SR5. 기술 통제 중심 보안에서 ‘인간 중심 보안’으로

보안도 결국은 사람의 문제
전략 앞서 문화부터 바꿔라

343호 (2022년 04월 Issue 2)

Article at a Glance

통제와 기술 중심의 보안 전략은 창의와 자율이 요구되는 디지털 시대에 적절하지 않으며 실제 사이버 보안 사고의 50% 이상이 임직원의 잘못으로 발생한다. 인간 중심 보안이 필요한 이유다. 인간 중심 보안은 지속가능한 보안 문화를 구축하기 위한 전략으로 조직을 자율성과 책임성이 장려되는 신뢰 공간으로 구축해 보안 문제에 대응하는 접근법이다. 인간 중심 보안이 실현되기 위해서는 정교한 보안 문화 변화 관리 프로그램과 모니터링 프로그램이 전제돼야 한다. 보호동기이론(PMT), 경쟁가치 모델, 고신뢰 조직 등 조직 이론과 모델을 보안에 적용해 보안 행위와 보안 문화를 진단하고 전환할 수 있다.



디지털 전환과 전통 보안 관리 체계의 한계

디지털 경제는 클라우드, 인공지능(AI), 블록체인, 빅데이터 등 혁신적인 디지털 기술을 통해 다양한 정보를 대량으로 수집 및 공유할 뿐 아니라 현상 이해와 추론 능력을 혁신적으로 개선하며 새로운 비즈니스 가치를 창출하는 경제 상황을 의미한다. 2010년대 중반 이후 언급되기 시작한 디지털 전환(Digital Transformation, DT)은 코로나 팬데믹으로 인해 가속화되고 있다. 디지털 전환에서 비롯된 혁신적인 가치가 산업과 사회에 내재화되고 지능적인 성장을 이어가기 위해서는 디지털 경제에 대한 신뢰 확보가 무엇보다 우선적으로 해결돼야 하는 과제다. 즉, 디지털 경제에서 발생할 수 있는 다양한 위험을 최소화하며 투명하고 공정한 활동이 보장돼야 한다.

문제는 디지털 전환이 혁신을 이끈 것이 비즈니스 가치만이 아니라는 사실이다. 디지털 세상에서 일어날 수 있는 위험 요소 역시 비약적인 수준으로 혁신을 이뤘다. 네트워크를 공격하거나 하드웨어를 훼손하는 등 과거의 단편적이고 파편화된 위협과는 사뭇 다른 양상의, 지금까지 전혀 접해보지 못한 복합적인 위험이 나타나고 있다.

새로운 위험이 나타남과 동시에 전통 산업과는 다른 조직과 인재상이 요구되기 시작하면서 사이버 보안에도 새로운 청사진이 필요해졌다. 2022년 현재는 바야흐로 ‘기술이 비즈니스를 주도하는 환경’으로 정의될 수 있다. 즉, 마이데이터, 빅테크 등 새로운 시장의 참여자들이 클라우드, AI 등 혁신 기술을 기반으로 새로운 경제 질서를 만들고 있다. 이 같은 비즈니스를 이끄는 기업은 자율성에 기반한 혁신과 창의, 융합 문화가 조직 내 구축돼야 한다. 이들 기업이 안전한 디지털 서비스와 제품을 제공하기 위해서는 과거의 기술과 통제, 컴플라이언스, 정책이 중심이 되는 보안 관리 체계로는 역부족이다. 무엇보다도 디지털 비즈니스를 선도하기 위해서 강조되는 창의와 협업이 보안을 이유로 통제되며 임직원의 잠재력을 제한할 우려도 존재한다.

055


전통적 보안 관리 전략에는 다음과 같은 한계점도 존재한다. 새로운 보안 사고가 발생할 때마다 보안 정책이 늘어나 정책 구현과 운영에 엄청난 부담을 갖게 된다. 이 같은 부담은 정책을 지켜야 하는 보안 부서 외의 임직원들에게도 적용된다. 일을 쉽게 하기 위해 정식적인 프로세스가 아닌 우회 경로를 찾는 등 오히려 바람직하지 못한 행위를 초래하기도 한다. 그렇게 만들어진 정책들이 급변하는 기술과 비즈니스 환경을 대변하지 못하는 일도 부지기수다. 혁신 기술이 확대 적용되면서 인간과 기술에 대한 통제 가능성 자체도 점차 약화되고 있다.

IT의 출현은 새로운 보안 위협을 초래하며 이를 해결을 위해서는 기술적 보안 대책과 보안 관리 프로세스가 중요하다는 점은 당연한 사실이다. 인간, 프로세스, 기술(PPT: People, Process, Technology)이라는 보안 관리 체계 3대 요소 중 보안 프로세스와 기술에 대한 괄목할 만한 발전과 구현이 있었다. 그럼에도 불구하고 여전히 보안 사고가 발생한다. 이는 임직원들의 보안 활동에 대한 이해가 부족했다는 사실을 반증한다. 더불어 임직원들이야말로 보안의 주체요, 살아 있는 방화벽이 될 수 있다는 점을 충분히 인지하지 못했다. 실제 최근 연구 결과에 따르면 사이버 보안 사고의 50% 이상이 내부 및 협력사 임직원의 부주의, 무지 또는 악의적 행위로부터 발생하는 것으로 나타났다.

