논리에 더해 변수에도 강해야 한다
우리나라 사람들은 객관식에 익숙하다. 어릴 때부터 주어진 보기 중에서 정답을 찾는 사지선다형 문제를 자주 접하다 보니 그렇게 된 것으로 볼 수 있다. 뒤집어 표현하면 주어진 보기가 없는 주관식 문제에는 익숙하지 않다는 의미로 해석될 수 있다. 문제 출제의 의도가 무엇일까를 스스로 유추하여 정의하고 이를 통해 정답을 찾아가는 과정을 만들어가는 경험이 적다는 뜻이기도 하다.
현재 정보보안 분야의 실제 현장도 유사하다. 각종 보안분야 자격증들의 경우 객관식 사지선다 또는 오지선다 문제 중에서 하나의 정답을 찾으라는 방식으로 출제된다. 다양한 문제 해결 가능성을 고민하도록 유도하지 않는다. 오직 출제자가 의도하는 하나의 정답을 찾아낼 수 있어야만 자격증을 받을 수 있다고 인정된다.
보안 인증체계 역시 동일한 방식으로 동작한다. 이미 각종 법규정이나 정부에서 제공하는 표준 및 가이드에서 보안점검 항목들 각각에 대해 만족하는 조건들을 기술하고 있다. 실제 기업 현장에 투입되어 심사하는 인증 심사원들은 기업들이 이미 기술된 조건들을 만족하고 있는지를 점검하는 역할을 수행한다. 일종의 정답 채점 방식과 비슷하다.
흔히 컨설턴트란 주어진 데이터를 바탕으로 논리적 완결성이 돋보이는 '전략(What)'을 수립하는 데 최적화되어 있다고들 말한다. 전형적인 객관식형 출제 방식이다. 하지만 기업 현장이란 정의하고 서술한 대로 움직이는 규격화된 장난감이 아니다. 논리에 따라 움직이지 않는 변수의 영역이자 예측할 수 없는 돌발상황(Why)이 항시 발생하는 미지수의 바다와 같은 존재이다.
비슷비슷해 보이지만 사람이 모두 제 각각의 외모를 가지고 있듯, 하는 일이 비슷해 보이는 기업들 조차 각각의 외모를 가지고 있다. 이를 '기업 문화'라고 표현한다. 기업이 가진 문화의 색깔에 따라 같은 상황을 만나도 처리하는 방식은 제각각 달라지게 되고, 이것이 실제 현장에서 컨설턴트들이 만나게 되는 다양한 변수들이다.
그런데 현재 보안분야의 컨설턴트들 상당수는 변수에 익숙하지 않다. 이미 정해진 객관식 조건의 데이터에 맞춰 기업 현장을 분석하는데 너무 익숙해져 버린 탓이다. 그래서 몇 가지 치명적인 문제점을 가지고 있다.
우선, 실제 기업 현실에 대한 현장감이 떨어진다. 주어진 기준과 조건을 과신하고 집착한 나머지, 논리적으로는 타당하지만 기업 현장의 다양한 현실은 고려되지 않은, 그저 이론에만 치중된 대안을 제시하는 경우가 많아지게 된다. 더구나 데이터 수집이 근본적으로 어려운 정성적인 요소라는 변수는 아예 분석에서 제외해 버려 실제 기업 상황과는 동떨어진 대안이 나올 가능성이 높다.
또한 보안컨설턴트 및 인증 심사원들이 주어진 기준에 따른 준수를 너무 고집하다 보면 기업 보안담당자들과의 의견 충돌이 발생하는 경우가 많아지게 된다. 사고의 유연성이 부족해 기업 문화라는 변수를 고려하지 못하는 탓일 가능성이 높으며, 본인의 의견이 무조건 옳다는 '확증편향'에 빠진 경우로도 볼 수 있다. 이 경우 기업 보안담당자(고객)들에게 나쁜 이미지로 각인되어 사업관계 및 평판조사 등에서 불리하게 작용되는 경험도 만날 수 있다.
실제 기업(고객)의 현실은 데이터에 기반한 논리와 데이터 없이 발생하는 변수가 함께 공존하고 있는 현장이다. 그리고 변수는 정성적 영역이자 감성적 영역이자 문화적 영역이며, 진정 효과적인 대안은 변수까지 품어서야 비로소 완성될 수 있다. 언제 어디로 튈지 모르는 살아 숨 쉬는 인간이란 변수들에 의해 운영되고 있는 기업은 동적으로 살아 움직이는 생명체와 같은 특성을 보이기 때문이다.
뛰어난 컨설턴트가 되고 싶다면 논리(What)뿐 아니라 변수(Why)에도 강해야 한다. 다르게 표현하자면 사람에 대한 이해도를 높여야 한다로 해석해도 좋다.