"어떻게"에서 "왜"로 이동하라
기업에서 침해사고가 발생하면 보안조직이 가장 많이 당면하게 되는 질문들이 있다. "어떻게 된 거냐?", "어떻게 해커가 들어온 거냐?", "어떻게 할 거냐?", "어떻게 해야 하냐?"와 같은 질문들이다. 사고가 났거나 돌발상황이 생겼으니 다들 정신없고 당황스럽고 문제 해결에 집중된 상황임은 이해되지만 대부분의 질문들은 "어떻게"에 방점이 찍혀 있다. 모두 누군가에게 책임을 묻거나 책임을 넘기거나 대책을 요구하는 질문이라는 특징을 가지고 있다. 그리고 그 대상은 의심의 여지없이 기업의 정보보안조직 그중에서도 CISO(그리고 CPO)다.
기업의 정보보안조직이란 이러한 질문들에 무수히 노출된 상황에서 질문들에 답하기 위해 투쟁하는 조직의 성격을 가지고 있다. 투쟁이라 표현한 이유는 자칫 잘못된 답변을 주는 경우 그에 따른 책임과 여파를 온전히 감내해야 하는 사태에 직면할 수 있기 때문이다. 앞에서 언급했지만 애당초 질문 자체의 성격이 책임을 묻거나 책임을 넘기거나 대책을 요구하는 성격이기 때문에 잘못 답변했다가는 책임을 물어야 하거나 책임을 떠안거나 제시한 대책에 대해 책임져야 한다. 그야말로 매일 아귀다툼을 벌이고 있는 기업이라는 이전투구의 싸움터에서 쉽게 이용해 먹기 좋은 희생양의 위치를 가지고 있는 셈이다.
처지가 이렇다 보니 정보보안조직의 대응도 거의 "어떻게"라는 질문에 집중되어 처리되고 있다. "어떻게 할 거냐" 또는 "어떻게 해야 하냐"에 대한 대응의 결과는 많은 경우 특정 침해사고에 맞춰진 보안제품의 도입이라는 결과로 귀결된다. "어떻게"라는 질문에 따른 처리과정이 현재 기업 내부에 많은 보안제품들이 도입된 이유가 된 셈이다.
중요한 점은 누구도 "왜"라고 물어보지 않는다는 것이다. "왜" 침해사고가 발생했는지, 근본적인 침해사고의 원인이 무엇인지 물어보지 않는다. 헤커가 침입을 시도할 수 있는 원인인 "왜"가 있어 침해사고의 과정이자 결과인 "어떻게"가 파생되었는데도 말이다. 아무도 "왜"를 물어보지 않으므로 가장 근본적인 원인이자 취약점인 "왜"에 대한 대책은 마련되지 않는다. 그 결과 침해사고는 또 발생하고 다시 "어떻게"가 반복되어 또 보안제품이 도입된다. 그리고 문제의 진짜 원인은 해결되지 않은 채로 남는다.
생각을 변화시켜야 한다. "어떻게"가 아니라 "왜"라고 질문하는 것이다. 생각이 바뀌면 질문이 바뀌고, 질문이 바뀌면 따라오는 결과와 대책도 바뀌게 된다. 최고경영진이 "왜"라고 질문해 주는 그 순간 정보보안조직도 하나의 침해사고에 집중하는 것이 아니라 이 침해사고가 "왜" 발생할 수 있었지라고 스스로에게 물어보게 된다. 결과가 아닌 원인에 집중하게 되는 것이다. 변화된 질문의 결과는 보안제품의 도입일 수도 IT체계의 변화일 수도 있다. 알아야 할 것은 "어떻게"라는 질문과 "왜"라는 질문의 과정은 결코 같을 수 없다는 것이다.
기업 보안의 변화를 위한 시작은 이렇다. 질문을 "어떻게"에서 "왜"로, "How"에서 "Why"로 바꾸는 작은 변화를 시작하는 것이다. 비록 시작은 미미하지만 그 끝은 심히 창대한 변화이다.