기억을 정리하고자 하는 여주인공, 보안 담당자였다면 실패할 전략 선택해
[보안뉴스 문가용 기자] 한 20년 전이었나, SBS에서 단막 드라마를 해주던 때가 있었다. 한 시간 길이로 단 1회만에 이야기가 끝나는 구성이라 수주~수개월이라는 긴 호흡의 연속극을 도무지 보지 못하는 성격을 가진 사람들에게는 영화 관람 외에 또 다른 즐길거리가 되어주었던 코너였다. 그 중 59화 <나는 그를 기억한다> 편이 생각날 때가 있는데 언제부턴가 SBS 웹사이트를 통해 무료로 풀려 아주 가끔씩 돌려보곤 한다.
[이미지=SBS 웹사이트]
그리 유명하지 않은 작품이라 줄거리를 정리하자면 다음과 같다. 여주인공은 교통사고로 목숨을 잃고 또 다른 삶을 사후 세계에서 살아가고 있다. 보통 죽음 후의 삶에서는 살아있을 때의 기억을 잃고 새롭게 살아가게 되는데, 이 여주인공은 아무리 처치와 상담을 받아도 한 남자에 대한 기억을 지울 수가 없어 괴롭다. 보다 못한 관리자가 마지막 치료법을 제안한다. 세상으로 잠시 돌아가 남은 미련을 정리하는 것이었다. 단 여기에는 조건이 하나 있었으니, 생전에 알던 사람들과 마주치는 건 절대 금물이었다. 이를 어길 경우 여주인공은 지금의 존재가 아닌 다른 존재로서 살아가야 한다. 현재의 존재는 완전히 사라지기 때문이다.
‘기억’이라는 키워드를 가지고 풀어낸 이야기라 1시간 동안 나오는 장면들과 대사가 대부분 기억에 관한 것이다. 여주인공을 시름시름 앓게 하는 것도 ‘기억’이고(남자를 잊을 수 없으므로), 치료의 목적도 ‘기억’이고(생전의 기억을 정리하여 다시 사후 세계의 삶을 시작하라는 것이므로), 규칙을 어길 시 내려지는 벌도 어떻게 보면 ‘기억’이다(새 존재가 되면 이전 존재의 기억이 완전히 사라지므로). 살아있을 때 남자 주인공과 여자 주인공이 했던 약속도 ‘기억할게’이고, 그 약속을 결국 지키지 못하는 운명이 되는 것도 ‘기억의 부재’ 때문이다.
이 이야기를 보안에 대입해보면 어떻게 될까? 기억은 ‘데이터’가 된다. 보안은 사실 처음부터 끝까지 데이터에 관한 분야라고 해도 될 만큼 데이터를 소중히 다뤄야 한다. 데이터 때문에 보안 담당자들은 괴롭기도 하고 불안하기도 하고 책임감에 짓눌리기도 한다. 그 데이터를 지키기 위해 여러 방법을 알아내 적용해보기도 하지만 100% 안심시켜줄 방법이라는 건 아직 세상에 존재하지 않는다. 여주인공의 기억 여행처럼, 보안 담당자들도 데이터 보호를 더 깊이 알아가기 위한 여행을 영원히 이어가는 중이다. 데이터를 보호하려면 지켜야 할 수칙들이 있고, 그 수칙들을 어겼을 때에는 단기적이거나 장기적인 대가가 뒤따른다.
20년이 넘은 드라마이기도 하고, 결론을 안다고 해서 마지막 장면의 여운이 사라지는 건 아니기 때문에, 굳이 스포일을 하자면 여주인공은 결국 남자와 마주한다. 자신에게 남아있던 말들을 다 하고, 남자의 말을 다 듣는다. 그리고 마음이 한결 가벼워진다. 하지만 수칙을 어겼기 때문에 존재가 사라지는 벌을 받게 된다. 그래서 모습은 그대로 유지되지만 아무 것도 기억하지 못하게 된다. 그렇게 그리웠던 남자도 완전한 타인이 된다. 존재가 사라진 것이므로 남자 편에서도 여자를 기억하지 못한다. 처음부터 없던 사람이 된 것이다.
