영화 <전,란>: 멋진 칼잡이들의 사연과 무술이 난무하는 영화 속에서 유독 눈에 띄는 재앙적 존재
[보안뉴스 문가용 기자] 사이버 보안 담당자들이 자신의 할 일을 다 하는 데 있어 가장 큰 어려움은 무엇일까? ‘어려움’이라는 표현이 귀여워 보일 정도로 너무 커서 차라리 재해에 가깝게 느껴지는 것이 있을까? 산전수전 다 겪었던 사람이라도 도무지 손 쓸 방법이 보이지 않는, 그러한 문제에는 어떤 게 있을까? 모든 사람이 같은 답을 낼 수는 없겠지만 여기에 누군가 ‘CEO?’라고 하면 어떤 반응이 나올까? 사석에서라면 대부분이 고개를 격하게 끄덕일 것이라고 생각한다.
▲영화 <전,란> 속 선조의 모습[이미지 =넷플릭스]
방향을 잡지 못할 뿐더러 도무지 귀를 열지 않는 CEO는 누구에게나 큰 어려움이겠지만, 가시적인 성과를 내기 힘든 보안 담당자들에게 특히 더 치명적으로 작용한다. 최근 넷플릭스 상위권을 달리고 있는 영화 <전,란>이 이러한 점을 적나라하게 드러낸다. 피난 길에서도 반찬 투정을 하고, 자신의 백성을 죽이라고 서슴없이 명령하며, 전란 후 다른 무엇보다 궁 재건을 국가 1순위 사업으로 밀어붙이는 영화 속 선조는 당시 조선이 겪을 수 있는 가장 큰 재앙으로 그려지기 때문이다.
보안은 ‘모두가 참여해야 하는 분야’라고 설파되고 있다. 아무리 회사에서 철저하게 보안 정책을 가다듬고 기술을 도입한다 한들, 직원이 뭔가 실수를 저지르거나 의도적으로 정책을 무시할 때 공들여 세운 탑이 순식간에 무너지기 때문이다. 보안과 관련된 전문적인 업무야 보안 담당자들이 맡는 게 맞지만, 조직 전체의 보안을 튼튼히 유지하는 데에는 보안에 대해 전혀 알지 못하는 일반 구성원들의 관심과 참여가 반드시 있어야 한다.
여기까지는 사실상 모든 보안 전문가들이 입이 마르고 닳도록 얘기하는 내용이다. 하지만 모두가 이 이야기에 뭔가 하나가 빠져있다는 걸 알면서도 잘 언급하지 않는다. 바로 CEO다. ‘모두가 참여하는 보안’이라고는 하지만, 이 말이 민주주의 체제의 선거권처럼 ‘모두가 같은 크기의 중요도를 갖고 있다’는 아름다운 뜻은 아니다. 직위와 역할에 따라 중요도도 다르고 미칠 수 있는 영향력도 다르다. 사실 보안을 거의 신경 쓰지 않아도 무관한 직위가 있고, 보안 염려를 노이로제 수준으로 끼고 살아야 하는 직위가 있다는 것이다. CEO라면 절대로 후자일 수밖에 없다. 그러므로 보안 교육이 가장 필요한 것도, 가장 많은 잔소리를 들어야 할 것도, 어쩌면 가장 큰 책임을 져야 할 것도 다름 아닌 CEO다.
