[덕] 보안 문화, Nature vs. Nurture?

보안 문화라는 정원을 가꾸는 법

조직 문화는 타고나는 것일까요, 아니면 만들어지는 것일까요? 이 질문은 한 개인의 정체성을 논하는 해묵은 '본성 대 양육(Nature vs. Nurture)' 논쟁을 떠올리게 합니다. 전자는 문화를 조직 고유의 DNA처럼 오랜 시간에 걸쳐 자연스럽게 형성되며 쉽게 바꿀 수 없는 것이라 여깁니다. 반면 후자는, 문화란 명확한 비전과 정교한 계획, 그리고 꾸준한 노력을 통해 원하는 방향으로 가꾸고 발전시킬 수 있는 대상이라고 주장합니다.

오늘날 대부분의 조직 리더들은 후자의 관점에 무게를 싣고 있으며, 저 또한 문화란 ‘타고나는 것’이 아니라 ‘가꾸어 나가는 것’이라는 믿음을 가지고 있습니다. 조직 문화는 한번 정해지면 바꿀 수 없는 암석이 아니라, 어떤 씨앗을 심고 어떻게 가꾸느냐에 따라 풍성한 결실을 맺거나 잡초만 무성해질 수도 있는 '정원'과 같습니다.

물론, 조직 문화를 바꾸는 일이 쉽지 않다는 점은 분명합니다. 많은 조직이 야심 차게 문화 혁신을 외치지만, 구호에만 그치고 구성원들의 실질적인 변화를 끌어내지 못하는 경우가 많습니다. 바로 이 어려움 때문에 "우리 문화는 원래 이래"라며 변화의 가능성을 외면하는 '문화 순수론'의 목소리가 여전히 힘을 얻기도 합니다. 하지만 '어렵다'는 것이 '불가능하다'는 의미는 아닐 것입니다.

왜 '보안 문화'는 특히 어려운가?

이러한 관점을 '보안 문화'에 적용하면, 우리가 마주한 과제는 더욱 선명해집니다. 보안 문화는 일반적으로 조직 문화의 하위 문화라고 봅니다만, 유독 보안 문화를 성공적으로 정착시키는 것이 어려운 이유는 무엇일까요?

인간 본연의 습관: 사람은 본디 편안함과 효율성을 추구합니다. 보안 절차는 종종 번거롭고 즉각적인 업무에 방해가 되는 것으로 여겨지기 쉽습니다. 새로운 비밀번호를 주기적으로 만들거나, 다단계 인증을 거치는 일은 분명 기존의 방식보다 불편합니다.

보이지 않는 위협: 사이버 공격이나 정보 유출은 포탄이 오가는 전쟁과 달리, 실제 피해가 발생하기 전까지는 그 심각성을 체감하기 어렵습니다. 이는 "설마 우리 회사에 그런 일이 일어나겠어?" 하는 안일함이 스며들기 좋은 환경을 만듭니다. 경계심은 자연히 무뎌질 수밖에 없습니다.

'규정 준수'와 '문화'의 착각: 많은 조직이 정보보호 관리체계(ISMS) 인증 획득이나 규제 준수를 위한 형식적인 활동을 '보안 문화'와 동일시하는 오류를 범합니다. 체크리스트를 통과하기 위한 교육과 활동은 진정한 의미의 문화로 내재화되기 어렵습니다. 이는 보안이라는 옷을 잠시 걸친 것일 뿐, 체질 자체가 바뀐 것은 아닙니다.

'보안 문화'라는 정원을 가꾸는 법

그렇다면 이 어려운 과제를 어떻게 풀어갈 수 있을까요? 저는 '인간 중심 보안'의 관점에서 다음과 같은 해법을 제시하고 싶습니다. 이는 정원을 가꾸는 정원사의 마음과도 같습니다.

리더십이라는 햇볕: 리더는 단순히 정책을 승인하는 것을 넘어, 스스로가 보안 문화를 실천하는 가장 강력한 '모델'이 되어야 합니다. 리더가 먼저 보안 규정을 철저히 지키고 그 중요성을 지속적으로 강조할 때, 구성원들은 비로소 그 진정성을 느끼고 따르게 됩니다. 리더의 관심과 실천은 식물이 자라나는 데 필수적인 햇볕과도 같습니다.

'이해'라는 자양분 공급: "왜?"라는 질문에 답해야 합니다. 단순히 "이렇게 하세요"라는 지시가 아니라, "왜 이렇게 해야만 하는지"를 각자의 업무와 연결하여 구체적으로 설명해야 합니다. 개발자에게는 시큐어 코딩이 서비스 안정성과 직결된다는 점을, 마케터에게는 고객 정보 보호가 곧 브랜드 신뢰도라는 점을 이해시키는 것입니다. 이러한 이해가 바로 문화를 자라게 하는 가장 중요한 자양분입니다.

일상에 스며드는 시스템: 좋은 보안은 사용자가 불편함을 느끼지 않는 가운데 자연스럽게 작동해야 합니다. 복잡한 절차를 강요하기보다, 보안 기능을 업무 시스템 안에 매끄럽게 녹여내야 합니다. 예를 들어, 클릭 한 번으로 의심스러운 메일을 신고하고 즉각적인 피드백을 받을 수 있는 시스템을 구축하는 것은 구성원의 자발적 참여를 유도하는 훌륭한 방법입니다.

지속적인 소통과 긍정적 강화: 문화는 단발성 캠페인으로 만들어지지 않습니다. 좋은 보안 실천 사례를 적극적으로 공유하고 칭찬하며, 게임화(gamification) 요소를 도입해 참여의 즐거움을 주는 등 긍정적인 경험을 지속적으로 제공해야 합니다. 실수가 발생했을 때 비난하기보다, 이를 함께 배우고 개선할 기회로 삼는 '비난 없는(blameless) 문화'를 구축하는 것이 중요합니다.

문화는, 특히 조직의 생존과 직결된 보안 문화는 결코 고정불변의 실체가 아닙니다. 물론 시간과 인내가 필요한 어려운 길입니다. 하지만 리더의 확고한 의지를 바탕으로, 구성원 모두가 ‘왜’를 공감하고 이를 자발적 행동으로 이끌어내는 인간 중심의 환경을 꾸준히 가꾸어 나간다면, 보안은 더 이상 성가신 규제가 아닌 우리 모두의 자부심이자 가장 강력한 방패가 될 것입니다. 문화는 결국, 우리가 함께 키워 나가는 것입니다.