[연재목차 Part 3. 인간중심보안과 보안문화]
1. AI 시대, 왜 인간 중심 보안인가
2. AI 시대, 인간 중심 보안을 구현하려면
3. 인간의 창의성과 AI 보안
4. 보안 위반, 뇌 과학 해법
5. 넛지 보안의 힘
6. 감정과 비합리성, 보안의 숨은 힘
7. 디지털 야누스, 두얼굴의 사용자
8. ‘인간중심보안’과 ‘제로트러스트’
9. ESG 너머, 인적 지속가능성과 보안
10. 예산·인력 없는 중소기업, ‘사람’이 답이다
11. 보안문화, Nature vs. Nurture
12. 보안 성패를 가르는 7가지 문화 유형
13. 한국형 보안문화 진단 모델_K-SCT
14. 디지털 보안문화 전환 모델_CORE TRUST
[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] CEO들은 최신 방화벽을 도입하고 강력한 보안 솔루션에 막대한 예산을 집행한 뒤 안도의 한숨을 내쉽니다. 그러나 시스템 로그가 아무리 깨끗할지라도, 정작 그 기술을 움직이는 구성원들의 내면에 왜곡된 문화가 자리 잡고 있다면 그 기업의 보안은 사상누각에 불과합니다. 기술은 침입을 지연시킬 뿐, 최후의 방어선을 완성하는 것은 결국 사람의 태도와 문화이기 때문입니다.
이를 명확히 진단하기 위해 미국 텍사스 주립대의 랜스 헤이든(Lance Hayden) 교수는 조직의 명운을 가르는 ‘7가지 보안 문화 유형’을 정립했습니다. 그는 이 유형들을 ‘좋은 문화’(The Good)와 ‘나쁜 문화’(The Bad), 그리고 가장 파괴적인 ‘추악한 문화’(The Ugly)로 분류합니다. 이 프레임워크를 거울삼아, 오늘날 우리 기업들이 어떤 가면을 쓰고 보안을 대하고 있는지 복기해 봐야 합니다.

[출처: AI Generated by Kim, Jungduk]
보안 성공의 자양분이 되는 세 가지 ‘좋은(Good) 문화’
성공적인 비즈니스를 영위하는 일류 기업의 보안에는 조직의 면역력을 높여주는 세 가지 건강한 문화가 흐르고 있습니다. 첫 단추는 바로 ‘보고 문화’(Culture of Reporting)입니다. 실수를 저지르거나 의심스러운 징후를 발견했을 때 비난에 대한 두려움 없이 즉각 공유할 수 있는 ‘심리적 안전감’이 핵심입니다. 항공업계가 사고 예방을 위해 조종사의 경미한 실수를 스스로 고백하게 하고 면책 특권을 주는 것처럼, 보안 역시 문제를 솔직히 드러내고 함께 해결하는 문화가 담보될 때 비로소 선제적 방어가 가능해집니다.
여기에 구성원들이 보안 정책의 이면을 가슴으로 공감하는 ‘인식 문화’(Awareness Culture)가 결합해야 합니다. 이는 기계적인 연간 보안 교육 이수를 넘어, “왜 이 규정이 필요한가”를 구성원이 깊이 이해하는 상태를 말합니다. 이 단계에 이른 직원들은 스스로가 가장 든든한 ‘인간 방화벽’(Human Firewall)으로 거듭납니다. 나아가 감정이나 막연한 공포에 휘둘리지 않고, 수집된 데이터와 객관적 사실에 근거해 의사결정을 내리는 ‘증거 기반 관리’(Evidence-based Management) 문화가 확립될 때 보안 투자는 지속 가능한 경영 전략으로 안착합니다.