보안에 있어 CEO의 중요성을 일일이 설명할 필요는 없을 것이다. 회사 내에서 CEO보다 권한이 높고, 그러므로 CEO만큼 많은 자원과 사업에 접근할 수 있는 사람은 없다는 것만으로 모든 설명을 갈음할 수 있다. 하지만 이들의 권한이 얼마나 높은지,
* 보안 교육에 불참한다
* 여러 사업과 프로젝트 관련 정보를 원하는 때 원하는 방식으로 열람한다
* 보안 규정을 지키지 않아도 된다
* 심지어 보안 규정을 어기도록 지시할 수도 있다
* 기타 등등 x 100
이 중 일부만으로도 CEO는 말 그대로 걸어 다니는 시한폭탄이 된다. 아무리 모든 보안 관련 실천 사항을 다 지키는 사람이라도 한 가지만 소홀히 해도 - CEO이기 때문에! - 큰 구멍이 생긴다는 것이다. 퍼즐 조각으로 쳤을 때 CEO의 크기가 압도적으로 크다고 할 수 있다. CEO들의 노고와 고단함이 상상도 못할 수준이겠지만, 그것이 ‘보안 소홀’로 이어지는 건 위험할 수밖에 없다. 그런 CEO가 <전,란> 속 선조처럼 행동한다고 상상하면 눈이 질끈 감긴다.
하지만 CEO가 조직 내에 발휘하는 ‘문화적 역량’이 어마어마하다는 것이 가장 치명적으로 작용한다. 아직까지 대다수의 기업들은 내부가 상하 관계로 구성되어 있다. 수직적이다. 이 수직 구조에서는 위에 자리를 틀고 있는 자들의 영향력이 아래 방향으로 퍼지는 게 보통이다. 그 영향력이 조금만 장기화 되면 금세 그 조직의 문화로 굳어진다. 좋든 싫든 CEO는 한 조직의 문화를 송두리째 없애고 생성할 수 있는 사람들이다. CEO가 선호하는 업무 방식이 그 기업 전체의 업무 방식이 되는 사례라면 얼마든지 존재한다.
보안은 ‘모두가 참여해야’ 하기 때문에 일종의 문화로서 접근해야 한다. 지금은 반드시 지켜야 하는 회사 정책으로서 강제성 강한 역할을 한다고 해도, 언젠가는 모두가 자동으로 실천하는 자발성 가득한 ‘문화’가 되어야 하기 때문이다. 그런데 CEO부터 보안을 귀찮은 것으로 치부하면 어떨까? 그 조직이 보안 문화를 받아들이기는 사실상 불가능에 가깝다. CEO 스스로가 보안 구멍이 되는 것보다, 어쩌면 보안 문화가 정착하지 못하게 한다는 게 CEO가 야기할 수 있는 최악의 재앙이 될 수 있다.
많은 CEO들이 각자의 사연을 가지고 있다. 보안에 철저할 수 없고, 보안 강화에 집중할 수 없는 이유들이 있다. 특히 규모가 작은 회사의 CEO들이라면 적은 예산이 발목을 잡는다. 비싼 보안 솔루션들을 도입할 여력이 도무지 없다는데, “그래도 보안이 중요해”라고 강조하기는 힘들다. 그런데 그렇기 때문에 예산 부족이 현실이 아니라 안주를 위한 핑계가 될 때도 많다는 게 안타깝다. 심지어 그 예산 부족이 정말로 현실 문제인지, 단순한 핑계인지, CEO 스스로도 칼 같이 분간하기 힘들다는 게 상황을 더 어렵게 만든다.
그런 이유에서 논란이 있긴 하지만 ‘구독 경제’라는 게 보안 업계에도 빠르게 들어오고 있다는 사실이 반갑다. 아직 보완해야 할 부분이 많고, ‘구독’이라는 좋은 허울 아래 기업들의 지독한 장삿속이 숨겨져 있는 경우도 상당하지만, 그럼에도 보안을 적은 돈으로 살짝 맛보게 한다는 점에서는 긍정적인 면이 있다고 본다. 패키지 별로, 라이선스 별로, 컴퓨터 대수에 따라, 네트워크 크기에 따라 적은 돈을 요구하는 보안 상품들이 해외에서부터 시작해 빠르게 만들어지고 있는데 그 동안 예산을 확보하지 못했던 CEO들이 ‘찍먹’이라도 해볼 수 있었으면 좋겠다. 새로운 걸 맛보지 못하는 CEO는 귀막고 칼을 휘두르는 <전,란> 속 선조와 다르지 않다.
