보안은 구성원 모두가 참여하는 기업문화 중심돼야
너트 아일랜드 효과란 2001년 하버드 비즈니스 리뷰에 ‘유능한 팀의 침몰(When Good Teams Go Wrong)’이라는 제목으로 폴 레비(Paul Levy)에 의해 명명되었다.

너트 아일랜드 효과라는 용어는, 정화되지 않은 폐수 배출로 최악의 환경 파괴 사건이라는 극단적인 결말로 하수 처리장을 폐쇄하기 전까지 매사추세츠 퀸시의 너트 아일랜드 하수처리장을 운영했던 최상의 드림팀의 실제 사례를 토대로 도출되었다.        

이 사례에서 최고의 지식과 팀원으로 구성된 조직이 어떻게 무너져 가는지를 보여 주는 파괴적 조직 역학의 예를 함축적으로 표현한 것으로 너트 아일런트 효과는 최근의 H와 N 금융사의 보안 사고뿐만 아니라 앞서 있었던 수많은 보안 사고와 연관된 보안 조직에서 공통적으로 적용해 볼만한 많은 시사점을 제공하고 있다.

일반적으로 보안 조직이나 보안 담당 직원은 보안이라는 전문성과 모든 업무를 지원하는 전문가로써 통상 높은 자부심과 분명한 정체성을 갖고 업무에 임하고 있다. 마치 너트 아일랜드의 하수처리장의 드림팀처럼 말이다. 하지만 결국 이 뛰어난 드림팀이 궁극적으로는 스스로 자신의 업무를 파괴하는 일들을 하게 되는 너트 아일랜드 효과에 빠질 수 있는 다섯 조건들이 있다.

첫째는 산만한 관리와 높은 자율성이다. 즉 최고 관리자(CEO)를 포함한 경영층의 낮은 관심과 해당 분야의 낮은 지식으로 인해 관리 자체가 적절히 수행되지 못한다. 즉 적절한 관리와 통제를 할 수 없다 보니 지식이 있는 전문적인 조직에게 높은 자율성을 부여하게 된다. 즉 보안 조직이나 보안 담당자에게 높은 자율성을 부여한다거나 아예 해당 분야를 아웃소싱하여 외주 업체에게 맡기게 되는 경우가 이에 해당한다고 볼 수 있다. 더구나 이렇게 높은 자율성을 부여해 놓고 관리는 잘 하지 못하면서도 막연히 경영층은 막연히 자발적으로 모든 상황이 잘 돌아간다고 믿는 경향이 있다.

두 번째는 가정과 분노의 단계를 거치게 된다. 최고 관리 조직의 낮은 관심과 해당 분야의 낮은 지식으로 인해 높은 자율성을 부여 받은 전문 조직은 최고 관리 조직으로부터 높은 자율성을 부여 받은 대신, 지원 요청이나 제안에 대해 적절한 지원을 받지 못할 가능성이 높으며 마찬가지로 성과 측정이나 관리 방안 역시 제대로 설계될 수 없어서 결국 성과에 대한 적절한 보상을 받지 못하게 될 가능성 역시 높아진다.

이 때문에 전문 조직은 좌절과 분노를 동시에 경험하게 되며 열악한 환경에 대해 조직 내에서 해결하자는 분위기와 함께 생존을 위한 높은 집단 단결력을 보이게 된다. 경영층과 협업에서 보안팀에 대한 자신감과 전문성은 당연하다고 여기면서 이들이 하는 지원이나 투자 요청, 혹은 경고는 무시하진 않았는지 되돌아 보아야 한다. 또 경영층에서는 보안팀의 성과에 대해 적절히 측정하고 정당한 보상을 하였는지 살펴봐야 한다.

세 번째는 사실상의 분리 단계다. 즉, 기업의 관리 프로세스와 조직으로부터 해당 조직이 사실상 분리되어 운영되게 된다. 아웃소싱인 경우에는 조직 자체가 분리되어 있긴 하지만 보안 조직도 마치 다른 회사처럼 분리되어 운영됨을 느낀다면 상당히 너트 아일랜드 효과가 진행되었다고 평가된다.