성장을 가로막고 피로를 낳는 세 가지 ‘나쁜(Bad) 문화’
반면, 겉보기엔 그럴듯하지만, 내부의 에너지를 갉아먹고 보안 수준을 답보 상태에 머물게 하는 나쁜 흐름도 존재합니다. 대표적인 것이 공포와 의심을 동력으로 삼는 ‘FUD(Fear, Uncertainty, Doubt) 기반 문화’입니다. 자극적인 공포에 의존하는 보안은 단기적인 예산 확보에는 유용할지 몰라도, 장기적으로 구성원들에게 깊은 ‘보안 피로감’을 주어 결국 무관심과 마비를 초래합니다.
최신 기술 만능주의에 빠지는 ‘기술 숭배(Cult of Technology) 문화’ 역시 경계해야 할 함정입니다. 리더들이 고가의 장비만 도입하면 보안이 완성된다고 믿는 순간, 그 기술을 운용하는
‘사람’은 방치됩니다. 아무리 비싼 디지털도어락을 설치했어도 임직원이 비밀번호를 포스트잇에 적어 문 옆에 붙여둔다면 기술은 무용지물입니다.
규제 준수를 최종 목적으로 삼는 ‘체크박스(Checkbox) 문화’도 기업을 위태롭게 만듭니다. 인증 획득과 체크리스트 채우기에 급급해 형식적인 활동에만 치중하다 보면, 직원들은 보안을 ‘귀찮은 숙제’로만 여기게 됩니다. 규정 준수는 보안의 최소한의 출발선일 뿐, 최종 목적지가 아님을 기억해야 합니다.
조직을 병들게 하는 ‘추악한(Ugly) 문화’

▲김정덕 중앙대 명예교수 [출처: 본인제공]
이 모든 부정적 유형 중에서도 조직을 가장 처참하게 무너뜨리는 최악의 암초는 바로 ‘오만 문화’(Culture of Arrogance)입니다. 이는 보안 전문가 집단이 스스로를 정의의 수호자로 격상시키고, 일반 직원을 ‘무지한 존재’로, 경영진을 ‘말이 안 통하는 비용 절감주의자’로 치부해 버리는 독선에서 비롯됩니다. 보안 부서가 사내에서 통제의 벽을 높이고 소통을 닫아걸 때, 조직 전체와의 깊은 단절이 발생합니다.
이러한 오만함의 대가는 가혹합니다. 현업 부서는 보안 팀을 조력자가 아닌 비즈니스를 방해하는 기피 대상으로 여기게 됩니다. 결과적으로 직원들은 보안 정책을 준수하기보다 우회하기 시작하며, 보안 팀 몰래 승인되지 않은 협업 도구를 사용하는 ‘섀도우 IT’(Shadow IT)를 양산합니다. 통제가 강해질수록 음성화된 위협은 넓어지고, 결국 조직은 통제 불능의 파국으로 치닫게 됩니다.
보안문화 진단과 전환
랜스 헤이든의 7가지 초상은 우리 기업의 민낯을 비추는 거울입니다. 대다수 기업은 이 일곱 가지 그림자가 복잡하게 뒤섞인 과도기적 스펙트럼 위에 놓여 있습니다. 중요한 것은 냉철한 진단을 통해 ‘좋은 문화’의 영토를 의도적으로 넓혀가는 것입니다.
리더는 단순히 방화벽 설정을 지시하는 통제관이 아니라, 오만의 벽을 허물고 심리적 안전감을 불어넣는 정원사가 되어야 합니다. 기술이라는 단단한 뼈대 위에 ‘좋은 문화’라는 건강한 살을 채워 넣을 때, 기업은 비로소 어떤 거센 사이버 폭풍 속에서도 흔들리지 않는 자생적 면역력을 갖추게 될 것입니다.
필자 소개 중앙대학교 산업보안학과 명예교수, 인간중심보안포럼 의장, 한국정보보호학회 부회장, 금융 정보보호관리체계 인증위원, 전 JTC1 SC27 정보보안 국제표준화 전문위 의장 및 의원, 전 ISO 27014(정보보안 거버넌스) 에디터 등 역임
[글 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