[문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 사이버 보안 담당자들이 자신의 할 일을 다 하는 데 있어 가장 큰 어려움은 무엇일까? ‘어려움’이라는 표현이 귀여워 보일 정도로 너무 커서 차라리 재해에 가깝게 느껴지는 것이 있을까? 산전수전 다 겪었던 사람이라도 도무지 손 쓸 방법이 보이지 않는, 그러한 문제에는 어떤 게 있을까? 모든 사람이 같은 답을 낼 수는 없겠지만 여기에 누군가 ‘CEO?’라고 하면 어떤 반응이 나올까? 사석에서라면 대부분이 고개를 격하게 끄덕일 것이라고 생각한다.
▲영화 <전,란> 속 선조의 모습[이미지 =넷플릭스]
방향을 잡지 못할 뿐더러 도무지 귀를 열지 않는 CEO는 누구에게나 큰 어려움이겠지만, 가시적인 성과를 내기 힘든 보안 담당자들에게 특히 더 치명적으로 작용한다. 최근 넷플릭스 상위권을 달리고 있는 영화 <전,란>이 이러한 점을 적나라하게 드러낸다. 피난 길에서도 반찬 투정을 하고, 자신의 백성을 죽이라고 서슴없이 명령하며, 전란 후 다른 무엇보다 궁 재건을 국가 1순위 사업으로 밀어붙이는 영화 속 선조는 당시 조선이 겪을 수 있는 가장 큰 재앙으로 그려지기 때문이다.
보안은 ‘모두가 참여해야 하는 분야’라고 설파되고 있다. 아무리 회사에서 철저하게 보안 정책을 가다듬고 기술을 도입한다 한들, 직원이 뭔가 실수를 저지르거나 의도적으로 정책을 무시할 때 공들여 세운 탑이 순식간에 무너지기 때문이다. 보안과 관련된 전문적인 업무야 보안 담당자들이 맡는 게 맞지만, 조직 전체의 보안을 튼튼히 유지하는 데에는 보안에 대해 전혀 알지 못하는 일반 구성원들의 관심과 참여가 반드시 있어야 한다.
여기까지는 사실상 모든 보안 전문가들이 입이 마르고 닳도록 얘기하는 내용이다. 하지만 모두가 이 이야기에 뭔가 하나가 빠져있다는 걸 알면서도 잘 언급하지 않는다. 바로 CEO다. ‘모두가 참여하는 보안’이라고는 하지만, 이 말이 민주주의 체제의 선거권처럼 ‘모두가 같은 크기의 중요도를 갖고 있다’는 아름다운 뜻은 아니다. 직위와 역할에 따라 중요도도 다르고 미칠 수 있는 영향력도 다르다. 사실 보안을 거의 신경 쓰지 않아도 무관한 직위가 있고, 보안 염려를 노이로제 수준으로 끼고 살아야 하는 직위가 있다는 것이다. CEO라면 절대로 후자일 수밖에 없다. 그러므로 보안 교육이 가장 필요한 것도, 가장 많은 잔소리를 들어야 할 것도, 어쩌면 가장 큰 책임을 져야 할 것도 다름 아닌 CEO다.