여주인공을 보안 담당자에 대입하자면, 그의 임무는 데이터(기억)가 더 이상 자신을 괴롭히지 못하도록 하는 것이었다. 데이터를 보호해야 하는 사람의 입장에서 데이터는 늘 아픈 손가락과 같다. 그래서 늘 안전하게 있는지 확인하고 적절한 조치를 취해야 마음이 잠시 놓인다. 손가락이 아프다고 해서 잘라낼 수 없는 것처럼, 데이터가 늘 마음에 켕긴다고 해서 데이터를 삭제할 수는 없다. 주인공의 마지막 여행의 목적도 기억을 지우는 게 아니라 마음을 정리하는 것이었다.
기억을 안전하고 편안하게 보관해야 하는 임무를 받아든 여주인공에게는 두 가지 전략이 있을 수 있었다. 단기적인 전략과 장기적인 전략이다. 단기적인 것은, 자기의 기억을 괴롭게 만드는 당사자인 남자를 만나 담판을 짓는 것이었다. 물론 이것은 수칙을 어기는 것이 되지만, 아무튼 서로의 마음을 확인하며 마음을 편히 할 수는 있다. 장기적인 것은, 여행 기간 동안 수칙을 지킨 채로 남자를 지켜보며 다른 방법을 고안해 마음을 정리하는 것이었다. 그렇게 하면 즉효는 조금 부족할지언정 남자에 대한 기억을 오래 간직할 수 있다. 이야기에서 여자는 단기적인 전략을 선택했고, 그렇게나 잊지 못하던 남자를 영원히 잃게 됐다. 단기적 성취를 위해 장기적 손실을 감수했던 것이다.
보안 담당자들도 자주 단기 전략과 장기 전략을 이야기 한다. 단기 전략으로 자주 언급되는 건 사내 규정을 바꾸고, 보안 수칙 위반 시 벌칙을 강화하는 것 정도가 있다. 돈을 좀 내더라도 솔루션을 사다가 당장 필요한 부분을 메우는 것도 단기적 전략이 될 수 있다. 대표적인 장기 전략이라면 임직원들을 대상으로 한 보안 교육과 훈련이 있을 것이다. 혹은 보안 담당자들을 영입하고 붙들어두기 위한 사내 복지 프로그램 재검토나, 긴 호흡의 디지털 전환 전략도 장기적인 전략에 포함될 수 있다.
어느 것에나 장단이 있다. 그리고 단기적이거나 장기적인 것 모두가 필요하다. 규정을 바꾸고 솔루션에 투자해 짧은 시간 안에 보안을 강화하는 것도 손해볼 것 없고, 즉효성이 떨어지더라도 꾸준히 교육하고 보안 담당자들이 오래 근무할 수 있는 토양을 만들어두는 것도 지혜로운 일이다. 문제는 둘 중 하나에 치우치는 것이다. 멀리 보지 못하고 솔루션을 급급하게 사들이는 걸 반복하면 어느 날 문득 회사 네트워크가 미노타우르스의 미궁보다 복잡하게 구성돼 오히려 해커들이 침투하기 편해진 상태가 된 것을 발견하게 된다. 무조건 길게 가야 한다며 교육에만 과투자를 하면 효과가 나타나지 않아 교육을 하는 사람이나 받는 사람이나 흥미를 잃고 의미 없는 시간 낭비만 하게 된다.
