.gif)
다음 샷을 준비하라! 예측불가능한 위기 앞에서 회복하고 적응할 수 있는 ‘사람 중심의 레질리언스’ 체화해야
최근 연이어 발생한 대규모 해킹 사고로 인해 ‘보안’이 이제 전 산업에서 꼭 필요한 기반 인프라가 되고 있고 국민들의 일상생활에도 커다란 영향을 미치고 있습니다. 이에 <보안뉴스>는 중앙대학교 산업보안학과 김정덕 명예교수의 연재를 통해 일상과의 비유를 바탕으로 보안의 여러 이슈를 짚어보고, 여기서 한발 더 나아가 디지털 대전환 시대의 보안 패러다임과 지속가능한 보안을 위한 거버넌스와 리더십을 고민해보는 시간을 갖도록 하겠습니다. [편집자주]
[연재목차 Part 1. 보안다반사- 보안, 일상과 비유에서 길을 묻다]
1. 골프의 지혜로 배우는 사이버 레질리언스
2. 자전거 라이딩과 사이버 보안
3. 불꽃야구로 본 사이버보안
4. 나무의 전략, 보안의 지혜
5. 따뜻한 보안교과서, 육아
6. 내면의 방패, 마음챙김
7. 기술중독, 사이버 보안의 새로운 위협
8. 손흥민의 리더십과 사이버 보안
9. 보안 문화_Nature vs. Nurture
10. 워렌 버핏에게 배우는 사이버 복원력 원칙
[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] 모던 골프의 아버지, 벤 호건은 말했다. “골프에서 가장 중요한 샷은 다음 샷이다.”, “골프는 실수의 게임이다. 더 좋은 실수를 하는 사람이 이긴다.” 이 명언은 100% 완벽한 샷을 추구하기보다, 미스 샷이 나왔을 때 다음 샷으로 만회할 기회를 만드는 것이 골프의 본질임을 알려준다. 놀랍게도 이 지혜는 오늘날 디지털 시대의 가장 큰 화두인 ‘사이버 보안’에 깊은 통찰을 제공한다.
[자료: AI Generated by Kim Jung Duck]
완벽한 방어의 환상
디지털 전환(DX) 시대, 우리는 인공지능과 같은 혁신 기술이 가져올 풍요를 기대하면서도 그 이면에 도사린 위험으로부터 자유롭고 안정적인 여정을 꿈꾼다. 이 때문에 사이버 보안은 언제나 최우선 과제로 언급된다. 하지만 완벽한 시스템, 완벽한 방어는 환상에 가깝다. 아무리 잘 설계된 시스템이라도 오류는 발생할 수 있고, 악성코드가 숨어들 수 있기 때문이다. 운영 과정에서 사람의 무지나 실수, 악의적 행위는 언제든 일어날 수 있으며, 고도화된 해킹과 피싱 같은 외부 위협은 끊임없이 방어벽을 두드린다. 특히 모든 것이 연결된 초연결 사회에서 수많은 협력사와 공급망을 통한 보안 사고는 이제 피할 수 없는 현실이 되고 있다.
사이버 레질리언스: 회복탄력성에 주목해야 하는 이유
이러한 현실은 우리에게 패러다임의 전환을 요구한다. 사고 예방에만 몰두하던 과거의 관점에서 벗어나, ‘사고 발생은 필연적’이라는 사실을 인정하고 예측, 탐지, 대응, 복구를 통해 빠르게 회복하는 ‘사이버 레질리언스(Resilience, 회복탄력성/복원력)’ 역량을 갖춰야 할 때라는 점이다.
사이버 레질리언스는 “조직의 핵심 임무를 보장하기 위해, 불리한 환경이나 공격에 직면했을 때 이를 예측하고, 견디며, 회복하고, 적응하는 능력”으로 정의된다. 이는 기존 사이버 보안과 세 가지 핵심적인 차이를 보인다.