보안에 있어 CEO의 중요성을 일일이 설명할 필요는 없을 것이다. 회사 내에서 CEO보다 권한이 높고, 그러므로 CEO만큼 많은 자원과 사업에 접근할 수 있는 사람은 없다는 것만으로 모든 설명을 갈음할 수 있다. 하지만 이들의 권한이 얼마나 높은지,
* 보안 교육에 불참한다
* 여러 사업과 프로젝트 관련 정보를 원하는 때 원하는 방식으로 열람한다
* 보안 규정을 지키지 않아도 된다
* 심지어 보안 규정을 어기도록 지시할 수도 있다
* 기타 등등 x 100
이 중 일부만으로도 CEO는 말 그대로 걸어 다니는 시한폭탄이 된다. 아무리 모든 보안 관련 실천 사항을 다 지키는 사람이라도 한 가지만 소홀히 해도 - CEO이기 때문에! - 큰 구멍이 생긴다는 것이다. 퍼즐 조각으로 쳤을 때 CEO의 크기가 압도적으로 크다고 할 수 있다. CEO들의 노고와 고단함이 상상도 못할 수준이겠지만, 그것이 ‘보안 소홀’로 이어지는 건 위험할 수밖에 없다. 그런 CEO가 <전,란> 속 선조처럼 행동한다고 상상하면 눈이 질끈 감긴다.
하지만 CEO가 조직 내에 발휘하는 ‘문화적 역량’이 어마어마하다는 것이 가장 치명적으로 작용한다. 아직까지 대다수의 기업들은 내부가 상하 관계로 구성되어 있다. 수직적이다. 이 수직 구조에서는 위에 자리를 틀고 있는 자들의 영향력이 아래 방향으로 퍼지는 게 보통이다. 그 영향력이 조금만 장기화 되면 금세 그 조직의 문화로 굳어진다. 좋든 싫든 CEO는 한 조직의 문화를 송두리째 없애고 생성할 수 있는 사람들이다. CEO가 선호하는 업무 방식이 그 기업 전체의 업무 방식이 되는 사례라면 얼마든지 존재한다.
보안은 ‘모두가 참여해야’ 하기 때문에 일종의 문화로서 접근해야 한다. 지금은 반드시 지켜야 하는 회사 정책으로서 강제성 강한 역할을 한다고 해도, 언젠가는 모두가 자동으로 실천하는 자발성 가득한 ‘문화’가 되어야 하기 때문이다. 그런데 CEO부터 보안을 귀찮은 것으로 치부하면 어떨까? 그 조직이 보안 문화를 받아들이기는 사실상 불가능에 가깝다. CEO 스스로가 보안 구멍이 되는 것보다, 어쩌면 보안 문화가 정착하지 못하게 한다는 게 CEO가 야기할 수 있는 최악의 재앙이 될 수 있다.
많은 CEO들이 각자의 사연을 가지고 있다. 보안에 철저할 수 없고, 보안 강화에 집중할 수 없는 이유들이 있다. 특히 규모가 작은 회사의 CEO들이라면 적은 예산이 발목을 잡는다. 비싼 보안 솔루션들을 도입할 여력이 도무지 없다는데, “그래도 보안이 중요해”라고 강조하기는 힘들다. 그런데 그렇기 때문에 예산 부족이 현실이 아니라 안주를 위한 핑계가 될 때도 많다는 게 안타깝다. 심지어 그 예산 부족이 정말로 현실 문제인지, 단순한 핑계인지, CEO 스스로도 칼 같이 분간하기 힘들다는 게 상황을 더 어렵게 만든다.
그런 이유에서 논란이 있긴 하지만 ‘구독 경제’라는 게 보안 업계에도 빠르게 들어오고 있다는 사실이 반갑다. 아직 보완해야 할 부분이 많고, ‘구독’이라는 좋은 허울 아래 기업들의 지독한 장삿속이 숨겨져 있는 경우도 상당하지만, 그럼에도 보안을 적은 돈으로 살짝 맛보게 한다는 점에서는 긍정적인 면이 있다고 본다. 패키지 별로, 라이선스 별로, 컴퓨터 대수에 따라, 네트워크 크기에 따라 적은 돈을 요구하는 보안 상품들이 해외에서부터 시작해 빠르게 만들어지고 있는데 그 동안 예산을 확보하지 못했던 CEO들이 ‘찍먹’이라도 해볼 수 있었으면 좋겠다. 새로운 걸 맛보지 못하는 CEO는 귀막고 칼을 휘두르는 <전,란> 속 선조와 다르지 않다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