과거 기술과 정책이 중심이 되는 보안 체계의 한계를 인정하고 새로운 보안 관리 패러다임이 절실히 요구된다. 보안 사고가 언제든 발생할 수 있다는 점을 기정 사실화하고 예방과 탐지 수준을 넘어 사고 예측과 신속한 복원 역량, 즉 리질리언스(Resilience, 회복탄력성)를 갖춰야 한다. 제한과 차단이 주가 되는 보안 통제 활동을 책임과 신뢰를 중심으로 전환해야 한다. 예전부터 많은 보안 전문가는 ‘보안은 인간의 문제(People Problem)’라 말했다. 그렇다면 그동안 보안을 위해 인간을 이해하려 얼마나 노력했나. 실효성 있는 보안 행위를 유도할 수 있는 방안을 시도했나. 이 같은 질문에 긍정적인 답을 내놓기 어려워 보인다. 인간의 보안 심리•행위에 대한 이해와 변화 노력은 매우 간과돼 왔다는 사실을 부인하기 어렵다. 그러나 앞서 살펴본 바와 같이 과거의 보안 접근 방법은 한계에 봉착했다. 이 사실을 인정하고 새로운 보안 관리 패러다임으로 ‘인간 중심 보안(People-Centric Security)’을 고려해야 할 시점이다. 인간 중심 보안이 갖춰지면 보안 관리의 궁극적 목적인 능동적이고 자연스러운 보안 문화 구현에 한발 가까워질 것이다.

인간 중심 보안이란?

‘인간을 위한, 인간에 의한 보안’에 대한 논의는 2010년대 초반 이후부터 시작됐다. 그 이전에도 보안에 있어 인간이 취약점이 될 수 있다는 인식이 존재했으며 조직 구성원을 위한 보안 교육 및 훈련 프로그램 개발과 운영 이슈, 임직원의 보안 준수성 등 사람과 관련된 보안 대책들이 연구 개발됐지만 단편적인 수준에 그쳤다. 2012년 시장 조사 기관 가트너는 기존 질서를 뒤집는 연구를 소개하는 매버릭(Maverick) 리서치에서 보안 위험을 줄이기 위해서 오히려 보안 통제를 줄여야 한다는 극단적인 주장을 피력하면서 ‘인간 중심 보안’을 제시했다. 그 이후 인간의 보안 행위에 대한 행동과학, 심리학 등 연구들이 이어졌고 실제 정부나 기업 정책에도 인간 중심 보안 개념이 적용되기 시작했다.

인간 중심 보안이란 전사적이고 지속가능한 보안 문화를 구축하기 위한 전략적 접근법이다. 원칙과 신뢰를 기반으로 개별 임직원의 권한과 이와 관련된 책임을 명확히 할당한다. 인간과 관련된 보안 위험을 관리하기 위해 예방적 보안 대책과 더불어 보안 사고 및 이상 징후를 신속히 탐지하고 대응하는 대책을 구현하고 지속적으로 교정한다. 즉, 과거의 ‘아무도 신뢰하지 않는(Trust No One)’ 패러다임에서 ‘신뢰하되 확인하는(Trust But Verify)’ 패러다임으로의 변화라고 볼 수 있다.

057


인간 중심 보안의 기대 효과를 전통적 보안 접근 방법과 비교하면 [표 1]과 같다. 전통적인 보안 접근 방법은 인간을 잠재적인 범죄자로 보고 보안 정책과 대책의 준수성을 강조했다. 결과적으로 악의를 가진 소수를 통제하기 위해 다수의 선한 임직원을 방해하는 현상을 초래했다. 따라서 보안에 대한 부정적 이미지가 만연하게 됐다. 반면, 인간 중심 보안 접근 방법은 신뢰를 기반으로 원칙, 권한 및 책임을 중심으로 소수의 정책 위반자를 정교하게 탐지하고 임직원의 참여와 협업을 통해 자발적 보안 활동을 도모해 전사적으로 긍정적인 보안 문화를 구현하는 것을 목적으로 한다.

인간 중심 보안 원칙

전통적 보안 접근법이 개별 보안 위협에 따른 구체적인 보안 대책과 정책으로 대표되는 통제를 강조하면서 인간은 단순히 취약한 위험 요소(Weakest Link) 중 하나로 인식됐다. 이에 반해 인간 중심 보안은 조직 구성원의 자율성, 소통, 탐구 등을 통해 개별 구성원의 신뢰 영역을 확장하고자 하는 노력이다. 따라서 구체적이고 엄격한 통제보다는 기본적인 원칙(Principle)을 기반으로 상황 변화에 따라 유연하게 대응하도록 한다. 이때 원칙은 인간 중심 보안 전략을 실현할 때 항상 참조해야 하는 규칙(Guiding Rule)으로 아래와 같은 원칙들을 대표 원칙으로 꼽을 수 있다.

