기업 보안조직은 임직원들을 대상으로 다양한 활동을 펼친다. 모의메일 훈련, 보안교육, 포스터 부착, 화면보호기 통한 전파, 게시판 통한 정보 제공 등등. 모두 임직원들의 보안에 대한 관심을 유도하기 위한 활동들이다. 그런데 이러한 활동들에는 한 가지 결정적인 단점이 존재한다. 일정한 시기마다 주기적으로 반복되는 과정 속에서 임직원들이 지루함을 느끼기 쉽다는 것이다.
그 대표적인 사례로 설명할 수 있는 것이 보안교육이다. 대부분의 기업들이 임직원을 대상으로 매년 보안교육을 진행하고 있다. 그러나 힘들게 준비한 교육의 효과는 거의 기대하기 어렵다. 매년 반복되는 보안교육의 내용이 지루함을 느끼는 것이 이상하지 않을 정도로 비슷하기 때문이다. 작년 재작년의 재탕이라고 봐도 이상하지 않을 정도로 천편일률적인 내용이 반복되고 있으니 임직원들의 입장에서는 참석은 했지만 마음은 이미 저 멀리 다른 곳을 헤매기 마련. 실상이 이러니 보안교육의 효과는 물 건너갔다고 봐야 한다.
다른 활동들도 사정은 비슷하다. 보안조직의 입장에서는 힘들게 노력해서 준비했다고 하지만 정작 임직원들의 반응은 시큰둥한 경우가 대부분이다. 이미 익숙해져서 관심이 없고 더 이상 호기심을 자극하지 못하기 때문이다. 임직원들이 느끼는 익숙함과 지루함. 이것이 보안조직이 당면한 가장 큰 위험이자 해결해야 할 숙제이다. 이 익숙함과 지루함을 타파할 수 있는 방안이 필요한 것이다.
정보보안조직에 보안기술 전문가만이 아닌 인문학 전문가(또는 콘텐츠 전문가)가 필요한 이유다. 익숙함과 지루함은 인간이 느끼는 당연한 감정이다. 그러한 감정을 느끼지 말라고 할 수도 없는 노릇인 만큼 이를 해결하기 위한 보안조직의 노력이 필요하다. 어떻게 하면 임직원들에게 새로운 느낌을 줄 수 있을까, 어떻게 하면 지루하지 않을 수 있을까에 대한 고민을 통해 새로운 보안 소재들의 발굴과 함께 새로운 활동(보안골든벨, 보안백일장 같은)들을 개발하는 노력을 기울여야 한다.
이 일은 논리적이고 기술적으로 풀어나가는 방식들에 익숙한 기존 보안조직의 구성원들에게는 결코 쉽지 않은 일이다. 임직원들의 마음을 만족시키기 위한 고민을 하는 일, 사람의 마음을 읽는 일이기 때문이다. 하지만 정보보안조직이 해야만 하고 꼭 필요한 일이기도 하다. 지나간 것은 이미 낡은 것이고 아는 것이고 익숙한 것이므로 새로움을 추구하지 않는다면 금세 지루해지고 관심에서 멀어지게 되기 때문이다.
가장 어려운 것은 현재 어느 기업의 정보보안조직도 인문학 전문가(또는 콘텐츠 전문가)를 고용한 곳은 없다는 점이다. 만약 기업의 CISO가 인문학 전문가(또는 콘텐츠 전문가)를 보안조직에 고용하겠다고 보고한다면 최고경영진이 뭐라고 할지 혹시 상상해 보았는가? 참 어렵고 지난한 일이다.