[이미지=SBS 웹사이트]
그러므로 장기적인 게 단기적인 것이고, 단기적인 게 장기적이어야 한다. 교육을 두고 백년지대계라고들 하는데, 그렇다고 100년 후의 효과를 바라며 보안 교육을 실시할 수는 없다. 따끔한 매를 맞거나, 폐부를 파고드는 문장 하나에 사고방식이나 생활 습관이 즉시 바뀌는 경험도 교육 과정 중에 존재함을 대부분의 사람들은 경험해서 알고 있다. 장기적 투자의 대표주자인 ‘교육’에도 단기적 요소가 있다는 것이다. 그 단기적 효과가 나타날 때까지 장기적으로 여러 가지를 시도하는 게 어쩌면 백년지대계라고 하는 것의 정체일지도 모른다.
반대로 시급하게 솔루션을 사들여 설치한다고 했을 때, 우리가 얻는 건 단기적인 효과(즉 ‘땜빵’)밖에 없을까? 그 솔루션을 단순 설치해 자동으로 돌리는 게 아니라, 120% 활용하는 방법을 연구해서 찾아내고, 그 경험을 바탕으로 새로운 기술과 솔루션에 대한 분석으로 이어간다면, 거기서 장기적 교육 효과가 나타나는 건 아닐까? 벌칙을 강화하여 즉시 효과를 낸다고 했을 때, 벌만 생각할 게 아니라 상급도 같이 고안해 균형을 맞춘다면 그것 역시 롱런의 한 방법이 될 수 있다.
결국 단기 전략을 장기적인 효과로 변환하고, 장기 과제를 단기 과제의 연속적인 성취로 세분화하게 하는 건 ‘균형’이다. 지금 당장 효력이 나오지 않는다면 아무 소용이 없다는 생각이나, 단시안적인 사고로는 이룰 게 아무 것도 없으며 무조건 큰 그림을 그려야 한다는 주장이나, 서로의 의견을 수용하지 못한다면 어디선가 어그러질 수밖에 없다. 정치나 이념, 철학, 종교에서는 극단적인 게 변화를 일으킬 수도 있고, 긍정적인 효과를 낼 수 있을지도 모르나, 보안에서는 그렇지 않다. 장기와 단기의 균형만이 단 하나의 정도다.
문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 한 20년 전이었나, SBS에서 단막 드라마를 해주던 때가 있었다. 한 시간 길이로 단 1회만에 이야기가 끝나는 구성이라 수주~수개월이라는 긴 호흡의 연속극을 도무지 보지 못하는 성격을 가진 사람들에게는 영화 관람 외에 또 다른 즐길거리가 되어주었던 코너였다. 그 중 59화 <나는 그를 기억한다> 편이 생각날 때가 있는데 언제부턴가 SBS 웹사이트를 통해 무료로 풀려 아주 가끔씩 돌려보곤 한다.
[이미지=SBS 웹사이트]
그리 유명하지 않은 작품이라 줄거리를 정리하자면 다음과 같다. 여주인공은 교통사고로 목숨을 잃고 또 다른 삶을 사후 세계에서 살아가고 있다. 보통 죽음 후의 삶에서는 살아있을 때의 기억을 잃고 새롭게 살아가게 되는데, 이 여주인공은 아무리 처치와 상담을 받아도 한 남자에 대한 기억을 지울 수가 없어 괴롭다. 보다 못한 관리자가 마지막 치료법을 제안한다. 세상으로 잠시 돌아가 남은 미련을 정리하는 것이었다. 단 여기에는 조건이 하나 있었으니, 생전에 알던 사람들과 마주치는 건 절대 금물이었다. 이를 어길 경우 여주인공은 지금의 존재가 아닌 다른 존재로서 살아가야 한다. 현재의 존재는 완전히 사라지기 때문이다.