첫째, ‘최종 책임성(Accountability)’ 원칙이다. 정보 소유자(Owner)인 최고경영진이 보안에 대한 궁극적 책임을 가지고 있다는 뜻이다. 가장 기본적이고 핵심적인 원칙이지만 현실에서는 제대로 인지 및 실행되지 못하고 있다. 최고경영진이 하위 관리자에게 보안에 대한 권한을 위임할 수는 있으나 결국 최고경영진이 최종적으로 정보 보호에 대한 책임을 진다. 즉, 조직에 적절한 보안 거버넌스 체계를 구축해 최고경영진이 사이버 보안에 대한 주요 의사결정 권한을 갖고 이에 따른 궁극적 책임을 명확히 할 필요성이 있다.

둘째, ‘수행 책임성(Responsibility)’ 원칙이다. 정보 보안은 보안 관리자만의 이슈가 아닌 조직 임직원 전체의 몫이다. 보안에 대한 임직원 각자의 역할과 책임을 인지하고 이를 수행해야 한다. 사이버 보안은 전사적 이슈로 임직원 모두가 보안 행위를 충실히 수행할 때 이룰 수 있다.

셋째, ‘자율성(Autonomy)’ 원칙이다. 즉, 개인은 보안에 대한 자신의 행동을 스스로 결정하고 행동에 대한 책임 역시 스스로가 진다는 원칙이다. 인간 중심 보안의 핵심 원리라고 할 수 있다. 적절한 교육과 인식 제고 활동을 통해 바람직한 보안 행동과 절차를 인지하고 있어야 하며 동시에 훈련을 통해 숙달돼야 자율성의 원칙이 원활하게 작동될 수 있다.

넷째, ‘비례성(Proportionality)’ 원칙이다. 보안 정책과 대책은 위험의 크기에 따라 구현돼야 한다. 임직원들의 창의성과 자율성을 과도하게 억제하지 않기 위해서는 전통적으로 강조됐던 예방적 보안 대책보다는 모니터링과 대응 관련 대책을 최적화하는 작업이 필요하다. 특히 현재와 같은 고도의 위험 사회에서는 보안 사고가 발생할 수밖에 없다는 사실을 가정하고 조속한 탐지와 리질리언스 체계를 구축해야 한다.

다섯째, ‘투명성(Transparency)’ 원칙이다. 인간 중심 보안의 핵심인 전체 임직원의 적극적 참여를 유도하기 위해서는 보안 부서에서 수행하는 활동을 공개하고 임직원의 동의를 얻어야 한다. 다른 의미로 보안 기술의 투명성도 요구된다. 보안 기술이 실제 작동하지만 임직원들은 이를 인지할 수 없어 업무 활동에 방해가 되지 않아야 한다.

여섯째, ‘즉시성(Immediacy)’ 원칙이다. 부정행위에 대한 제재가 즉각적이고 연관성 있게 수행돼야 한다. 부정행위가 발견될 시 적시에 적합한 제재가 없다면 ‘악화가 양화를 구축한다(Bad money drives out good)’는 말처럼 조직 전체에 부정하고 비윤리적인 활동이 만연해질 것이다. 물론 인간 중심 보안에서는 처벌이 우선하지 않기 때문에 적절한 행동을 유도할 수 있는 교육과 지원 노력이 우선 적용돼야 한다. 그럼에도 처벌 행위가 필요하다면 신속하고 결단력 있게 진행돼야 한다.

인간 중심 보안의 전제 조건

원칙이 마련돼 있어도 인간 중심 보안이 모든 산업과 조직에 무조건적으로 적용될 수는 없다. 인간 중심 보안이 구현되기 위해 만족돼야 할 전제 조건들이 있다. 최고경영진의 리더십과 함께 임직원의 책임과 자율성을 촉진하는 문화가 조성돼야 한다. 권한에 따른 책임을 이행하고자 하는 임직원들의 노력과 의지도 필요하다. 위험 기반 의사결정과 행동 결과에 대한 개별 구성원의 명확한 이해도 기반돼야 한다. 바람직하지 못한 행동과 이로 인한 제재가 명확히 연계돼야 한다. 즉, 자율적이면서도 어느 정도 성숙한 관리 역량이 갖춰진 환경에서 인간 중심 문화가 실현될 수 있다.