네 번째는 자체 규정 수립 및 이행 단계다. 보안 관련하여 많은 조직과의 논의와 협업이 필요하지만 분리된 보안 조직의 경우에는 자체적으로 규정을 수립하고 이를 이행을 강행하여 조직과의 마찰을 불러일으키는 경우가 이에 해당 한다. 많은 내외부 규정을 참조하긴 하지만 자신들의 경험과 지식을 토대로 전혀 엉뚱한 규정을 수립하고 이행하는 경우도 있다. 만일 보안팀 스스로 규칙을 만들고 스스로 수립한 규칙만으로도 보안팀의 사명인 전사 보안을 완수할 수 있다고 주장한다면 상당히 위험할 수 있다는 점을 인식해야 한다.

다섯 번째는 만성적인 체계 오류와 축소 단계다. 이 단계에 이르러서는 조금씩 조직 내에서 문제점들이 드러나지만 보고하지 않고 자체적으로 해결하는 악순환이 되풀이 되다가 종국에는 대형 참사로 모든 것이 끝나게 된다. 외부인이나 팀 구성원 등 문제점과 결함을 지적하는 선의의 외부인에게 귀를 기울이지 않고 문제를 인정하려 들지 않고 또 도움을 요청하지 않는다면 이미 그 조직은 위험하다.

지금까지 살펴 본 너트 아일랜드 효과에 빠지는 과정과 보안 조직에 해당되는 사례를 간략히 살펴보았다. 지금의 보안 조직이 너트 아일랜드 효과에 직면해 있진 않은지 심각하게 고민해 봐야 한다. 그러면 이러한 위험에 빠지지 않으려면 어떻게 해야 할까?

우선은 최고 경영자(CEO)를 포함하여 경영층에서 정보 보안에 대한 관심과 지원이 있어야 한다. 경영층에서의 정보 보안에 대한 관심과 지지는 단지 해마다 신년 인사 때의 강조나 적절한 투자 지원이 다가 아니다. 비즈니스에 필요한 보안에 대한 지식과 동향을 알고 보안 조직에 대한 관리를 직접 챙겨야 한다.

만일 이런 일들이 부담된다면 이런 업무를 지원해 줄 수 있는 최고 보안 관리자(CSO)의 선임도 적극 고려해야 하고, 경영층의 주요 논제에서 정보보안과 관련 위험이 항시 다뤄져야 한다.

다음은 보안의 대한 책임이 모두에게 있다는 문화적인 접근과 함께 보안 실무자의 역할을 보안을 하는 사람에서 모든 사람이 보안을 할 수 있도록 이끌어 주는 사람으로의 역할 변화가 필요하며 이를 지원할 수 있는 조직 전체의 인식 변화가 필요하다.

이런 인식 변화를 이끌 수 있도록 시스템적으로 이를 지원할 수 있는 기업 거버넌스 체계 하에서 보안 거버넌스나 보안 관리 체계를 통합시킨다거나 적절한 보안 프레임워크나 보안성과 측정 지표 개발 및 도입 등도 좋은 방법이다.

다시 한번 강조하지만 아무리 뛰어난 보안팀도 모든 위험을 혼자 관리하거나 대응할 순 없으며 모든 비즈니스의 특성을 다 알 수는 없다. 보안은 이제 기업 문화의 중심이 되어야 하며 기업 내의 모든 참여자가 다 보안 담당자가 되어야 한다.

보안 관리자의 역할은 이를 인도하기만 하면 된다. 만일 그렇지 않다면 현재 너트 아일랜드 효과에 직면해 있진 않은지 심각하게 되돌아 볼 때이다. 다음 시간에는 ‘차세대 계정 및 권한 관리 기법’에 대해 논의해 보고자 한다.[글 _ 박형근 시큐리티플러스 운영자(phk@kr.ibm.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>