우리나라 맥락 맞는 보안 문화 진단 기준 필요
[연재목차 Part 3. 인간중심보안과 보안문화]
1. AI 시대, 왜 인간 중심 보안인가
2. AI 시대, 인간 중심 보안을 구현하려면
3. 인간의 창의성과 AI 보안
4. 보안 위반, 뇌 과학 해법
5. 넛지 보안의 힘
6. 감정과 비합리성, 보안의 숨은 힘
7. 디지털 야누스, 두얼굴의 사용자
8. ‘인간중심보안’과 ‘제로트러스트’
9. ESG 너머, 인적 지속가능성과 보안
10. 예산·인력 없는 중소기업, ‘사람’이 답이다
11. 보안문화, Nature vs. Nurture
12. 보안 성패를 가르는 7가지 문화 유형
13. 한국형 보안문화 진단 모델_K-SCT
14. 디지털 보안문화 전환 모델_CORE TRUST
[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] 디지털 대전환의 파고 속에서 보안은 이제 일개 기술 부서의 방어 대책이 아닌, 조직의 생존을 결정짓는 핵심 경영 과제가 되었습니다. 그러나 여전히 많은 국내 기업들은 보안을 억지로 해내야 하는 귀찮은 ‘숙제’처럼 여기곤 합니다. 이처럼 보안이 겉도는 이유는 기술적 방어벽의 두께에만 집착할 뿐, 정작 그 안에서 살아 숨 쉬는 ‘사람과 조직’이 빚어내는 무형의 문화적 토양을 외면하고 있기 때문입니다.
진정한 보안 내재화는 규정 준수를 강요하는 탑다운 방식의 통제에서 벗어나, 조직에 흐르는 보안문화를 정확히 진단하고 이를 점진적으로 개선하는 것에서 출발합니다. 특히 집단주의와 위계질서가 뿌리 깊으면서도 세계에서 가장 빠른 디지털 전환 속도를 마주하고 있는 한국 기업들에게는, 글로벌 시장의 표준을 그대로 복제한 범용 모델이 아닌 한국의 독특한 조직적 맥락을 정확히 정량화할 수 있는 우리만의 현미경이 필요합니다.

[출처: AI Generated by Kim, Jungduk]
숲과 나무를 동시에 보는 지혜: 10가지 차원의 입체적 진단
보안문화를 제대로 진단하기 위해서는 숲(조직)과 나무(개인)를 동시에 바라보는 시각이 필수적입니다. 현실의 보안문화는 개인의 심리와 조직의 시스템이 긴밀하게 얽혀 있기 때문입니다. 따라서 진단의 첫 단계는 이 두 축을 모두 고려한 10가지 차원에서 이루어져야 합니다.
우선 ‘인간행동적 수준’에서는 직원 개개인의 태도, 행동, 인지 능력, 그리고 조직 내 비공식적 규범과 책임감 등 5가지 차원을 살펴봐야 합니다. 동시에 ‘조직·경영적 수준’에서는 리더십의 참여도, 의사소통 체계, 정책의 실효성, 업무와의 통합, 그리고 성과 측정 및 피드백 시스템 등 5가지 차원을 점검해야 합니다. 기존의 글로벌 모델(예: K. Roer와 ENISA) 들이 간과하기 쉬운 리더십이나 업무 통합성과 같은 조직적 요소를 강화함으로써, 우리는 조직의 구조적 강점과 약점을 입체적으로 파악할 수 있습니다.
‘우리’라는 독특한 토양: 한국형 보안문화의 4가지 유형
한국 사회는 ‘우리’를 강조하는 집단주의와 상명하복의 위계질서가 강한 독특한 문화적 토양을 가지고 있습니다. 여기에 베이비부머 세대의 안정 지향성과 MZ세대의 자율성 및 공정성 요구가 공존하며 복합적인 양상을 띱니다. 따라서 우리 조직의 보안문화를 진단할 때는 ‘연대성’(Solidarity)과 ‘개방성’(Openness)이라는 두 가지 기준을 적용해 볼 필요가 있습니다.
