[넋두리 3] 4. 정보보안 분야의 화두(5)
겉은 바삭(Crunchy)하지만 속은 쫀득(Soft chewy)하다
흔하게 쓰이는 말 중에 "겉바속촉"이라는 표현이 있다. 겉은 바삭하지만 속은 촉촉하다는 의미의 줄임말이다. 통상 음식을 평할 때 쓰이는 말로 겉은 바삭한데 속은 촉촉해서 정말로 맛있다고 표현할 때 쓰인다. 간혹 사람에게 쓰이기도 하는데 이 경우 겉은 무뚝뚝해 보여도 속마음은 정이 많고 부드럽다는 표현이다. 겉과 속이 다르지만 그것이 좋고 맘에 든다는 칭찬이다.
정보보안 분야에도 비슷한 화두가 하나 있다. "겉은 바삭(Crunchy)하지만 속은 쫀득(Soft chewy)하다"는 표현이 그것이다. 말 자체의 뜻은 겉바속촉과 같아서 겉 표면은 강하고 속은 부드럽다는 것을 뜻한다. 그러나 실제 의미하는 내용은 기업의 현실을 풍자하는 것으로 기업들의 보여주기식 정보보안 투자현황을 에둘러 비판하는 표현이다.
대체로 기업들의 정보보안분야 투자는 보안 관련 법률에서 요구하는 기능들의 충족에 집중되어 있는 것이 우리의 현실이다. 이런 현상은 기업의 사업분야를 막론하고 공통적으로 보이는 것으로 기업들이 정보보안에 대해 어떻게 생각하는지를 보여주는 것이기도 하다. 쉽게 표현하면 법기준 만족이요 다르게 표현하자면 법기준만 만족이다.
법에서 요구하는 사항들은 크게 정성적 요구사항과 정량적 요구사항으로 분류할 수 있다. 정성적 요구사항은 보안활동 수행내용이 겉으로 보이지 않는 기준들로서 대표이사의 정보보안에 대한 의지, 임직원들의 정보보안에 대한 관심, 보안전문인력의 적극적 활동, 기업의 보안부문 투자 강화 의지와 같은 기업이 적절히 수행하고 있는지 여부를 측정하고 판단하는 것이 어려운 항목들이다.
정량적 요구사항은 그 수행의 결과가 가시적으로 눈에 보이는 형태로 존재하는 것들로서 측정하고 판단하는 것이 용이한 기준들이다. 예를 들면 보안설루션의 도입, 업무수행의 결과물인 문서처럼 말이다.
이러한 차이로 인해 법에서 기업에게 요구하는 기준 대부분은 수행여부를 측정하고 판단하기 용이한 정량적 요구사항 중심으로 작성되어 있다. 정성적 부분은 쉽게 판단하기 어려운 영역이므로 기업의 자율적인 활동을 기대하는 것이기도 하다. 그런데 이 부분이 정말 어렵다. 정성적 부분이란 것이 애매모호하고 두리뭉실한 영역이어서 더욱 그렇다. 따라서 기업의 정보보안 분야에 대한 투자와 활동은 상대적으로 평가받기 쉽고 결과가 바로 눈에 보이는 정량적 부분에 집중될 수밖에 없는 것이 현실이다.
이러한 분위기에서 탄생하게 된 것이 "겉은 바삭하지만 속은 쫀득하다"는 화두다. 각종 보안설루션으로 치장되어 있고, 많은 활동의 결과물로 문서들이 제출되고 있어 언뜻 보기에는 정보보안의 수준도 높고 그 활동도 뛰어난 기업으로 보인다. 그러나 이는 바삭하게 보이는 겉모습일 뿐이다. 대표이사의 관심이 높다고 자랑하듯 서명된 각종 문서들을 보여주지만 실제로는 회의 한번 참석하지 않았으며, 직원들의 보안에 대한 인식개선 및 참여도가 높다고 보안교육 등 결과지를 제시하지만 대다수의 직원들은 교육내용이 무엇인지 기억도 하지 못하는 물렁물렁하고 쫀득한 속을 가진 상태가 대부분이다.
겉만 번지르르한 속 빈 강정 상태인 기업들의 정보보안 현실. 이 현실을 풍자하면서 정보보안이 진정 신경 써야 할 것은 바삭한 겉이 아닌 쫀득한 상태의 속임을 강조하기 위해 태어난 화두. 그것이 "겉은 바삭(Crunchy)하지만 속은 쫀득(Soft chewy)하다"이다.