[넋두리 3] 1. 정보보안 변화관리
기업의 문화에 보안을 녹여내야 한다
자주 언급되는 격언 중 '문화는 전략을 아침식사로 삼는다'는 표현이 유명하다. 너무 유명해서 흔하게 사용되는 말이지만 품고 있는 의미는 실로 가볍지 않아서 기업의 경영진이 그 무엇보다 우선해서 명심해야 할 중요한 말이다.
많은 기업들이 일정 주기별로 경영컨설팅을 받아 향후 5년~10년을 위한 경영전략을 발표한다. 회사의 미래 먹거리를 위한 대규모 투자계획인 셈이다. 흔히들 경영전략의 성공 여부는 경영진의 강력한 의지에 달려있다고들 말하지만 그보다 중요한 것은 직원들의 적극적 참여 여부이다. 직원들의 지원을 얻지 못하는 경영전략이라면 실패는 당연한 수순이다.
대체로 경영전략은 신기술이나 신시스템 도입, 새로운 시장 진입 등 익숙하지 않은 낯선 환경을 동반하기 마련이다. 너무 익숙해서 친근해져 버린 지금의 방식을 버리기를 강요하는 것이다. 두렵고 꺼리는 것이 당연하다. 익숙하고 손에 익어서 너무도 당연하게 생각되는 지금의 업무 처리방식. 바로 기업의 문화다.
기업의 문화란 어느 날 갑자기 뚝하고 떨어진 게 아니라 오랜 세월 동안 반복되고 반복되는 과정을 거쳐 정리된 결과물이다. 따라서 작은 사소한 것 하나를 그 과정에 추가하는 것에도 반발과 이해충돌이 발생할 수 있다. 하물며 지금의 환경을 한꺼번에 뒤집을 수도 있는 경영전략이라면 말해 무엇하겠는가.
이것이 정보보안이 당면한 상황이 녹녹지 않은 이유이다. 기업의 문화가 자리 잡는 그 세월 동안 정보보안은 고려대상이 아니었다. 기업의 초창기에는 우선 살아남는 게 중요했고, 기업이 성장하는 시기에는 돈을 벌어 규모를 키우는 게 중요했다. 그때의 기업에게는 정보보안에 투자할 여유도 의지도 없었다. 정보보안이란 돈 있고 규모 있는 기업이나 하는 사치였다.
기업이 제법 성장해 정보보안을 고려할 여유가 될 시기에 기업의 문화는 이미 내부 깊숙이 똬리를 틀어버린 상태다. 그 단단한 똬리 사이를 비집고 들어가 자리를 잡아야 하는 힘들고 험난한 과정이 시작된 것이다.
그리고 그 과정은 외롭다.
거창한 경영전략이라면 경영진의 전폭적인 지원이라도 받겠지만 정보보안은 오직 보안조직 스스로 자리를 잡아야 한다. 보안을 위해 요구하는 과정이 익숙하지 않은 직원들의 외면이나 무시를 받기 일쑤이고, 기존 업무 처리과정에 보안을 녹여내기 위해 다른 부서들을 설득하고 때로는 거칠게 부딪히며 싸우는 일이 많아지게 된다. 강하게 의지를 펼치기에는 기업 내에서 조직의 위상이 약하기 때문이다. 더구나 조직의 규모가 작고 핵심부서에서 제외되어 있어 진급심사에서도 번번이 불이익을 받아 조직원들의 이탈도 잦다.
정보보안으로서는 스스로의 생존을 위해서도 이미 단단하게 자리 잡은 기업의 문화 속에 보안을 녹여낼 방법이 필요하다. 긴 시간 동안 옆에서 지켜보았으며, 직접 경험하기도 한 그 고난의 상황. 어떻게든 이 상황을 반전시켜야 한다는 그 한 가지 심정으로 오래전부터 고민하고 고민해 탄생한 것이 바로 '정보보안 변화관리 방법론 : FSNMS' 다.
이제 그 이야기를 풀어보려고 한다.