이 기준에 따라 한국 조직의 보안문화는 크게 네 가지 유형으로 구분됩니다. 첫째, ‘준거형’(Compliance)은 규정 준수를 최우선으로 하며 “시키는 대로만 한다”는 수동적 태도가 강합니다. 둘째, ‘협력형’(Collective)은 “보안은 우리 모두의 일”이라는 인식 하에 집단적 대응과 정보 공유가 활발합니다. 셋째, ‘통제형’(Guarded)은 강력한 리더십이나 소수 전문가가 보안을 주도하며 방어적이고 폐쇄적인 특성을 보입니다. 마지막으로 ‘주도형’(Proactive)은 구성원의 자율성을 바탕으로 위험을 선제적으로 탐지하고 창의적으로 해결하는 가장 이상적인 형태입니다. 우리 조직이 현재 어디에 서 있는지 명확히 아는 것이 변화의 시작입니다.
규제 준수를 넘어 지속가능한 문화로: 성숙도 로드맵
진단의 궁극적인 목표는 현재 상태의 확인을 넘어 성장으로 나아가는 것입니다. 이를 위해 ‘한국형 보안문화 성숙도 모델’(K-SCMM)은 조직이 나아가야 할 5단계 로드맵을 제시합니다.
가장 기초적인 1단계(기본 준수)는 외부 규제 때문에 억지로 최소한의 정책만 운영하는 수준입니다. 여기서 나아가 2단계(보안 인식 기반)와 3단계(행동 변화 프로그램)를 거치며 교육과 훈련을 통해 구성원의 인식을 깨우고 행동을 변화시킵니다. 4단계(행동 관리 고도화)에 이르면 보상 시스템과 데이터 기반의 관리가 정착되며, 마침내 5단계(지속가능 보안문화)에서는 보안이 조직의 핵심 가치로 내재화되어 구성원 스스로가 자율적으로 실천하는 단계에 도달합니다.
보안문화 진단을 통해 전환으로

▲김정덕 중앙대 명예교수
글로벌 표준을 우리 조직에 그대로 대입하면 문화적 차이로 인해 심각한 왜곡이 발생합니다. K-SCT는 세 가지 핵심 모듈을 유기적으로 결합하여 가장 확실한 해결책을 제안합니다. 먼저 10가지 다차원 렌즈를 통해 개인의 태도부터 리더십의 헌신까지 체질을 입체적으로 수치화하고, 우리 토양에 맞춘 4가지 문화 유형 자화상으로 한국식 위계구조 속에 숨겨진 ‘침묵하는 리더십 리스크’를 정밀하게 포착하며, 마지막으로 5단계 성숙도 로드맵(K-SCMM)과 즉각 연계하여 점수 판정이라는 정적 진단에 머물지 않고 다음 고지로 이끄는 동적인 ‘내비게이션’ 역할을 수행합니다.
이 세 가지 모델은 개별적으로 작동할 때 온전한 힘을 발휘할 수 없습니다. 10가지 차원의 현미경적 진단이 우리의 문화적 맥락(4유형)과 맞아떨어지고, 그것이 다시 체계적인 성장 가이드(5단계 로드맵)로 이어지는 통합적 관점에서만 조직의 근본적인 체질 개선이 일어납니다. 한국 조직의 유전자를 완벽하게 꿰뚫어 보는 K-SCT 통합 프레임워크는, 우리 기업을 성가신 ┖규제 준수┖에서 주도적인 ┖자율 실천┖으로 변화시킬 든든하고 유연한 길잡이가 되어줄 것입니다.
글_ 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장
필자 소개 중앙대학교 산업보안학과 명예교수, 인간중심보안포럼 의장, 한국정보보호학회 부회장, 금융 정보보호관리체계 인증위원, 전 JTC1 SC27 정보보안 국제표준화 전문위 의장 및 의원, 전 ISO 27014(정보보안 거버넌스) 에디터 등 역임
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>













