 배울 것인지, 현재의 예방적 조치는 어떻게 변화할 것인지, 예상치 않은 사고에 대해 어떻게 유연하게 대응할 것인지 등이 중요하게 부상하는 것이다. 즉 과거의 실패 경험으로 부터 보안사고 시나리오 개발, 문제 또는 취약점 발견에 대한 보상, 보안사고 분석 및 재발방지 분석 등의 행위를 중요시하는 것이다.

[그림 1] 보안 FORCE 모델

‘운영(Operation)의 가치’는 운영상황에 세심한 관심을 가져야 한다는 것으로 사전에 '예측'된 상황대로, 즉, 매뉴얼대로 운영하는 것에 한정하지 말고 창의적인 관심을 부여하라는 것으로 보안 모니터링 및 측정에 대한 중요성을 강조하고 있다. 단순한 정보시스템의 운영상태 뿐만 아니라 임직원들의 행위분석(User Behavior Analytics)을 통해 사전징후를 조속히 탐지해낼 수 있도록 해야 한다. 또한 운영상황에 대한 평가와 평가결과의 공유 등의 활동도 요구된다

‘레질리언스(Resilience) 가치’는 보안사고 발생을 기정사실화 하고 이에 대한 준비와 대응역량을 지속적으로 함양해야 함을 강조하는 것이다. 즉 디지털 세상에서의 초연결성으로 인한 복잡성 증가로 인해 보안위험은 상수로서 존재하며 보안사고 예방도 중요하지만 조속한 탐지와 복구 능력이 더욱 강조되는 세상에 살고 있다는 점은 최근의 ‘사이버 레질리언스’에 대한 국내외 정책적 노력을 보아서도 알 수 있다. 이를 위해 임직원에 대한 교육 훈련, 지식공유, 시나리오 기반 모의훈련 등의 중요성과 함께 백업 및 여분의 잉여자원 투입이 필요하다. 

‘복잡성(Complexity) 가치’는 지나치게 단순화시키기를 거부하라'는 것으로서 복잡한 문제를 풀기위해 문제를 단순화된 모델 사용을 통해 해결하는 것이 일반적인데, 현재 발생하는 사건에 대해서도 쉽게 (유사성을 따져) 기존의 것과 동일한 것으로 규정짓게 만들 수 있는 오류를 범할 수 있기 때문에 그런 함정을 조심하라는 것이다. 즉 지나친 단순화, 정형화로 인해 복잡한 문제의 잘못된 또는 부분적인 해결책을 결과할 수 있는 점을 간과하지 말라는 것이다. 디지털 비즈니스에서의 보안문제는 다양한 경로의 인과관계를 가지고 있기 때문이다. 사고 이면에 존재하는 잠재 원인, 관리적, 조직적 측면 등 다양한 원인을 무시해서는 안된다는 점이다. 데이터 기반의 보안 전략과 더불어 임원급으로 구성된 보안조정위원회 또는 실무 위원회를 통해 조직적 차원에서의 갈등 해소와 문제해결을 강조하고 있다. 

‘전문성(Expertise) 가치’는 전문가에게 권한을 부여함으로써 문제해결을 하도록 하라는 것이다. 즉 지위의 위계가 작동하는 것이 아니라 경험과 지식의 위계를 존중하라는 것이다. 이를 위해서는 보안 관련 역할과 책임에 따른 내부 인력의 전문성 제고를 위한 교육 뿐만 아니라 외부의 보안 전문기관이나 전문가와의 네트워크 구축의 필요성을 언급하면서 이러한 행위는 신뢰와 협력의 문화를 바탕으로 수행되어야 함을 강조하고 있다.

경쟁가치 모델 기반의 보안문화 유형 진단은 보안문화를 이해하기 위한 하향식 접근방법이라면, 고신뢰 보안프로그램 개발을 위한 보안 FORCE 행위모델은 일종의 상향식 접근방법이라고 할 수 있다. 즉 FORCE 모델의 5가지 가치를 반영한 행위모델을 통해 바람직한 보안 프로그램을 구축할 수 있다는 점이다. 두 모델은 [그림  5]와 같이 상호 연계되어 있다. 즉 프로세스 중심 보안문화는 운영의 가치를 중요하게 생각하면서 핵심 행위는 디테일에 집착하는 문화 유형이고, 컴플라이언스 중심 보안문화는 실패의 가치를 중요하게 생각하면서 핵심 행위는 문제 식별이라고 할 수 있다. 신뢰 중심 보안문화는 전문성의 가치를 중요하게 생각하면서 핵심 행위는 전문성 제고 및 협력이라고 할 수 있다. 자율 보안문화는 레질리언스 가치를 중요하게 생각하면서 핵심 행위는 위기대응 역량 제고라고 할 수 있다. 다양한 보안문화 유형과 고신뢰 보안프로그램을 위한 필요한 행위간의 연계 또는 잠재적 갈등요인들을 식별하고 대응함으로써 보다 조직에 적절한 보안문화 전환 프로그램을 구축할 수 있을 것이다. 복잡성 가치는 특정 문화 유형과 연계되는 것이기 보다는 모든 문화 유형에서 공통적으로 다루어야 하는 이슈라고 할 수 있다. 

[그림 2] 보안 FORCE 모델과 경쟁가치 보안 문화 모델과의 연계

3. 에필로그

인간중심보안을 위한 핵심성공요인을 정리하면 다음과 같은 7가지로 요약할 수 있다. 첫째, 최고경영층의 리더십과 가시적 지원, 둘째, 인간중심보안 프로그램 설계 및 구현 시 임직원의 참여, 셋째, 모든 임직원들이 동의하는 원칙과 목표 설정, 넷째, 인간중심보안 프로그램에의 적극적 참여를 위한 최고경영층으로 구성된 보안위원회 활용, 다섯째, 현업 경영자의 보안 프로그램 지원 및 수행책임 인식, 여섯째, 고도화된 인식제고 및 교육 프로그램 개발 및 운영, 일곱째, 바람직한 행위에 대한 이행 여부를 확인할 수 있는 첨단 모니터링 프로그램 구축.

또한 인간중심보안을 통해 긍정적이고 능동적인 보안문화를 구축하기 위해서는 정확한 보안문화 진단과 더불어 고신뢰 보안프로그램으로의 구축을 위한 새로운 가치에 기반을 둔 보안행위 모델(예: FORCE 모델)를 적용함으로써 장기적인 보안문화의 전환이라는 여정을 시작해 볼 수 있을 것이다. 강한 문화는 강한 보안을 의미한다. 국내 현실에 적절한 보안문화 진단방법과 고신뢰 보안프로그램 구축을 위한 보안문화 전환방법에 대한 추가적 연구 및 실험이 시급한 이유이다.