첫째, 비즈니스 연속성입니다. 전통적 보안이 IT 자산 보호에 집중했다면, 레질리언스는 어떤 위기에서도 비즈니스의 생명력을 유지하는 것을 궁극적 목표로 삼는다. 둘째, 전사적 참여와 책임이다. 보안은 더 이상 보안부서만의 일이 아닙니다. 모든 임직원이 각자의 자리에서 참여하고 책임질 때 비로소 조직 전체의 회복력이 높아진다. 셋째, 생태계 관점의 보호다. 우리 조직만 안전하다고 끝나는 것이 아니라, 연결된 협력사, 공급업체 등 생태계 전체의 보안 수준을 함께 높여야 한다는 관점의 확장이 필요하다.
결국 모든 것의 중심에는 ‘인간’이 있다
성공적인 사이버 레질리언스는 ‘인간, 프로세스, 기술(PPT: People, Process, Technology)’이라는 세 가지 요소가 조화롭게 균형을 이룰 때 구현될 수 있다. 그동안 우리는 견고한 보안 시스템을 도입하고, ISMS와 같은 관리체계를 통해 프로세스를 표준화하는 데 많은 노력을 기울여 왔다. 하지만 이 모든 기술과 프로세스를 운영하고, 예측 불가능한 위기 상황에서 최종적인 판단을 내리는 ‘인간’의 역량과 인식 수준을 높이는 노력은 상대적으로 부족했던 것이 현실이다.
따라서 이제는 인간 중심으로 패러다임의 무게중심을 옮겨 세 요소의 균형을 바로잡아야 할 때다. 이는 프로세스나 기술을 경시하자는 의미가 결코 아니다. 오히려 일하는 방식인 프로세스와 도구인 기술의 실효성은 결국 그것을 활용하는 사람에 의해 좌우되므로, 사람에 대한 투자가 그 무엇보다 중요하다는 의미라고 할 수 있다.
2023년 하마스 사태에서 보았듯, 국가적 위기 상황에서 가장 중요한 것은 국민과 담당자들의 정확한 상황 인식과 경각심, 그리고 상호 신뢰이다. 이러한 인간적·사회적 기반이 단단할 때, 정교한 프로세스와 효율적인 도구가 비로소 빛을 발할 수 있다. 국가안보와 기업보안의 주체는 언제나 사람이다.
관련 정책 및 법 규정은?
세계는 이미 발 빠르게 움직이고 있다. 미국은 ‘국가사이버안보전략’을 통해 사회 전체의 레질리언스 강화를 핵심 목표로 삼고 국가 안보 차원에서 민관 협력을 강조하고 있다. 특히 미국의 국가핵심 인프라의 사이버 레질리언스를 평가하기 위한 기준 및 제도를 운영하고 있다. 유럽연합은 ‘사이버 레질리언스 법(Cyber Resilience Act)’을 통해 디지털 제품 생산자에게 처음부터 보안을 내재화(Security by Design)하도록 의무화하고 있다.
우리나라도 ‘국가사이버안보전략’에 ‘복원력’을 핵심 과제로 명시하고 있으나, 개념을 명확히 할 필요가 있으며, 사회 전반의 체질을 바꾸는 구체적인 실행 전략으로 이어져야 하는 과제를 안고 있다.
마무리하며: 다음 샷을 준비하는 자세
▲김정덕 중앙대 명예교수 [자료: 김정덕 교수]
골프에 완벽한 스윙이 없듯, 우리에게도 완벽한 사이버 방어란 없다. 대신 기본 원칙 위에서 부단한 연습으로 우리 조직과 사회에 맞는 최적의 스윙을 찾고, 미스 샷에 무너지지 않는 ‘멘탈 복원력’을 길러야 한다. 실수를 두려워하기보다 실수를 통해 배우고, 실패를 비난하기보다 함께 책임지고 빠르게 복구하는 문화를 만들어야 한다.
골프 코스에서 담담하게 다음 샷을 준비하는 골퍼처럼, 우리 사회도 예측 불가능한 위기 앞에서 회복하고 적응할 수 있는 ‘사람 중심의 레질리언스’를 체화해야 할 것이다. 그것이 바로 격변하는 디지털 대항해 시대에 우리의 안전과 번영을 지키는, 가장 중요한 다음 ‘샷’이 될 것이다.