059


인간 중심 보안의 전제 조건을 만족하기 위해서는 다음과 같은 두 가지 프로그램이 구현돼야 한다. 첫째, 보안 문화 변화 관리 프로그램이다. 보안에 대한 구성원들의 태도와 실제 행동에 영향을 줄 수 있는 정교한 변화 관리 프로그램이 요구된다. 전통적인 보안 교육 프로그램은 보안에 대한 중요성을 인식하게 만들고 보안을 위한 기술적 역량을 습득 및 숙달하는 데 중점을 뒀다. 이마저도 법정 의무교육 시간을 충족하기 위한 목적으로 구성원들을 한데 모아 집체 교육 형태로 수행하다 보니 효과가 있다고 보기 힘들었다. 개인 구성원의 책임과 자발성을 실질적으로 제고하기 위해서는 인지 부조화 이론, 너지 이론, 행동경제학 등 사회과학 이론을 접목한 효과적인 커뮤니케이션 프로그램이 필요하다. 게임을 통해 임직원들이 쉽고 재미있게 참여할 수 있도록 이끌 필요도 있다. 인간의 인식과 행동을 바꾸는 데는 장기적인 노력이 필수적이다. 긍정적인 보안 문화를 형성하기 위해서는 그에 걸맞은 변화 관리 노력이 꾸준히 수반돼야 한다.

둘째, 정교한 모니터링 프로그램이 구현돼야 한다. DLP(Data Loss Prevention, 데이터 유출 방지), SIEM(Security Information and Event Management, 통합 보안 관제), DAM(Database Activities Monitoring, 데이터베이스 활동 모니터링) 등 보안 탐지 기술을 통해 정보 접근에 대한 투명성을 제공하고, 사용자 행위에 대한 모니터링 결과를 분석할 수 있는 역량을 강화해야 한다. 구성원들을 신뢰하면서도 정책 위반 행위가 발생하면 즉시 색출해 즉각적으로 대응하고 교정 활동을 위한 피드백을 제공해야 한다. UBA(User Behavior Analytics, 사용자 행위 분석)가 기존의 전사적 보안 솔루션과 연계돼 상호 보완적인 활동을 할 때 비로소 정책 위반자를 효과적으로 탐지할 수 있을 것이다. 보안 정책이나 지침에 대한 경각심을 높이기 위해서는 이벤트 기반 메시지 시스템도 효과가 있을 것이다. 사용자가 시스템상에서 특정 권한을 요청하거나 활동을 펼칠 때 관련된 위험 요인과 책임에 대한 사항을 팝업 메시지로 주지하며 본인의 활동이 모니터링되고 있다는 사실을 깨닫게 만드는 것이다. 이와 동시에 안전한 활동을 위해 필요한 보안 행위를 제시하는 것도 하나의 대안이 될 수 있다.

‘인간 중심 보안이 예방적•기술적 보안 대책을 무시한다’고 오해할 수도 있다. 그러나 인간 중심 보안에서도 예방적 대책과 기술은 필요하다. 단, 과거와 달리 올바른 행위를 유도할 수 있는 가드레일 역할 또는 안전망(Safety Net) 역할을 해야 한다. 즉, 보안 기술 사용에 대한 인식을 바꾸고 자율성을 보장하면서 보안 대책의 투명성을 제공하는 방향으로 기술이 적용돼야 한다. DRM(Digital Right Management, 디지털 콘텐츠 저작권 관리 기술)과 같이 선택적으로 비밀문서를 보호하거나 UBA와 같이 사용자 행동을 예측할 수 있는 애널리틱스 기술, 이벤트 기반의 IAM(Identity and Access Management, 접근 권한 관리) 기술 등을 적극적으로 활용해야 한다. 그와 동시에 모범 사례를 제시하고 가이드해줄 수 있는 기술을 적용해야 한다.

060


보안 문화의 이해와 진단

‘전략은 문화의 아침 식사거리밖에 안 된다(Culture eats strategy for breakfast)’는 경영학의 대가인 피터 드러커의 말처럼 아무리 좋은 전략과 실행 계획도 문화가 지닌 힘과 역동성을 이해하지 못하고 조직 구성원의 공통적인 사고방식과 행위 패턴과 연계되지 못하면 실패할 수밖에 없다. 최근 조직 문화에 대한 연구는 ‘조직 문화는 결과적 현상으로서 쉽게 변화할 수 없다’라는 문화 순수주의자 관점보다 ‘체계적 관리에 의해 문화는 개선 가능하고, 문화를 발전해 조직 성과도 개선할 수 있다’라는 문화 응용주의자 관점이 설득력을 얻고 있다.

보안도 결국 사람의 문제이며 임직원들이 가지고 있는 보안에 대한 인식•인지 수준과 실제적인 행동에 의해 좌우된다. 따라서 보안 문화에 대한 정확한 이해와 진단을 바탕으로 조직이 처한 환경과 상황에 따른 적절한 보안 문화로 전환해야 한다. 인간 중심 보안은 ‘보안 정책이 아닌 보안 문화가 행동을 결정짓는다’라는 명제를 우선적으로 인식하는 데서 시작한다. 보안 문화를 구성하는 요소와 보안 문화 유형을 이해해야 하는 이유다.

보안 문화는 기본적으로 조직 문화의 하부 문화 관점에서 연구가 시작됐다. 심리학, 사회학, 경영학 등에서 활용되는 사회과학적 이론과 모델을 보안 영역에 적용해 보안 행위에 영향을 주는 주요 요인을 도출해냈다. 예를 들면 ‘계획된 행위이론(TPB, Theory of Planned Behavior)’1 과 ‘보호동기이론(PMT, Protection Motivation Theory)’ 등의 사회과학 이론을 기반으로 보안 문화를 구성하는 요소와 영향을 주는 변수를 탐색했다.

