부적합이라는 그 문장을 쓰지 못했다.
“본 조직은 ISO 요구사항을 충족하고 있음”
커서를 그 문장 끝에 두고 나는 한참을 멈춰 있었다. 손이 움직이지 않았다.
✔ 적합
✔ 적합
✔ 적합
그 체크들이 이상하게 불편하게 느껴졌다. 나는 체크리스트를 다시 펼쳤다.
데이터 접근 통제
로그 관리
AI 리스크 평가
책임자 지정
문서는 있었다. 설명도 있었다. 하지만 운영은 없었다. 나는 펜을 들었다. 그리고 처음으로
다른 표시를 하려고 했다.
✖
손이 멈췄다. 이걸 쓰는 순간 무언가가 바뀐다는 걸 알았다.
업무를 정리하고 회의실에 들어갔다. 내부심사 결과 공유 자리였다. 대표, 각 부서 팀장들, 그리고 나. 나는 보고서를 들고 있었다. 심장이 조금 빨리 뛰고 있었다.
대표가 말했다.
“자, 결과 한번 들어봅시다.”
나는 입을 열었다.
“대부분 항목은 적합으로 확인되었습니다.”
몇몇이 고개를 끄덕였다.
“다만…”
그 순간 회의실 공기가 조금 달라졌다.
“일부 항목에 대해 확인이 필요한 부분이 있습니다.”
대표가 눈을 들었다.
“확인이요?”
나는 보고서를 넘겼다.
“로그 관리 항목입니다.”
보안 담당자가 나를 봤다. 나는 말을 이어갔다.
“로그는 존재하지만, 정기적으로 검토되고 있지 않습니다.”
잠깐의 침묵.
대표가 말했다.
“그건… 큰 문제는 아니지 않나요?”
나는 말을 멈췄다. 그리고 말했다.
“…문제입니다.”
회의실이 조용해졌다. 보안 담당자가 말했다.
“아니, 로그는 다 남기고 있고요. 필요하면 언제든 확인할 수 있습니다.”
나는 고개를 저었다.
“확인할 수 있는 것과 확인하고 있는 것은 다릅니다.”
그 말이 떨어지자 공기가 조금 무거워졌다. 나는 계속 말했다.
“현재 상태는 통제가 아니라 저장만 하는 상황 입니다.”
누군가가 작게 한숨을 쉬었다. 대표가 다시 말했다.
“그래도… 문제 생긴 적은 없잖아요.”
그 말이 머릿속을 세게 때렸다. 나는 잠시 눈을 감았다. 그리고 말했다.
“아직 없는 겁니다.”
회의실이 완전히 조용해졌다. 그 누구도 말을 하지 않았다. 나는 말을 이어갔다.
“문제가 없는 상태가 아니라, 문제가 드러나지 않은 상태입니다.”
누군가가 불편한 표정을 지었다. 개발팀장이 입을 열었다.
“그럼… 이걸 부적합으로 보신다는 건가요?”
나는 보고서를 내려다봤다. 그리고 말했다.
“…네.”
그 한 글자가 생각보다 무겁게 떨어졌다. 회의가 끝난 뒤 나는 혼자 남아 있었다. 심장이 계속 뛰고 있었다.
잘한 건지 모르겠었다. 그때 문이 열렸다.
정이도 심사원이 들어왔다. 그는 아무 말도 하지 않고 내 앞에 앉았다. 잠시 침묵. 그리고 말했다.
“적으셨습니까.”
나는 고개를 끄덕였다.
“…부적합으로 판단했습니다.”
그는 짧게 말했다.
“이유는요.”
나는 바로 답했다.
“운영이 없기 때문입니다.”
그는 고개를 끄덕였다.
“좋습니다.”
그 말이 이상하게 크게 들렸다. 그는 나를 보며 말했다.
“처음입니다.”
나는 눈을 들었다.
“무엇이요?”
“부적합을 쓴 것.”
나는 아무 말도 하지 못했다. 그는 말했다.
“대부분은 못 씁니다.”
잠시 멈췄다.
“관계가 깨질까 봐.”
나는 고개를 숙였다. 그 말이 정확했다. 그는 말을 이었다.
“하지만 심사원은 관계를 유지하는 사람이 아닙니다.”
나는 숨을 멈췄다.
“경영시스템을 심사하는 사람입니다. 게다가 내부 심사원이라면 더욱 그래야 합니다. 내부심사는 외부에 문제가 나타나기 전에 내부적으로 조치를 할 수 있습니다. 문제가 발생하기 전에 조치를 취할 수 있습니다.”
그 말이 가슴 깊이 내려앉았다. 그는 자리에서 일어났다. 그리고 마지막으로 말했다.
“이제 시작입니다.”
나는 혼자 남았다. 보고서를 다시 펼쳤다.
✖
부적합
그 표시가 이제는 불편하지 않았다. 오히려 처음으로 제대로 보이기 시작했다. 그날 이후
나는 알게 되었다. ISO는 문제를 찾는 일이 아니라 문제를 인정하는 일이라는 것을.