[글_ 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장]
필자 소개_ 중앙대학교 산업보안학과 명예교수, 인간중심보안포럼 의장, 한국정보보호학회 부회장, 금융 정보보호관리체계 인증위원, 전 JTC1 SC27 정보보안 국제표준화 전문위 의장 및 의원, 전 ISO 27014(정보보안 거버넌스) 에디터 등 역임
최근 연이어 발생한 대규모 해킹 사고로 인해 ‘보안’이 이제 전 산업에서 꼭 필요한 기반 인프라가 되고 있고 국민들의 일상생활에도 커다란 영향을 미치고 있습니다. 이에 <보안뉴스>는 중앙대학교 산업보안학과 김정덕 명예교수의 연재를 통해 일상과의 비유를 바탕으로 보안의 여러 이슈를 짚어보고, 여기서 한발 더 나아가 디지털 대전환 시대의 보안 패러다임과 지속가능한 보안을 위한 거버넌스와 리더십을 고민해보는 시간을 갖도록 하겠습니다. [편집자주]
[연재목차 Part 1. 보안다반사- 보안, 일상과 비유에서 길을 묻다]
1. 골프의 지혜로 배우는 사이버 레질리언스
2. 자전거 라이딩과 사이버 보안
3. 불꽃야구로 본 사이버보안
4. 나무의 전략, 보안의 지혜
5. 따뜻한 보안교과서, 육아
6. 내면의 방패, 마음챙김
7. 기술중독, 사이버 보안의 새로운 위협
8. 손흥민의 리더십과 사이버 보안
9. 보안 문화_Nature vs. Nurture
10. 워렌 버핏에게 배우는 사이버 복원력 원칙
[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] 모던 골프의 아버지, 벤 호건은 말했다. “골프에서 가장 중요한 샷은 다음 샷이다.”, “골프는 실수의 게임이다. 더 좋은 실수를 하는 사람이 이긴다.” 이 명언은 100% 완벽한 샷을 추구하기보다, 미스 샷이 나왔을 때 다음 샷으로 만회할 기회를 만드는 것이 골프의 본질임을 알려준다. 놀랍게도 이 지혜는 오늘날 디지털 시대의 가장 큰 화두인 ‘사이버 보안’에 깊은 통찰을 제공한다.
[자료: AI Generated by Kim Jung Duck]
완벽한 방어의 환상
디지털 전환(DX) 시대, 우리는 인공지능과 같은 혁신 기술이 가져올 풍요를 기대하면서도 그 이면에 도사린 위험으로부터 자유롭고 안정적인 여정을 꿈꾼다. 이 때문에 사이버 보안은 언제나 최우선 과제로 언급된다. 하지만 완벽한 시스템, 완벽한 방어는 환상에 가깝다. 아무리 잘 설계된 시스템이라도 오류는 발생할 수 있고, 악성코드가 숨어들 수 있기 때문이다. 운영 과정에서 사람의 무지나 실수, 악의적 행위는 언제든 일어날 수 있으며, 고도화된 해킹과 피싱 같은 외부 위협은 끊임없이 방어벽을 두드린다. 특히 모든 것이 연결된 초연결 사회에서 수많은 협력사와 공급망을 통한 보안 사고는 이제 피할 수 없는 현실이 되고 있다.
사이버 레질리언스: 회복탄력성에 주목해야 하는 이유
이러한 현실은 우리에게 패러다임의 전환을 요구한다. 사고 예방에만 몰두하던 과거의 관점에서 벗어나, ‘사고 발생은 필연적’이라는 사실을 인정하고 예측, 탐지, 대응, 복구를 통해 빠르게 회복하는 ‘사이버 레질리언스(Resilience, 회복탄력성/복원력)’ 역량을 갖춰야 할 때라는 점이다.
사이버 레질리언스는 “조직의 핵심 임무를 보장하기 위해, 불리한 환경이나 공격에 직면했을 때 이를 예측하고, 견디며, 회복하고, 적응하는 능력”으로 정의된다. 이는 기존 사이버 보안과 세 가지 핵심적인 차이를 보인다.
첫째, 비즈니스 연속성입니다. 전통적 보안이 IT 자산 보호에 집중했다면, 레질리언스는 어떤 위기에서도 비즈니스의 생명력을 유지하는 것을 궁극적 목표로 삼는다. 둘째, 전사적 참여와 책임이다. 보안은 더 이상 보안부서만의 일이 아닙니다. 모든 임직원이 각자의 자리에서 참여하고 책임질 때 비로소 조직 전체의 회복력이 높아진다. 셋째, 생태계 관점의 보호다. 우리 조직만 안전하다고 끝나는 것이 아니라, 연결된 협력사, 공급업체 등 생태계 전체의 보안 수준을 함께 높여야 한다는 관점의 확장이 필요하다.