‘기억’이라는 키워드를 가지고 풀어낸 이야기라 1시간 동안 나오는 장면들과 대사가 대부분 기억에 관한 것이다. 여주인공을 시름시름 앓게 하는 것도 ‘기억’이고(남자를 잊을 수 없으므로), 치료의 목적도 ‘기억’이고(생전의 기억을 정리하여 다시 사후 세계의 삶을 시작하라는 것이므로), 규칙을 어길 시 내려지는 벌도 어떻게 보면 ‘기억’이다(새 존재가 되면 이전 존재의 기억이 완전히 사라지므로). 살아있을 때 남자 주인공과 여자 주인공이 했던 약속도 ‘기억할게’이고, 그 약속을 결국 지키지 못하는 운명이 되는 것도 ‘기억의 부재’ 때문이다.
이 이야기를 보안에 대입해보면 어떻게 될까? 기억은 ‘데이터’가 된다. 보안은 사실 처음부터 끝까지 데이터에 관한 분야라고 해도 될 만큼 데이터를 소중히 다뤄야 한다. 데이터 때문에 보안 담당자들은 괴롭기도 하고 불안하기도 하고 책임감에 짓눌리기도 한다. 그 데이터를 지키기 위해 여러 방법을 알아내 적용해보기도 하지만 100% 안심시켜줄 방법이라는 건 아직 세상에 존재하지 않는다. 여주인공의 기억 여행처럼, 보안 담당자들도 데이터 보호를 더 깊이 알아가기 위한 여행을 영원히 이어가는 중이다. 데이터를 보호하려면 지켜야 할 수칙들이 있고, 그 수칙들을 어겼을 때에는 단기적이거나 장기적인 대가가 뒤따른다.
20년이 넘은 드라마이기도 하고, 결론을 안다고 해서 마지막 장면의 여운이 사라지는 건 아니기 때문에, 굳이 스포일을 하자면 여주인공은 결국 남자와 마주한다. 자신에게 남아있던 말들을 다 하고, 남자의 말을 다 듣는다. 그리고 마음이 한결 가벼워진다. 하지만 수칙을 어겼기 때문에 존재가 사라지는 벌을 받게 된다. 그래서 모습은 그대로 유지되지만 아무 것도 기억하지 못하게 된다. 그렇게 그리웠던 남자도 완전한 타인이 된다. 존재가 사라진 것이므로 남자 편에서도 여자를 기억하지 못한다. 처음부터 없던 사람이 된 것이다.
여주인공을 보안 담당자에 대입하자면, 그의 임무는 데이터(기억)가 더 이상 자신을 괴롭히지 못하도록 하는 것이었다. 데이터를 보호해야 하는 사람의 입장에서 데이터는 늘 아픈 손가락과 같다. 그래서 늘 안전하게 있는지 확인하고 적절한 조치를 취해야 마음이 잠시 놓인다. 손가락이 아프다고 해서 잘라낼 수 없는 것처럼, 데이터가 늘 마음에 켕긴다고 해서 데이터를 삭제할 수는 없다. 주인공의 마지막 여행의 목적도 기억을 지우는 게 아니라 마음을 정리하는 것이었다.
기억을 안전하고 편안하게 보관해야 하는 임무를 받아든 여주인공에게는 두 가지 전략이 있을 수 있었다. 단기적인 전략과 장기적인 전략이다. 단기적인 것은, 자기의 기억을 괴롭게 만드는 당사자인 남자를 만나 담판을 짓는 것이었다. 물론 이것은 수칙을 어기는 것이 되지만, 아무튼 서로의 마음을 확인하며 마음을 편히 할 수는 있다. 장기적인 것은, 여행 기간 동안 수칙을 지킨 채로 남자를 지켜보며 다른 방법을 고안해 마음을 정리하는 것이었다. 그렇게 하면 즉효는 조금 부족할지언정 남자에 대한 기억을 오래 간직할 수 있다. 이야기에서 여자는 단기적인 전략을 선택했고, 그렇게나 잊지 못하던 남자를 영원히 잃게 됐다. 단기적 성취를 위해 장기적 손실을 감수했던 것이다.