특히 PMT는 위협에 대한 평가와 대응 역량에 대한 평가를 통해 보호 동기가 유발된다는 이론으로 보안 행위를 설명하는 데 대표적으로 꼽힌다. 보안 위협에 대한 평가 결과가 대응 역량에 대한 평가 결과보다 크면 위협을 회피 또는 부인하는 행위를 할 것이다. 반대의 경우에는 보호 동기가 발생해 보안 대응 행위가 나타날 것이다. PMT는 사람들이 실현 가능성이 있는 위험 앞에서도 적극적인 행동을 하지 않는 이유를 설명할 수도 있다. 예컨대, 인터넷 사이트에 로그인할 때 이따금씩 비밀번호를 바꾸라는 페이지를 마주하지만 대부분 ‘6개월 이후에 변경하기’를 클릭한다. 비밀번호를 바꾸지 않아서 발생할 수 있는 보안 사고 자체를 경미하다고 판단하는 것일 수도 있고, 관련 사고가 많아 상대적으로 덜 위험하게 느끼는 것일 수도 있다. 마지막으로 어떤 행동을 해도 자신이 안전해질 거라고 생각하지 않기 때문일 수 있다. 적극적으로 대응해도 막을 수 없다는 생각에 아예 비밀번호를 바꾸지 않는다는 것이다.

최근의 관련 연구 결과를 종합하면 다음과 같이 정리할 수 있다. 첫째, 보안에서 인간 요소를 평가하기 위해서는 관련 척도(Metrics) 개발이 중요하며 행동과학의 제반 연구 결과를 적용할 필요가 있다. 둘째, 보안 행위 이론 및 모델들은 상황적 요소들을 무시하므로 실제 행위를 설명하는 데 제한적일 수 있다. 예컨대, PMT에 따르면 위협 요인과 대응 역량의 평가에 따라 행위는 유동적으로 나타나지만 최근 연구 결과에 따르면 사고의 규모나 위협 요인들을 강조하는 공포 전략(Fear appeal)은 한계가 있으며 오히려 대응 역량을 강조해야 보안 대응 행위가 더 자주 나타난다. 마지막으로 ‘신뢰와 협업’은 성공적 보안을 위한 초석이다.

그렇다면 실제 조직의 보안 문화 수준은 어떻게 진단할 수 있을까. 보안 문화를 구성하는 차원(Dimension)을 파악해 인식할 수 있다. 7가지 요인으로 조직 문화를 진단하는 ‘7S 모델’을 보안에 적용하면 아래와 같이 재해석할 수 있다.

  • 공유가치(Shared Value): 전사 보안의 중요성, 보안 지향적 사고와 행동
  • 구성원(Staff): 보안 관련 역할과 책임, 역량, 욕구, 지각, 태도
  • 기술(Skill): 보안 프로그램 및 솔루션 운영
  • 구조(Structure): 보안 부서의 위상과 편제, 업무 분장
  • 전략(Strategy): 비즈니스 연계 보안 전략
  • 제도(System): 보안 평가 및 보상 체계, 의사결정 및 소통 프로세스
  • 스타일(Style): 보안 거버넌스 및 리더십, 의사결정에서의 보안 이슈 반영 등

이처럼 7개 차원(Dimension)에서 세부적인 진단 체크리스트를 개발해 보안 문화 수준을 측정할 수 있다.

또한 조직 문화를 유형화하는 데 사용되는 분석 프레임워크를 보안 문화 유형을 파악하는 데 사용할 수도 있다. ‘경쟁가치 모델(Competing Value Model)’은 조직 문화를 구분하는 동시에 리더가 수행해야 할 역할과 요구되는 역량을 규명한다. 경쟁가치 모델을 활용하면 조직 내에는 상이한 가치가 경쟁하고 조직마다 가치의 우선순위가 다르다는 점에 착안해 현재 조직이 추구하는 가치가 무엇이고, 향후 어떤 가치를 추구해야 할지 파악할 수 있다. 경쟁가치 모델에 기반해 조직 문화를 진단하기 위해서는 크게 두 가지 기준이 활용된다. 첫째 기준은 ‘통제의 정도’다. 유연성, 재량성, 역동성과 안정성, 질서 중 무엇을 더 강조하는가. 둘째 기준은 ‘관점(Perspectives)’이다. 내부지향적인 조직으로 화합과 단결을 강조하는가. 아니면 외부지향적인 조직으로 분화와 경쟁을 강조하는가. 이러한 두 가지 기준을 축으로 조직 문화를 집단 문화(Clan), 혁신 문화(Adhocracy), 위계 문화(Hierarchy), 시장 문화(Market)의 네 가지 유형으로 분류할 수 있다.

