일찍이 경영학의 대가인 피터 드러커의 말처럼 “전략은 문화의 아침식사거리밖에 안된다”(Culture eats strategy for breakfast), 아무리 좋은 전략과 실행계획도 문화가 지닌 힘과 역동성을 이해하지 못하고 조직 구성원의 공통적인 사고방식과 행위 패턴과 연계되지 못한다면 실패할 수 밖에 없다. 최근의 조직문화에 대한 연구에 따르면 ‘조직문화는 결과적 현상으로서 쉽게 변화할 수 없다’라는 문화 순수주의자 관점에서 ‘체계적 관리에 의해 문화는 개선 가능하고, 발전시킴에 따라 조직 성과도 개선시킬 수 있다’라는 문화 응용주의자 관점이 설득력을 얻고 있다. 즉 조직이 처해 있는 상황적 특성을 반영하면서 공유가치(Shared Value)와 관습, 행동규범을 제시함으로써 바람직한 문화로의 전환이 가능하며 이로써 지속가능한 조직 성과를 결정지울 수 있다는 것이다.
보안도 결국 사람의 문제이며, 임직원들이 가지고 있는 보안에 대한 인식/인지 수준과 실제적인 행동에 의해 좌우되는 것이기 때문에 보안문화에 대한 정확한 이해와 진단을 기반으로 조직이 처한 환경과 상황에 적절한 보안문화로의 전환(Transformation)을 도모해야 할 것이다. 인간중심보안은 ‘보안정책이 아닌 보안문화가 행동을 결정짓는다’라는 명제를 우선적으로 인식하는 데에서 시작하기 때문에 보안문화를 구성하는 요소와 보안문화 유형을 이해하는 것이 필요하다.
보안문화는 기본적으로 조직문화의 하부 문화라는 관점에서 연구가 시작되었고 보안행위를 이해하기 위해 심리학, 사회학, 경영학 등에서의 사회과학적 이론과 모델을 보안영역에 적용하여 보안행위에 영향을 주는 주요 요인을 도출하려고 하였다. 예를 들면 ‘계획된 행위이론’(Theory of Planned Behavior: TPB)과 ‘보호동기이론’(Protection Motivation Theory: PMT)등의 대표적 사회과학 이론을 기반으로 보안문화를 구성하는 요소와 영향을 주는 변수를 찿아 내려고 하였다. TPB는 ‘태도’, ‘주관적 규범’, ‘행동통제에 대한 인식’등 3가지 요인이 개인의 행동의도(Intention)를 결정하고, 이어 행위(Behavior)는 의도와 세 변수간의 상호작용으로 결정된다는 이론이다. PMT는 위협에 대한 평가와 대응 역량에 대한 평가를 통해 보호 동기가 유발된다는 이론이다. PMT는 보안행위를 설명하는 대표적 이론으로서 보안위협에 대한 평가 결과가 대응역량에 대한 평가 결과보다 크면 위협을 회피 또는 부인하는 행위를 할 것이며, 그 반대인 경우에는 보호동기가 발생하여 보안대응 행위를 한다는 것이다. 이 이론은 사람들이 현실화될 가능성이 있는 위험 앞에서도 적극적인 행동을 하지 않는 이유를 설명하는데 사용되고 있다. 즉 비밀번호를 바꾸지 않아서 발생할 수 있는 보안 사고 자체를 경미하게 판단하는 것일 수도 있고, 관련 사고가 많아 상대적으로 보안 위협이 덜 위험하게 느껴지는 것일 수도 있다. 마지막으로 어떤 행동을 해도 자신이 안전해질 거라고 생각하지 않기 때문이다. 적극적으로 대응해도 막을 수 없다는 생각에 아예 비밀번호를 바꾸지 않는 다는 것이다.
최근의 관련 연구결과를 종합하면 첫째, 보안에서의 인간요소에 대한 평가를 위해서는 관련 척도(Metrics) 개발이 중요하며 행동과학에서의 제반 연구결과를 적용할 필요가 있다. 둘째, 위에서 언급한 보안행위이론 및 모델들은 상황적 요소들을 무시하고 있으므로 실제 행위를 설명하는 데 제한적이라는 점을 보이고 있다. 즉 보안사고의 규모나 위협요인들을 강조하는 공포전략(Fear appeal)은 한계가 있으며 오히려 대응역량을 강조하는 것이 좀 더 효과적이라는 연구결과가 있다. 마지막으로 ‘신뢰와 협업’은 성공적 보안을 위한 초석이라는 점을 강조하고 있다.
보안문화란 무엇이고 조직의 보안문화 수준은 어떻게 측정하는 가에 대한 실무적 논의는 보안문화를 구성하는 요소/차원(Dimension)을 파악하는 것으로 인식하고 있다. 조직문화를 구성하는 주요 차원을 설명하는 ‘7S’ 모델을 보안에 적용해 보면 아래와 같이 재해석할 수 있다{그림 1 참조]. △공유가치(Shared Value: 전사보안의 중요성, 보안지향적 사고와 행동) △구성원(Staff: 보안 관련 역할과 책임, 역량, 욕구, 지각, 태도) △기술(Skill: 보안 프로그램/솔루션 운영) △구조(Structure: 보안부서의 위상과 편제, 업무분장) △전략(Strategy: 비즈니스 연계 보안전략) △제도(System: 보안평가 및 보상체계, 의사결정/소통 프로세스) △ 리더십 스타일(Style: 보안 거버넌스 및 리더십, 의사결정에 있어 보안이슈 반영) 등 7개의 차원(Dimension)에서 세부적인 진단 체크리스트를 개발해서 보안문화 수준을 측정할 수 있겠다.