보안 담당자들도 자주 단기 전략과 장기 전략을 이야기 한다. 단기 전략으로 자주 언급되는 건 사내 규정을 바꾸고, 보안 수칙 위반 시 벌칙을 강화하는 것 정도가 있다. 돈을 좀 내더라도 솔루션을 사다가 당장 필요한 부분을 메우는 것도 단기적 전략이 될 수 있다. 대표적인 장기 전략이라면 임직원들을 대상으로 한 보안 교육과 훈련이 있을 것이다. 혹은 보안 담당자들을 영입하고 붙들어두기 위한 사내 복지 프로그램 재검토나, 긴 호흡의 디지털 전환 전략도 장기적인 전략에 포함될 수 있다.
어느 것에나 장단이 있다. 그리고 단기적이거나 장기적인 것 모두가 필요하다. 규정을 바꾸고 솔루션에 투자해 짧은 시간 안에 보안을 강화하는 것도 손해볼 것 없고, 즉효성이 떨어지더라도 꾸준히 교육하고 보안 담당자들이 오래 근무할 수 있는 토양을 만들어두는 것도 지혜로운 일이다. 문제는 둘 중 하나에 치우치는 것이다. 멀리 보지 못하고 솔루션을 급급하게 사들이는 걸 반복하면 어느 날 문득 회사 네트워크가 미노타우르스의 미궁보다 복잡하게 구성돼 오히려 해커들이 침투하기 편해진 상태가 된 것을 발견하게 된다. 무조건 길게 가야 한다며 교육에만 과투자를 하면 효과가 나타나지 않아 교육을 하는 사람이나 받는 사람이나 흥미를 잃고 의미 없는 시간 낭비만 하게 된다.
[이미지=SBS 웹사이트]
그러므로 장기적인 게 단기적인 것이고, 단기적인 게 장기적이어야 한다. 교육을 두고 백년지대계라고들 하는데, 그렇다고 100년 후의 효과를 바라며 보안 교육을 실시할 수는 없다. 따끔한 매를 맞거나, 폐부를 파고드는 문장 하나에 사고방식이나 생활 습관이 즉시 바뀌는 경험도 교육 과정 중에 존재함을 대부분의 사람들은 경험해서 알고 있다. 장기적 투자의 대표주자인 ‘교육’에도 단기적 요소가 있다는 것이다. 그 단기적 효과가 나타날 때까지 장기적으로 여러 가지를 시도하는 게 어쩌면 백년지대계라고 하는 것의 정체일지도 모른다.
반대로 시급하게 솔루션을 사들여 설치한다고 했을 때, 우리가 얻는 건 단기적인 효과(즉 ‘땜빵’)밖에 없을까? 그 솔루션을 단순 설치해 자동으로 돌리는 게 아니라, 120% 활용하는 방법을 연구해서 찾아내고, 그 경험을 바탕으로 새로운 기술과 솔루션에 대한 분석으로 이어간다면, 거기서 장기적 교육 효과가 나타나는 건 아닐까? 벌칙을 강화하여 즉시 효과를 낸다고 했을 때, 벌만 생각할 게 아니라 상급도 같이 고안해 균형을 맞춘다면 그것 역시 롱런의 한 방법이 될 수 있다.
결국 단기 전략을 장기적인 효과로 변환하고, 장기 과제를 단기 과제의 연속적인 성취로 세분화하게 하는 건 ‘균형’이다. 지금 당장 효력이 나오지 않는다면 아무 소용이 없다는 생각이나, 단시안적인 사고로는 이룰 게 아무 것도 없으며 무조건 큰 그림을 그려야 한다는 주장이나, 서로의 의견을 수용하지 못한다면 어디선가 어그러질 수밖에 없다. 정치나 이념, 철학, 종교에서는 극단적인 게 변화를 일으킬 수도 있고, 긍정적인 효과를 낼 수 있을지도 모르나, 보안에서는 그렇지 않다. 장기와 단기의 균형만이 단 하나의 정도다.
문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