063_1


이러한 경쟁가치 모델의 개념적 틀을 보안 영역에 적용해보자. 우선 두 가지 기준 중 첫째 기준은 ‘보안 통제의 정도’로 풀이할 수 있다. 강력한 보안 통제를 기반으로 보안 활동이 이뤄지는가, 아니면 원칙과 자율을 중심으로 보안 활동이 수행되는가. 둘째 기준은 ‘보안 전략의 주요 초점’으로 보안 법규 준수 및 조직 외부 환경 변화 대응이 중요한지, 아니면 조직 내부의 보안 정책 준수와 임직원의 협업 등 조직 내부의 보안 활동을 강조하는지의 차이를 뜻한다. 두 가지 기준을 축으로 [그림 2]와 같이 프로세스(Process) 중심, 컴플라이언스(Compliance) 중심, 신뢰(Trust) 중심, 자율(Autonomy) 중심 등 보안 문화를 네 가지 유형으로 구분할 수 있다.

프로세스 중심 보안 문화는 비교적 강력한 보안 통제와 내부지향적 가치를 중시하는 문화다. 핵심 가치로는 중앙 통제를 통한 보안 정책의 집행, 안정적이고 가시적인 보안 활동, 표준화된 보안 업무 절차 등을 강조한다. 컴플라이언스 중심 보안 문화는 비교적 강력한 보안 통제와 외부지향적 가치를 중요시하는 문화다. 핵심 가치로는 법규 준거성, 반복 가능성, 문서화를 통한 외부 감사 및 평가 대응 활동을 꼽을 수 있다. 신뢰 중심 보안 문화는 비교적 느슨한 보안 통제와 내부지향적 가치를 중요시하는 문화다. 핵심 가치로는 소통, 참여, 헌신 등 임직원에게 상당한 권한을 위임하며 인간관계를 중시한다. 자율 중심 보안 문화는 느슨한 보안 통제와 외부지향적 가치를 중요하게 여긴다. 핵심 가치는 유연성, 민첩성, 혁신 등을 통한 성과 창출과 환경에 적응할 수 있는 체계 구축이다.

063_2


특정 조직이나 부서가 어느 보안 문화 유형에 속하는가를 진단하기 위해서는 주요 보안 활동 영역을 기준으로 설문지를 작성해 조사하는 방법이 일반적이다. 보안의 중요성 인식 수준, 보안 업무 수행 방식, 보안에 대한 지식 및 인식 정도, 보안 활동의 관리 방식, 보안 기술 관리 방식, 보안 위험에 대한 관리 정도, 보안에 대한 역할과 책임, 보안 활동 성과 평가 방식 등 8∼10개 정도의 보안 활동 영역을 기반으로 네 가지 문화 유형에 적절한 개별 보안 활동으로 설문지를 구성한다. 임직원들이 5점 척도로 설문을 완료하면 특정 조직이나 부서의 보안 문화 유형을 [그림 3]과 같이 레이더 차트로 확인할 수 있다. 한 조직 내에서도 여러 보안 문화 유형이 동시에 나타날 수 있다.

보안 문화 전환

아직 더 많은 연구가 필요하지만 현재 시점에서 보안 문화 변화를 위한 접근 방법은 3가지 관점으로 요약할 수 있다. 첫째는 통제 중심 관점이다. 준거성 및 보안 통제를 강력하게 추진해 보안 행위와 문화를 바꿀 수 있다. 둘째는 프로세스 지향 관점이다. 보안 업무 수행 방식의 개선을 통해 보안 행위와 문화를 바꿀 수 있다. 셋째, 기술 지향 관점이다. 기술과 자동화를 통해 보안 행위와 문화를 바꿀 수 있다는 관점으로 셋 중 가장 지배적인 관점이다.

세 가지 관점은 각각 일면 유효한 측면이 있지만 디지털 비즈니스 환경에서는 하나의 관점만으로 문화를 바꾸려는 전략은 효과적이지 않을 수 있다. 오히려 세 가지 관점의 교집합 차원에서 새로운 접근 방법을 모색할 필요가 있다. 인간 중심 보안 관점에서 보안 문화와 행동을 개선하기 위한 모델로는 ‘보안 FORCE 행위’ 모델을 꼽을 수 있다. 조직 이론의 거장 칼 웨익(Karl Weick) 미국 미시간대 교수가 주창한 ‘고신뢰 조직(High-Reliability Organization)’의 개념을 보안에 적용한 모델이다. 이 모델은 소방, 항공, 철도, 핵 발전, 항공 모함 전단 등 고도의 위험 환경에 적응한 조직이 오히려 일반 기업보다 낮은 사고 발생률 또는 사고 후유증을 보인다는 점에 착안한다. 렌스 헤이든(Lance Hayden) 텍사스주립대 교수는 이 같은 고신뢰 기업의 특성과 행동 패턴을 보안에 적용해 ‘고신뢰 보안 프로그램’을 구축하며 보안 사고 대응 역량을 높이고 보안 행위와 지속가능한 보안 문화를 구축하기 위한 방안을 제시했다.