또한 조직문화 유형화에 사용되는 분석 프레임워크를 보안문화 유형을 파악하는데 사용되고 있기도 하다. 대표적인 조직문화 유형화 방법인 ‘경쟁가치 모델(Competing Value Model)’은 조직문화를 구분하는 동시에 리더가 수행해야 할 역할과 요구되는 역량에 대해 규명하고 있다. 경쟁가치 모델을 활용하면 조직 내에는 상이한 가치가 경쟁하고 있으며 조직마다 가치의 우선순위가 다르다는 점에 착안해서 현재 추구하는 가치가 무엇이고, 향후 어떠한 가치를 추구해야 하는가를 파악할 수 있다.
경쟁가치 모델에 기반한 조직문화 진단 방법은 크게 두가지 기준을 사용한다. 첫째 기준은 ‘통제의정도’로서 유연성, 재량성, 역동성을 강조하느냐 아니면 안정성, 질서를 강조하느냐이다. 둘째 기준은 ‘관점(Perspectives)’으로서 내부지향으로 화합과 단결을 강조하느냐 아니면 외부지향으로 분화와 경쟁을 강조하느냐이다. 이러한 두가지 기준을 축으로 활용하여 집단문화(Clan), 혁신문화(Adhocracy), 위계문화(Hierarchy), 시장문화(Market)의 네가지 조직문화 유형으로 분류하고 있다.
이러한 개념적 틀을 보안영역에 적용하면 우선 두가지 기준 중 첫째 기준은 ‘보안통제의 정도’로서강력한 보안통제를 기반으로 보안활동이 이루어지는가 아니면 원칙과 자유재량 중심으로 보안활동이 수행되는가에 따라 구분할 수 있다. 둘째 기준은 ‘보안전략의 주요 초점’으로서 보안법규 준수 및 조직 외부 환경변화 대응이 중요한가 아니면 조직 내부 보안정책 준수와 임직원의 협업 등 내부 지향을 강조하는 가이다. 이러한 두가지 기준을 축으로 활용하여 [그림 2]와 같이, 프로세스(Process) 중심, 컴플라이언스(Compliance) 중심, 신뢰(Trust) 중심, 자율(Autonomy) 중심 등 네가지 보안문화 유형으로 구분할 수 있다.
‘프로세스’ 중심 보안문화는 비교적 강력한 보안통제와 내부지향적 가치를 중요시 하는 문화로서 핵심가치로는 중앙통제를 통한 보안정책의 집행, 안정적이고 가시적인 보안활동, 표준화된 보안업무절차 등을 강조하는 행태를 보이는 경우이다. ‘컴플라이언스’ 중심 보안문화는 비교적 강력한 보안통제와 외부지향적 가치를 중요시 하는 문화로서 핵심가치로는 법규 준거성, 반복가능성, 문서화를 통한 외부 감사 및 평가 대응활동을 강조하는 행태를 보이는 경우이다. ‘신뢰’ 중심 보안문화는 비교적 느슨한 보안통제와 내부지향적 가치를 중요시 하는 문화로서 핵심가치로는 소통, 참여, 헌신 등 임직원에게 상당 권한위임을 통해 인간관계를 강조하는 행태를 보이는 경우이다. ‘자율’ 중심 보안문화는 느슨한 보안통제와 외부지향적 가치를 중요시 하는 문화로서 핵심가치로는 유연성, 민첩성, 혁신 등을 통해 성과 창출을 강조하고 환경에 적응할 수 있는 체계를 강조하는 행태를 보이는 경우이다.
특정 조직이나 부서가 어느 보안문화 유형에 속하는 가를 진단하기 위해서는 주요 보안활동 영역을 기준으로 설문지를 작성하여 진단하는 방법이 일반적이다. 즉 보안의 중요성 인식수준, 보안업무 수행방식, 보안에 대한 지식 및 인식정도, 보안활동의 관리방식, 보안기술 관리방식, 보안위험에 대한 관리정도, 보안에 대한 역할과 책임, 보안활동 성과평가 방식 등 8~10개 정도의 보안활동 영역을 기반으로 4가지 문화유형에 적절한 4가지 보안활동으로 개발된 설문지를 토대로 임직원의 의견을 5점 척도로 측정하면 특정 조직이나 부서의 보안문화 유형을 [그림 3]과 같이 스파이더 차트로 보여줄 수 있다.
디지털 경제에서 데이터와 디지털 기술 의존도가 높아짐에 따라 사이버보안 위험은 점증될 것이며 이는 곧 사회에 대한 위험인 것과 동시에 기업의 존폐를 좌우할 중요한 이슈이기 때문에 사회기술적 접근방법을 택할 필요가 있다. 즉 기술적 대책과 더불어 그동안 간과되어 왔던 인간을 위한, 인간에 의한 보안 노력이 병행되어야 한다. 특히 유연성과 민첩성을 요구하는 디지털 비즈니스에 안정성을 제공하기 위해서는 과거의 경직적인 통제 위주의 보안 접근방법이 아닌 인간중심의 보안전략이 필요하며 이를 통해 지속가능하면서 고신뢰의 보안 프로그램 구현을 위한 보안문화 전환이 시급하다.
인간중심보안을 통해 긍정적이고 능동적인 보안문화를 구축하기 위해서는 우선 정확한 보안문화에 대한 이해와 진단이 선결 이슈이다. 본 고에서 제시한 제반 보안문화 진단 방법을 기초로 국내 현실과 조직문화에 적절한 보안문화 진단방법 개발을 통해 현재 보안문화 수준을 파악할 수 있으며 향후 개선되어야 할 점을 발견할 수 있을 것이다.