[넋두리 3] 3. 정보보안 변화관리(1)
F(Fun) : 재미있는 보안
보안조직은 기업 내부에 보안문화를 전파하고자 갖가지 애를 쓴다. 기업 내 업무 프로세스를 변경하거나 결재라인을 변경하여 보안조직을 반드시 거쳐 진행될 수 있도록 수정하고자 애쓰고, 그 필요성을 임직원들에게 전파하려고 노력한다. 이러한 작업은 하루아침에 뚝딱 이루어지지 못하고 결과를 얻어내는데 상당한 기간이 소요된다.
오랜 시간이 소요되는 이유는 임직원들이 보안에 관심이 없기 때문이다. 관심이 없는 이유는 간단하다. 보안이 재미없고 어렵기 때문이다.
보안은 본래 재미없다. 업무 상 다루는 내용들도 각종 IT기술 및 용어로 도배되어 있어 친숙하지도 않고, 해당 분야 종사자가 아니라면 왠지 거리감이 느껴진다. 직원들의 입장에서는 그냥 전문가가 하는 남의 일이라고 느껴진다.
또, 보안은 본래 어렵다. IT도 친숙하지 않은데 거기다 한술 더해 보안이다. IT용어도 모르는데 보안용어에 각종 법률용어까지 알아듣기도 힘들고 어렵기까지 하다. 이쯤 되면 직원들에게 보안은 완전 남의 나라 이야기가 된다. 속된 말로 '그냥 니들이 알아서 하세요'다.
직원들의 협조를 얻어 보안문화를 정착시켜야 하는 보안조직의 입장에서 이런 직원들의 자세는 바람직하지 않다. 방치했다가는 침해사고로 이어지거나 기업 내부의 잠재 위험을 증가시켜 회사와 보안조직에게 피해로 돌아오기 십상이다. 상황을 변화시키기 위해서는 어떡해서든 직원들 가까이 다가가 보안의 중요성을 알려야만 한다.
직원들에게 다가가는 가장 쉬운 방법. 그것은 재미를 느끼게 하는 것이다. 재미를 통해 직원들의 흥미를 유발하고, 흥미를 통해 관심을 끌고, 관심을 통해 원하는 정보를 전파해야 한다.
그런데 보안은 본래 재미없고 어려워서 자체로는 재미를 추구하는 것이 불가능하다. 보안에 재미를 입히기 위해서는 다른 매개체를 활용한 도움이 필수적이다. 노력 여하에 따라 다양하게 개발될 수 있겠지만 대표적으로 만화, 퀴즈, 교육 등을 들 수 있다. 여기에 보안조직의 고심이 더해져야만 한다.
만화를 예로 들어보자. 만화를 통한 접근은 직원들에게 다가가기 가장 좋은 방법이다. 대부분의 직원들은 각종 IT기기를 통한 만화영화, 만화책, 웹툰 등에 익숙하다. 이러한 특성을 잘 활용한다면 재미와 관심이라는 두 마리 토끼를 잡을 수 있다.
다만, 만화로 만든다고 그냥 다 재미있어지는 건 아니다. 어떤 내용을 만화로 만들 것인지, 어떻게 직원들에게 전달할 것인지, 얼마의 기간 동안 노출할 것인지 등등을 신중히 고심해야 한다. 딱딱한 주제를 풀어 만화로 만들어야 하므로 어디에 재미의 요소를 삽입할 것인지의 고심. 게시판에 올려 공개할 것인지 화면보호기 등으로 띄워 보여줄 것인지에 대한 고심. 주야장천 한 달간 하나의 만화를 보여준다면 지루해할 테니 몇 개의 만화를 어느 주기로 보여줄 것인지에 대한 고심. 자칫 업무에 방해가 되면 역효과가 될 테니 방해되지 않도록 하기 위한 고심 등등. 중요한 것은 그 모든 과정에 '재미'를 통한 '흥미' 유발이라는 일관된 목적이 유지되어야 한다.
퀴즈를 이용하는 방법도 좋다. 예고 없이 게시판에 정보보안 퀴즈를 게시하고 정답자 중에 선정하여 보상을 제공하는 방법은 다소 진부하지만 효과적이다. 보상이 제공되는 것을 확인한 직원들은 다음번 퀴즈에 더욱 적극적으로 참여할 것이고, 보상이 만족스럽다면 참여도는 더 증가할 것이다.
보안교육도 재미있게 전파하는 것이 가능하다. 일방적으로 정보를 전달하던 기존의 보안교육은 재미없고 어려운 보안의 현실이 무엇인지 명확하게 보여준다. 혼자 얘기하는 강사, 딴일을 하거나 핸드폰을 보고 있는 직원들의 모습은 이제 너무 익숙한 풍경이 되었다. 교육의 효과를 달성하기 위해서는 재미있는 교육으로 탈바꿈되어야 한다.
보안교육에서 가장 중요한 것은 재미를 담아 전파할 수 있는 강사를 섭외하는 것이다. 재미의 중요성을 아는 강사는 같은 내용도 재미있게 전달한다. 정확히 표현하면 재미있게 전달하고자 노력한다. 재미를 담는다는 것은 그만큼의 노력이 뒷받침되어야만 가능한 것이다.
보안조직이 노력하는 만큼 다양한 방식으로 재미를 담아 전파하는 것이 가능하다. 재미없고 어려운 보안, 딱딱하고 무거운 주제를 다루는 보안의 이미지를 벗고 직원들에게 다가가는 것이다. 그 과정은 보안조직의 노력과 고심이 따라야만 열매를 맺을 수 있다. 그리고 열매를 거두어야 한다. 조직의 외톨이 조직, 직원들과 거리감 있는 조직이라는 허물을 벗어야 하기 때문이다. 그것이 F(Fun)가 '변화관리 방법론 : FSNMS'의 가장 선두에 위치한 이유다.