064


보안 FORCE 행위 모델에 따르면 고신뢰 보안 프로그램을 구축하기 위해서는 5가지 핵심 가치, 즉 FORCE(FORCE: Failure, Operation, Resilience, Complexity, Expertise)가 반영된 행동(Behavior)을 수행해야 한다. 5가지 가치 중에서 가장 중요한 가치로 꼽히는 ‘실패(Failure) 가치’는 ‘실패(실수)는 인간이 창출한 복잡하고 고도화된 기술 발전에도 불구하고 완벽하게 통제할 수 없다’는 기본 전제에서 출발한다. 그리고 실패를 통해 무엇을, 어떻게 배울 것인지, 현재의 예방적 조치는 어떻게 변화해야 할 것인지, 예상치 않은 사고에 대해 어떻게 유연하게 대응할 것인지 등이 중요한 이슈다. 즉, 과거의 실패 경험으로부터 보안 사고 시나리오 개발, 문제 또는 취약점 발견에 대한 보상, 보안 사고 분석 및 재발 방지 분석 등을 중요하게 여긴다.

‘운영(Operation) 가치’는 운영 상황에 세심한 관심을 갖는다. 매뉴얼에 따라 사전에 예측된 상황대로 보안 업무를 운영하는 차원을 넘어 창의적인 관심을 기울여 보안 모니터링에 나서야 한다고 강조한다. 단순한 정보 시스템의 운영 상태뿐만 아니라 임직원들에 대한 UBA를 통해 사전 징후를 조속히 탐지해낼 수 있도록 해야 한다. 현재의 보안 운영 상황을 평가하고 임직원들과 평가 결과를 공유해야 한다.

‘리질리언스 가치’는 보안 사고 발생을 기정사실화하고 이에 대한 준비와 대응 역량을 지속적으로 함양하는 것이다. 디지털 세상의 초연결성으로 복잡성이 증가하며 보안 위험은 상수로서 존재한다. 따라서 보안 사고 예방도 중요하지만 실제 사고 발생 시 조속한 탐지와 복구 능력이 더더욱 중요해졌다. 임직원에 대한 교육 훈련, 지식 공유, 시나리오 기반 모의 훈련 등의 중요성과 함께 백업 및 추가적인 자원 투입이 필요하다.

‘복잡성(Complexity) 가치’는 지나치게 문제를 단순화하지 말라는 것이다. 복잡한 문제를 풀기 위해서는 단순화된 모델을 적용해 해결에 나서는 것이 일반적인 접근이다. 그러나 지나친 단순화와 정형화로 인해 잘못된 해결책이나 부분적인 해결책을 택할 수 있는 사실을 간과하면 안 된다. 디지털 비즈니스에서 보안 문제는 다양한 경로에 걸친 인과관계를 통해 발생한다. 사고 이면에 존재하는 잠재적인 원인을 비롯해 관리적, 조직적 측면 등 다양한 원인을 무시해서는 안 된다. 데이터 기반의 보안 전략과 더불어 임원급으로 구성된 보안 조정 위원회 또는 실무 위원회를 통해 조직적 차원에서의 갈등 해소와 문제해결이 필요하다.

‘전문성(Expertise) 가치’는 전문가에게 권한을 부여해 문제를 해결하라는 것이다. 즉, 지위의 위계가 아닌 경험과 지식의 위계를 존중하라는 뜻이다. 이를 위해서는 조직 내부에서 보안 인재들의 전문성을 제고하기 위한 교육을 진행할 뿐만 아니라 외부의 보안 전문 기관이나 전문가와 네트워크를 형성할 필요가 있다. 전문가와의 보안 업무 역시 신뢰와 협력의 문화를 바탕으로 수행돼야 한다.

065


경쟁가치 모델 기반의 보안 문화 유형 진단이 보안 문화를 이해하기 위한 하향식 접근 방법이라면 보안 FORCE 행위 모델은 고신뢰 보안 프로그램 개발을 위한 일종의 상향식 접근 방법이라고 할 수 있다. 두 모델은 [그림 5]와 같이 상호 연계돼 있다. 문화별로 연계된 FORCE 가치가 존재하며 핵심 행위도 다르게 나타난다. 복잡성 가치는 특정 문화 유형과 연계되기보다는 모든 문화 유형에서 공통적으로 다뤄야 하는 이슈다. 전환하고자 하는 또는 현재 조직에 부족하다고 진단된 보안 문화 유형의 핵심 행위를 펼치거나 현재의 보안 문화 유형에서 발생할 수 있는 잠재적 갈등 요인을 식별하고 미리 대응해 조직에 적절한 보안 문화 전환 프로그램을 구축할 수 있다.

