IT보안. 보안 담당자가 멘탈 나가는 순간.
- "우리 회사 털려도 괜찮아요" — 이 말이 제일 무섭다 -
대기업에 있을 때도 나는 을이었다. 지금도 여전히 을이다. 고객은 바뀌었지만. 을이라고 다 같은 을이 아니라는 걸 - 나와보고 - 나서야 알았다.
대기업 고객사는 아끼려고 별 짓을 다 한다. 가격 협상은 기본이고, 도입 명분 만들어오라고 하고, 유사 솔루션 비교표 뽑아오라고 하고. 사전품의, 본품의, 비딩까지. 근데 그게 스트레스는 아니었다. 프로세스란 답이 정해져 있는 거니까. 복잡하더라도 길이 있다는 건 알고 걷는 거다. 그리고 한번 쓰기로 마음먹으면 돈을 아끼지 않는다.
예전 스플렁크 도입 때가 그랬다. IBM, HP와 오랜시간 PoC까지 했고, 레퍼런스 없는 솔루션을 꺼리는 보수적인 고객사라 검증 프로세스가 기존보다 몇 배나 길었다. 근데 결정 나고 나서는 '이래서 대기업이구나' 싶을 정도로 돈을 팍팍 썼다. 10년이 지난 지금 스플렁크는 SIEM의 업계 표준이 됐다.
지금은 중소/중견도 하고 대기업도 같이 한다. 동시에 하다 보니 비교가 된다. 대기업 일이 편한 이유는 프로세스가 단순해서가 아니다. 의사결정자가 보안을 아는 사람이라서다. "왜 보안에 돈을 써야 하는가"를 설명할 필요가 없다. "왜 이 솔루션이어야 하는가"를 싸우는 자리다. 치열하지만 재밌다.
그런데 중소/중견은 그 전 단계부터 시작해야 한다. 그리고 그 자리에서 꼭 듣는 말들이 있다.
보안이 강화되면 불편해지는 거 아닌가요?
맞다. 틀린 말이 아니다. 문은 잠글수록 들어오기 불편하다. 근데 그걸 이유로 잠그지 말자는 게 문제다. 보안과 편의성은 트레이드오프다. "보안도 강화하고 불편함도 없게 해달라"는 건 다이어트하면서 치킨 매일 먹겠다는 말이랑 같다. 불가능한 게 아니라 그만큼 비용이 더 든다는 거다. 불편함이든 리스크든 둘 중 하나는 감수해야 한다.
우리 회사는 중요한 데이터가 없어서 털려도 괜찮아요 (개인적으로 가장 놀랐던 부분이다.)
이 말이 제일 무섭다. 중요한 데이터가 없는 회사는 없다. 임직원 개인정보만 있어도 개인정보보호법 위반이다. 거래처 계약서, 내부 단가표, 미공개 사업계획서 등 이게 다 데이터다. 랜섬웨어에 걸리면 이 데이터들이 암호화되면서 업무 자체가 멈춘다. 해킹도 아니고 퇴직자 소행으로 핵심 기술 도면이 통째로 유출된 중견 제조업체 사례도 있다. 털려도 괜찮은 게 아니라 털리면 회사가 멈춘다.
"중요한 데이터가 없다"는 말은 대부분 "어떤 데이터를 갖고 있는지 파악을 못 했다"는 뜻이다.
"보안 투자는 ROI가 안 나오지 않나요?"
보험료도 ROI 안 따진다. 사고 안 나면 "괜히 냈다"가 아니라 "다행이다"인 거다. 보안 사고 한 번 나면 - 수습 비용, 과징금, 거래처 이탈, 이미지 실추까지 - 몇 년치 보안 예산이 한 방에 날아간다. 그걸 경험하고 나서 투자를 시작하는 회사들을 꽤 봤다. 문제는 이미 한 번 맞은 후라는 거다.
"보안은 비용 아닌가요? 투자라고 하기엔..."
이게 위 세 가지를 만들어내는 근본 원인이다. 보안을 '쓰면 없어지는 돈'으로 보는 시각. 이 시각이 바뀌지 않으면 앞의 세 가지 대화는 앞으로도 계속 반복된다. 예전 대기업 고객사도 초반엔 비슷했다. 근데 거긴 결국 설득이 됐다. 의사결정자가 리스크를 이해하는 사람이었으니까. 지금 내가 만나는 곳들은 그 경험 자체가 없는 경우가 많다. 그리고 직접 경험하고 나면 대부분 너무 늦다.
Google Gemini가 생성한 이미지 (녹슨 자물쇠는 잠긴 게 아니다.)결국 이 네 가지의 공통점이 있다.
보안을 몰라서가 아니다. 보안을 나와 상관없는 일로 생각해서다.
제안 자리에서 이런 말을 들으면 논리로 설득하는 것보다 같은 업종 사고 사례 하나 꺼내드는 게 제일 빠르다. "비슷한 규모 회사가 작년에 이렇게 됐습니다" 이 한 마디가 한 시간 PT보다 의사결정자 표정을 더 빠르게 바꾼다. 이른바 공포 컨설팅이다.
예전엔 이 싸움을 그룹 고객사 안에서 했다. 지금은 밖에서 하고 있다. 상대만 바뀌었는데 이렇게 다른 게임이 될 줄은 몰랐다. 뭐 어쩌겠나. 목구멍이 포도청인데.
사족.
보안 컨설팅이나 솔루션 제안을 하다 보면 어느 순간 이런 생각이 든다. 내가 지금 보안을 팔고 있는 건지, 보안의 필요성을 팔고 있는 건지. 대부분의 경우 후자다. 그리고 그게 훨씬 더 어렵다.