[넋두리 5] 11. 반항은 밀당을 통해 완성된다
창의성은 반항에서 나온다
보안업계는 바야흐로 효율성과 자동화의 강한 요구에 직면한 상태다. 침해사고는 더욱 커져가고, 기업의 보안위기가 커져가는 만큼 과징금, 소송비용, 정부의 압박, 경영진 퇴진과 같은 경영위기는 나날이 증가하고 있다. 그렇다고 갑자기 보안책임자인 CISO의 기업 내 위상이 확 높아질 리도 없거니와 보안업무 꼼꼼히 잘하라고 담당자를 잔뜩 뽑아줄리는 없음을 우리는 경험을 통해 알고 있다.
그럼에도 보안조직은 묵묵히 제 할 일을 해야 한다. 혹시 모를 침해를 감시하고, 만약을 대비해 인증을 유지하고, 부지런히 연간 활동을 수행해 증적을 남겨야만 하기 때문이다. 그렇게라도 해야 현재 상태를 유지할 수 있다.
하지만 예산은 제한되어 있고 할 일은 항상 많은 것이 문제다. 몸이 하나다 보니 열심히 해도 항상 제자리고 일한 티는 나지 않는다. 이런 일상이 계속 반복되면 사람은 지치고 이탈을 궁리하게 된다. 흔히들 얘기하는 조용한 퇴사(Quite quitting)다. 이러한 현실이 SOAR(Security Orchestration, Automation and Response)와 같은 보안업무 자동화 및 효율성을 추구하는 기술들이 출현하게 된 배경이고, 보안조직은 이 기술들을 통해 변화하고자 시도한다.
하지만 으레 그렇듯이 변화는 쉽지 않다. 기업 입장에선 보안업무 분야에 효율화나 자동화 같은, 명분은 그럴싸하지만 결국 이를 위해서는 또 예산의 투입이 불가피한, 개념의 도입이 반갑지는 않다. 투입된 투자 규모에 비해서 이익이 보이지 않는 지출이라고 생각하기 때문이다. 솔직하게 표현하자면 "그냥 지들이 부지런히 하면 되는 것 아냐"라고 보는 것이다. 기존에 하듯이 보안조직을 갈아 넣어서 말이다.
이래서야 기업의 보안업무 혁신은 요원하기만 하다. 따라서 이럴 때일수록 보안조직은 반항적일 필요가 있다. 여기서 '반항적'이라고 표현했다 해서 글자 그대로의 뜻대로 상관에게, 아마도 임원, 큰소리로 따지고 들이받으라는 의미는 아니다. 진짜로 그렇게 하면 직장에서 그냥 잘린다. 지시에 무조건 순응하는 것이 아니라 보안조직의 요구가 관철될 수 있도록 방법을 찾아보고, 설득해 보고, 설명해 보고, 때로는 다소 강하게 우기기도 해보라는 의미를 우회적으로 표현한 것이다.
창의적인 생각은 항시 반항에서 나오는 법이다. 기존의 방식에 순응하지 않고 '왜 그래야 하는데?'라고 던지는 다소 건방지고 삐딱하기까지 한 질문에서 비로소 새로운 방법을 찾기 위한 노력이 시작되기 때문이다. 경영진이나 임원들이 마땅치 않아 한다고 해서 바로 포기해 버리면 아무것도 바뀌지 않는다. 어떻게 그들에게 설명하고 설득할까를 고민하는 것이 필요하다.
안타깝게도 대부분의 보안조직은 보수적이고 수동적이다. 항상 부족하기만 한 권한, 침해 및 유출사고 발생 시에 뒤따르게 될 불이익에 대한 불안감에 따른 위기의식이 그들을 그렇게 만들었다. 그 결과 제대로 된 투자가 이루어지지 못하는 기업의 보안 수준은 매년 같은 자리를 맴돌고 있고, 보안조직의 업무도 매년 도돌이표로 같은 작업만 반복하고 있다.
정말 가끔 한번 변화가 일어날 때가 있는데 큰 유출사고로 인한 위기의식이 경영진의 마음을 움직였을 때다. 타산지석이라고 하듯 침해사고를 당한 타 회사의 경영진이 피해를 당하는 모습을 보고 "혹시 나도"라는 감정이입이 된 경우가 이에 해당한다.
보안조직은 이 부분을 잘 공략해야 할 필요가 있다. 보안조직이 이용가능한 거의 유일무이한 경영진의 아픈 부위이자 약점이기 때문이다. 투자를 원하지 않거나 머뭇거리는 경영진을 향해 적극적으로 침해가 생겼을 시의 문제점, 피해 가능 정도, 회사가 겪게 될 상황들, 경영진에게 닥칠 수 있는 위험들을 타사의 실제 사례를 들어가며 설득하는 작업이 필요하다. 이때 필요하다면 조금은 강하고 거친 표현을 써도 좋다.
중요한 점은 거기에서 멈추면 안 된다는 것이다. 위험이라는 요소를 강조해 쭈욱 밀었다면 이제 보안업무 효율화를 통해 얻을 수 있는 이익 한 스푼을 살짝 첨가해서 당기는 감각도 필요하다. 보안인력을 추가로 뽑지 않아도 된다는 점, 수시 보안점검이 가능해져 보안 수준이 높아진다는 점, 보안조직의 잉여 시간을 통해 추가적 보안활동이 가능해진다는 점 등등 말이다. 바로 밀당의 기술이다.