결국 모든 것의 중심에는 ‘인간’이 있다
성공적인 사이버 레질리언스는 ‘인간, 프로세스, 기술(PPT: People, Process, Technology)’이라는 세 가지 요소가 조화롭게 균형을 이룰 때 구현될 수 있다. 그동안 우리는 견고한 보안 시스템을 도입하고, ISMS와 같은 관리체계를 통해 프로세스를 표준화하는 데 많은 노력을 기울여 왔다. 하지만 이 모든 기술과 프로세스를 운영하고, 예측 불가능한 위기 상황에서 최종적인 판단을 내리는 ‘인간’의 역량과 인식 수준을 높이는 노력은 상대적으로 부족했던 것이 현실이다.
따라서 이제는 인간 중심으로 패러다임의 무게중심을 옮겨 세 요소의 균형을 바로잡아야 할 때다. 이는 프로세스나 기술을 경시하자는 의미가 결코 아니다. 오히려 일하는 방식인 프로세스와 도구인 기술의 실효성은 결국 그것을 활용하는 사람에 의해 좌우되므로, 사람에 대한 투자가 그 무엇보다 중요하다는 의미라고 할 수 있다.
2023년 하마스 사태에서 보았듯, 국가적 위기 상황에서 가장 중요한 것은 국민과 담당자들의 정확한 상황 인식과 경각심, 그리고 상호 신뢰이다. 이러한 인간적·사회적 기반이 단단할 때, 정교한 프로세스와 효율적인 도구가 비로소 빛을 발할 수 있다. 국가안보와 기업보안의 주체는 언제나 사람이다.
관련 정책 및 법 규정은?
세계는 이미 발 빠르게 움직이고 있다. 미국은 ‘국가사이버안보전략’을 통해 사회 전체의 레질리언스 강화를 핵심 목표로 삼고 국가 안보 차원에서 민관 협력을 강조하고 있다. 특히 미국의 국가핵심 인프라의 사이버 레질리언스를 평가하기 위한 기준 및 제도를 운영하고 있다. 유럽연합은 ‘사이버 레질리언스 법(Cyber Resilience Act)’을 통해 디지털 제품 생산자에게 처음부터 보안을 내재화(Security by Design)하도록 의무화하고 있다.
우리나라도 ‘국가사이버안보전략’에 ‘복원력’을 핵심 과제로 명시하고 있으나, 개념을 명확히 할 필요가 있으며, 사회 전반의 체질을 바꾸는 구체적인 실행 전략으로 이어져야 하는 과제를 안고 있다.
마무리하며: 다음 샷을 준비하는 자세
▲김정덕 중앙대 명예교수 [자료: 김정덕 교수]
골프에 완벽한 스윙이 없듯, 우리에게도 완벽한 사이버 방어란 없다. 대신 기본 원칙 위에서 부단한 연습으로 우리 조직과 사회에 맞는 최적의 스윙을 찾고, 미스 샷에 무너지지 않는 ‘멘탈 복원력’을 길러야 한다. 실수를 두려워하기보다 실수를 통해 배우고, 실패를 비난하기보다 함께 책임지고 빠르게 복구하는 문화를 만들어야 한다.
골프 코스에서 담담하게 다음 샷을 준비하는 골퍼처럼, 우리 사회도 예측 불가능한 위기 앞에서 회복하고 적응할 수 있는 ‘사람 중심의 레질리언스’를 체화해야 할 것이다. 그것이 바로 격변하는 디지털 대항해 시대에 우리의 안전과 번영을 지키는, 가장 중요한 다음 ‘샷’이 될 것이다.
[글_ 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장]
필자 소개_ 중앙대학교 산업보안학과 명예교수, 인간중심보안포럼 의장, 한국정보보호학회 부회장, 금융 정보보호관리체계 인증위원, 전 JTC1 SC27 정보보안 국제표준화 전문위 의장 및 의원, 전 ISO 27014(정보보안 거버넌스) 에디터 등 역임
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)