골프 스윙과 같은 사이버 레질리언스
‘골프에서 가장 중요한 샷은 다음 샷이다.’, ‘골프는 실수의 게임이다. 더 좋은 실수(다음 샷을 하기 좋은)를 하는 사람이 이기는 게임이다.’ 이라고 모던 골프 스윙의 아버지라고 불리우는 ‘벤 호건’의 명언을 기억할 필요가 없다. 100% 원하는 거리와 방향의 샷이 나오지 않더라고 그 다음 샷으로 만회할 기회를 얻도록 계획하고 실천하는 것이 골프의 본질이다. 그래서 가장 어려운 운동이라고 하는 지도 모르겠다.
디지털 전환(Digital Transformation)에서 가장 많이 언급되는 이슈가 사이버 보안이다. 아무래도 인공지능 등 새로운 혁신 기술로 인해 발생 가능한 역기능/위험으로부터 자유롭기를 원하며 또한 미지의 세계로의 여정에서 안정적인 정착을 요구하기 때문일 것이라고 생각된다.
넓은 의미의 사이버 보안이란 정보기술 또는 디지털 기술로 인해 생기는 사이버 공간에서의 위협으로부터 유형, 무형의 자산을 보호하는 전통적 가치와 더불어 안전한 디지털 제품/서비스의 개발과 사용이라는 새로운 가치를 위해 존재한다고 볼 수 있다.
디지털 시스템을 아무리 잘 설계하고 구현하여도 시스템적 오류가 발생할 수 있으며 악성코드(예를 들면 백도어)가 포함될 수 있으며, 시스템을 운영, 유지 보수하는 과정에서도 운영자/사용자의 무지, 실수 또는 악의적 행위로 인해 또는 해킹이나 피싱 등 외부 위험으로 인해 보안사고는 발생할 수 밖에 없다. 더욱이 현재와 같은 초 연결 지능정보사회에서는 아무리 조직 내 보안활동이 우수하다고 하여도, 수 많은 협력사, 공급사 등 외부 기관과의 관계 속에서 보안사고는 발생할 수 밖에 없다는 사실을 인정할 수 밖에 없다. 과거와 같은 보안사고 예방 중심의 노력보다는 보안사고 발생을 기정 사실화하고 예측, 탐지, 복구 등 ‘사이버 레질리언스(Resilience)’ 역량이 필요한 시점이다.
사이버 레질리언스(복원력)는 "특정 조직에서의 임무수행을 보장하기 위해 사이버 역량을 활용하거나 이를 통해 운용되는 조직이 불리한 환경이나 압력, 공격, 또는 강요받는 상황을 예측하고 견디며, 이로부터 회복하고 적응하는 능력"이라고 대부분의 전문기관에서 정의하고 있다. 따라서 사이버 레질리언스의 특성을 대변하는 키워드는 아래와 같은 3가지로 요약할 수 있다: 비즈니스 연속성, 전사적이며 자주적 활동, 생태계 보호. 사이버 레질리언스는 급변하는 상황에 민첩하게 적응할 수 있는 역량(Adaptive Capacity)과 실제 사고발생 시에 대응할 수 있는 능력(Coping Ability)으로 평가될 수 있으며, 정태적인 보안관리체계의 산출물이기 보다는 위의 두 가지 역량의 상호작용을 통한 동태적 활동임을 강조하고 있다.
이미 국외 선진국에서는 사이버 레질리언스 관련 법, 규정 제정은 물론이고 구축 및 평가를 위한 지침 또는 기준 등을 개발하여 운영 중에 있다. 미국에서는 ‘국가안보전략’, ‘국가사이버안보전략’에서 레질리언스 확보를 위한 정책을 명시하고 있으며 유럽연합에서는 ‘사이버 레질리언스 법’을 2022년에 제정하여 디지털 기기들에 대한 보안 요구사항 등의 조치사항을 규정하고 있다. 국내에서도 ‘국가안보전략’ 등에서 언급되고는 있으나 아직 구체적인 내용을 포함되어 있지 않으며 선언적인 의미 정도로 해석될 수 밖에 없다.
사이버 레질리언스를 구현하기 위해서는 보안부서만의 노력이 아닌 모든 임직원들이 참여하는 전사적인 노력으로 가능하며 해당 조직만의 보호 노력이 아닌 관련 협력사, 공급업체 등 생태계 차원에서의 보호라는 관점 전환이 필요하다. 또한 보안 기술(솔루션) 중심 패러다임에서 벗어나 사람 중심, 인간 중심의 활동으로 이루어져야 하지 않나 생각된다. 결국 사람의 생각과 인지 역량이 의사결정과 행동을 좌우하며 결국은 레질리언스 역량이 높아진다고 볼 수 있다.
하마스 사태에서 볼 수 있듯이 국민과 담당 부서의 정확한 상황인식과 경각심, 그리고 신뢰를 통한 지원과 믿음이 무엇보다도 중요함을 인식해야 합니다. 이것이 선행된 후에 업무를 일관성있으며 효과적으로 수행할 수 있게 유도하는 프로세스와 쉽게 업무를 처리할 수 있는 도구가 빛을 발할 수 있을 것입니다. 즉 국가안보, 기업보안의 주체는 사람이며, 프로세스나 도구가 주체가 될 수 없다는 것이다. 프로세스나 도구의 중요성을 무시하는 것이 아니라 그동안 간과되었던 사람과 인간에 대한 노력을 강조하고 싶은 것이다. 코로나 팬데믹 상황에서 개인의 면역력 향상을 위해 개인과 정부의 공동 노력이 얼마나 중요한 지 경험했듯이. 국가안보나 기업보안을 위해서도 사람 중심의 레질리언스 함양을 위해 더 한층 노력을 기울어야 하지 않나 싶다.
골프 휴지기를 맞은 겨울에 다시 방문하게 된 골프 연습장에서 나만의 골프 스윙을 만들어야 겠다. 골프 게임의 룰이 저 먼 곳에 있는 조그만 홀을 향해 정해진 타수로 넣는 것이라면 골프스윙의 원칙을 기반으로 나에게 맞는 부드러운 스윙을 부지런히 연습해서 자연스럽게 필드에서 행할 수 있어야 할 것이다. 또한 최소한으로 실수를 줄여야 할 것이고 또한 미스 샷이 나와도 굴하지 않고 리커버리할 수 있는 멘탈 복원력을 키워야 할 것이다.
