내부심사 일정이 잡혔다. 생각보다 빨랐다. 교육이 끝난 지 얼마 지나지 않았는데, 회사에서는 바로 내부심사를 진행하자고 했다. 대표의 말은 간단했다.
“어차피 해야 하는 거니까, 미리 한 번 점검해봅시다.”
나는 심사원 역할을 맡게 됐다. 처음이었다. 누군가를 평가하는 입장에 서는 건. 심사 체크리스트는 이미 준비되어 있었다. 컨설팅 자료를 기반으로 만든 것이었고, 항목도 잘 정리되어 있었다.
- 데이터 접근 통제
- 로그 관리
- AI 리스크 평가
- 책임자 지정
문서상으로는 완벽해 보였다. 나는 체크리스트를 들고 각 부서를 돌기 시작했다. 첫 번째는 개발팀이었다.
“데이터 접근은 어떻게 관리하고 계십니까?”
내가 묻자 개발자가 대답했다.
“권한 있는 사람만 접근 가능합니다.”
나는 고개를 끄덕였다. 문서와 같았다.
“접근 기록은 남습니까?”
“네, 로그 남습니다.”
나는 체크리스트에 표시를 했다.
✔ 적합
다음은 운영팀이었다.
“AI 결과 검증은 어떻게 하고 계십니까?”
“이상 있으면 확인합니다.”
나는 다시 물었다.
“기준이 있습니까?”
그는 잠시 생각하다가 말했다.
“…특별한 기준은 없습니다.”
나는 멈췄다. 기준이 없다. 그 말이 머릿속에 남았다. 하지만 체크리스트에는 기준 항목이 없었다. 나는 잠시 망설이다가 다시 표시했다.
✔ 적합
그 다음은 보안 담당자였다.
“로그는 정기적으로 확인하고 계십니까?”
그는 고개를 끄덕였다.
“네, 확인합니다.”
나는 물었다.
“최근 확인 기록 볼 수 있을까요?”
그는 잠시 멈췄다.
“…최근은 아니고요.”
“그럼 마지막 확인은 언제입니까?”
“…기억이 잘 안 납니다.”
나는 펜을 들고 멈췄다. 로그는 있다. 하지만 확인은 하지 않는다. 그럼 이건 통제인가? 그 순간 정이도 심사원의 말이 떠올랐다.
“문서는 결과입니다.”
“운영이 먼저입니다.”
나는 체크리스트를 내려다봤다. 그 안에는 이 질문이 없었다. 나는 잠시 고민했다. 그리고 처음으로 체크 표시를 멈췄다.
“이 부분은 확인이 필요할 것 같습니다.”
보안 담당자가 나를 봤다.
“문제 있는 건가요?”
나는 잠시 말을 멈췄다. 그리고 말했다.
“…확인은 필요합니다.”
그날 심사는 계속 진행됐다. 대부분의 항목은 문제 없어 보였다. 문서는 있었고, 설명도 있었고, 형식도 맞았다. 그래서 결과는 간단했다.
“적합”
“적합”
“적합”
보고서를 작성할 때 손이 멈췄다. 나는 문장을 읽었다.
“본 조직은 ISO 요구사항을 충족하고 있음”
그 문장이 이상하게 어색하게 느껴졌다. 충족하고 있는가? 아니면 그렇게 보이는 것인가? 그때였다. 문이 열렸다. 정이도 심사원이 들어왔다. 나는 그를 보자마자 조금 긴장했다. 그는 아무 말도 하지 않고 내 앞에 앉았다. 그리고 말했다.
“결과는 어떻습니까?”
나는 잠시 망설였다.
“…대체로 적합입니다.”
그는 고개를 끄덕였다. 그리고 물었다.
“확신하십니까?”
나는 바로 대답하지 못했다. 그는 나를 바라봤다.
“문제가 없습니까?”
나는 입을 열었다.
“…문제는…”
말이 이어지지 않았다. 그는 말했다.
“문제가 없는 게 아닙니다.”
잠시 멈췄다.
“문제를 못 본 겁니다.”
그 말이 떨어지는 순간 나는 알았다. 오늘 하루 동안 내가 무엇을 했는지. 나는 체크를 했다. 하지만 보지는 않았다. 나는 확인을 했다. 하지만 판단하지 않았다. 그는 조용히 말했다.
“적합은 가장 위험한 결과입니다.”
나는 고개를 들었다.
“왜냐하면 아무것도 바뀌지 않기 때문입니다.”
그 말이 머릿속에 그대로 남았다. 나는 보고서를 다시 봤다.
✔ 적합
✔ 적합
✔ 적합
그 체크들이 이상하게 불편해 보였다. 그날 이후 나는 처음으로 생각했다.
“이건… 부적합이다.”