보안 문제 해결의 열쇠

디지털 경제에서 데이터와 디지털 기술 의존도가 높아지면서 사이버 보안 위험 역시 점증될 것이다. 이는 곧 사회 전체에 대한 위험인 동시에 기업의 존폐를 좌우할 수 있는 이슈이기에 사회-기술적 접근 방법을 택할 필요가 있다. 기술적 대책과 더불어 그동안 간과된 인간을 위한, 인간에 의한 보안 노력이 병행돼야 한다. 특히 유연성과 민첩성을 요구하는 디지털 비즈니스가 안정적으로 전개되기 위해서는 과거의 경직된 통제 위주의 보안 접근 방법이 아닌 인간 중심의 보안 전략이 필요하며 지속가능한 고신뢰 보안 프로그램을 구현하기 위해 보안 문화 전환이 시급하다.

인간에 대한 관점에 따라 보안에 대한 접근법도 상이한 방향으로 나아가야 한다고 주장할 수도 있다. 그러나 어차피 인간은 절대적으로 악하지도 않고 선하지도 않다. 더 이상 성선설, 성악설로 인간이 타고난 속성을 획일적으로 매도하는 것은 옳지 않다. 신뢰를 기반으로 교육을 통해 선한 모습을 장려하고 모니터링을 통해 악한 모습을 사전에 예방, 탐지하며 ‘보안은 사람 문제(People problem)’라는 근본적인 명제를 통해 보안 문제를 해결해 나가야 한다.

인간 중심 보안을 위한 핵심 성공 요인을 정리하면 다음과 같은 7가지로 요약할 수 있다.

1. 최고경영진의 리더십과 가시적 지원

2. 인간 중심 보안 프로그램 설계 및 구현을 위한 임직원의 참여

3. 모든 임직원이 동의하는 원칙과 목표 설정

4. 적극적 참여를 위한 최고경영진으로 구성된 보안위원회 활용

5. 경영진의 보안 프로그램 지원 및 수행 책임 인식

6. 고도화된 인식 제고 교육 프로그램 개발 및 운영

7. 바람직한 행위에 대한 이행 여부를 확인할 수 있는 첨단 모니터링 프로그램 구축

인간 중심 보안을 통해 긍정적이고 능동적인 보안 문화를 형성하기 위해서는 정확한 보안 문화 진단이 필요하다. 더불어 고신뢰 보안 프로그램 구축을 위해서는 보안 FORCE 행위 모델과 같이 새로운 가치에 기반을 둔 모델을 적용해야 한다. 이로써 ‘장기적인 보안 문화의 전환’이라는 여정을 시작할 수 있을 것이다.


김정덕 중앙대 산업보안학과 교수 jdkimsac@cau.ac.kr
필자는 중앙대 산업보안학과 명예교수이며 디지털 비즈니스 환경하에서의 보안 전략과 실행 방안에 대해 교육 및 연구 활동을 수행하고 있다. 연세대 정치외교학 학사, 경제학 석사를 거쳐 미국 사우스캐롤라이나주립대에서 MBA, 텍사스 A&M대에서 MIS 박사 학위를 받았다. 1991년 한국전산원(현 한국지능정보사회진흥원)에서 보안 관리 표준화를 수행했고 1995년부터 중앙대에서 보안 관리 및 거버넌스에 대한 교육 및 연구를 수행하고 있다. 금융정보보호관리체계 인증위원회, 금융보안포럼, 개인정보보호포럼 등에 참여하고 있으며 인간 중심 보안 포럼의 의장을 맡고 있다.


참고문헌

1. 김건우, 김정덕, ‘인간 관점의 정보보호 연구동향 분석’, 한국정보처리학회 춘계학술발표대회 논문집, 2017.04. pp. 332-335

2. 임효창 외 3인, 7S 모델과 경쟁가치 모델을 활용한 기업보안 조직문화 진단 도구 개발, 경영컨설팅연구, 2017.08. pp. 183-192

3. Gartner, ‘Maverick Research: Kill Off Security Controls to Reduce Risk’, 2012

4. Gartner, ‘Consider a People-Centric Security Strategy’, 2013

5. Gartner, ‘People-Centric Security Challenges Require Careful Planning’, 2013

6. Gartner, ‘Fight Unsecure Employee Behaviors by Fixing Your Risk Culture’, 2019

7. Lance Hayden, ‘People-Centric Security: Transforming Your Enterprise Security Culture’, McGraw-Hill, 2016

8. Karl Weick, et al., Managing the Unexpected: Sustained Performance in a Complex World 3rd ed. Wiley, 2015

9. S.J. Zaccaro, et al, ‘Psychosocial Dynamics of Cyber Security (Applied Psychology Series)’, Routledge, 2016

10. Perry Carpenter, ‘Transformational Security Awareness: What Neuroscientists, Storytellers, and Marketers Can Teach Us About Driving Secure Behaviors’, Wiley, 2019

11. Ideas42, Deep Thought: A Cybersecurity Story; https://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf

12. NCSC, ‘People-centred security’; https://www.ncsc.gov.uk/section/advice-guidance/all-topics?allTopics=true&topics=people-centred%20security&sort=date%2Bdesc

13. ENISA, Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity, 2018.12
동아비즈니스리뷰 351호 Diversity in Talent Management 2022년 08월 Issue 2 목차보기