[화두 이야기] 정보보안 분야의 화두(9)

무엇을 하느냐보다 더 중요한 것은 누가 하느냐이다

“무엇을 하느냐보다 더 중요한 것은 누가 하느냐이다"

이 문구는 지금까지 개발자, 엔지니어, 컨설턴트, 보안책임자 등 다양하고 숱한 경험을 거쳐오면서 정말 뼈에 새겨질 정도로 공감하고 또 절감했던 교훈이자 화두이다. 특히 IT개발이나 IT컨설팅, 보안컨설팅과 같이 소수의 전문 정예인력에 의해 진행되는 IT 사업에 있어 사업의 승패를 좌우하는 가장 중요한 요소로서 사업주관자들이 꼭 명심해야 할 내용이기도 하다.

흔히 컨설팅 사업에 참여하고자 할 시 가장 많은 기업담당자의 문의 내용은 사업에 얼마나 많은 인력 공수가 투입되는가 하는 점이다. 물론 이에는 몇 가지 이유가 있다. 첫째, 인력이 많이 투입되면 사업이 수월하게 진행될 것이라는 믿음. 둘째, 예산대비 최대한 많은 인력을 투입받는 것이 뭔가 회사에 공헌한 것이라는 믿음. 셋째, 어차피 그놈이 그놈이니 인력이라도 많이 투입되는 것이 좋다는 투입인력에 대한 불신이 그것들이다.

최근의 추세를 반영하고 있는 이런 기업담당자들의 의식에 대해 뭐라 왈가왈부할 수는 없지만 아주 씁쓸하면서 한편으로 가장 중요한 본질을 놓치고 있다는 점에서 안타까움을 금할 수 없다.

같은 기업을 대상으로 컨설팅을 수행해도 그 결과는 투입된 인력이 누구인가에 따라 천차만별로 달라진다. 결과는 기업에 유익하기도 또는 무익하기도 하며 간혹 오히려 아니함만 못한 큰 손해를 기업에 끼치는 결과로 돌아올 수도 있다. 그리고 이러한 차이를 만드는 이유는 오직 하나, 누가 수행하였는가이다.

당연하게도 사람은 모두 제각각이다. 설령 같은 20년 경력의 컨설턴트들이라고 해도 제각각으로 다르다. 그 다름에는 지나온 삶의 전체적인 편린이 녹아들어 있다. 가족, 친구, 학교, 사회관계, 직장, 업무경험 등과 같은 다양한 것들이 그를 나타낸다. 그러한 과정을 통해 각각의 생각과 경험과 장점과 능력이 달라진다. 같은 글을 읽어도 느끼는 감정이 다르고, 같은 문제를 접해도 문제해결을 위해 제시하는 방안 역시 다르다.

많은 기업들이 매년 반복하고 있는 인증컨설팅의 경우 대체로 비슷한 문제점들이 발견되지만 그에 따른 해결방안이 사뭇 다르게 제시되는 경우가 존재하는 이유가 여기에 있다. 대부분의 대책방안은 교과서처럼 획일화되어 있어 대등 소이한 편이지만 일부의 경우 전혀 생각지도 못한 색다른 해결책이 나오기도 하다.

이때 남과는 다른 색다른 해결방안을 제시할 수 있는 컨설턴트에 주목할 필요가 있다. 쉽고 편한 길이 아닌 자신만의 주장과 의견을 담은 방안을 제시하는 사람이기 때문이다.

개선과 진보는 남들과는 다른 생각과 다른 접근에서 나온다. 내부의 취약점에 대해 다른 기업들이 하는 대로 똑같이 해서는 외부의 공격에 대비한 효과적인 대응책이 되지 못할 가능성이 높다. 이미 오랫동안 그렇게 조치를 해 왔음에도 계속 공격을 받고 있고 피해를 입고 있다. 그러한 조치방식은 공격자에게도 노출된 상태여서 방어의 효과가 없기 때문이다.

남들과 다른 생각으로 다르게 접근할 수 있는 사람이 필요하다. 남들과 같은 뻔하디 뻔한 대책이 아니라 미처 예상하지 못했던 특이한 발상과 대책을 제시함으로써 흡사 뒤통수를 한 대 맞은 듯한 느낌을 줄 수 있는 사람. 무릎을 탁 치면서 "바로 이거지"라는 소리를 나오게 할 수 있는 사람. 그저 뻔한 대책이 아니라 기업의 상황과 환경을 십분 고려하여 최선보다는 최적의 대책을 제시해 줄 수 있는 사람. 돈과 기술에 기반한 해결책이 아니라 기업과 사람에 기반한 해결책을 제시해 줄 수 있는 사람.

기업이 컨설팅을 받고자 하는 경우 어느 컨설팅 회사에게 맡길 것인가를 가장 중요하게 생각해 크고 유명하고 잘 알려진 회사를 선호하는 경향이 강하다. 하지만 그러한 결정이 꼭 양질의 컨설팅 결과를 보장하지는 않는다. 알다시피 컨설팅은 사람이 하는 일이고 모든 결과는 사람에 의해 도출되기 때문이다. 그래서 회사보다는 사람을 선택하는 것에 집중하는 것이 중요하다.

반드시 명심하자. “무엇을 하느냐보다 더 중요한 것은 누가 하느냐이다".