사이버 보안, 안전을 위한 답시고 무뚝뚝하게 굴어봐야 이룰 것 없어
사람들의 마음을 오랜 시간 울릴 수 있는 건 사랑...보안도 사랑을 받아야
[보안뉴스 문가용 기자] 사이버 보안이라는 것을 생각할 때 ‘사랑스럽다’는 표현을 먼저 떠올리는 사람은 거의 없을 것이다. 오히려 어둠 속에서 후드를 뒤집어 쓴 공격자(보통 해커라고 불린다)와, 그를 추적하는 보안 전문가 사이의 암투 - 키보드 위에서 진행된다 - 가 오히려 이 계통에 대한 보편적 이미지에 가깝다. 심지어 이런 세상이 존재한다는 걸 모르는 사람이 더 많을 수도 있다.
[이미지 = iclickart]
물론 그런 이미지가 완전히 잘못되었다고만은 말할 수 없다. 사이버 보안은 누구나 쉽게 다가갈 수 있는 친절한 분야가 아니다. 보안 담당자들만 하더라도, 보안을 이유로 매우 딱딱하고 비밀스러운 태도를 유지하는 사람들이 많다. 이것도 안 돼. 저것도 안 돼. 거절의 대답만 나오는 것이 보안 담당 부서라는 선입견이 국적 불문 어디나 통용될 정도다. 하지만 필자의 경험 상 사이버 보안은 이런 방어적 태도만으로는 장기적인 성과를 거두기 힘들다. 장기적 성공을 위해선 사이버 보안도 사랑받는 존재가 되어야 한다.
‘사랑의 언어’라는 개념을 들어보았나? 사랑을 표현하는 사람들의 다섯 가지 방법 말이다. 보안에도 이 개념을 적용하는 게 가능하다. 특히 보안이라는 주제로 사람들과 소통을 하는 데에 있어 사랑의 언어가 좋은 작용을 할 수 있다. 이를 조금 더 구체적으로 풀어보면 다음과 같다.
촉각을 통한 사랑의 언어 : 엔지니어
한 가지는 확실하게 짚고 넘어가자. 여기서 촉각의 언어를 언급했다고 해서 엔지니어의 손을 한 번 잡아주라거나 안아주라는 건 아니다. 그들도 그걸 바라는 건 절대 아니다. 그들이 코드를 만들거나 구축하는 동안 ‘도움을 받고 있다’는 느낌을 주는 게 중요하다. 사업의 성패를 짊어지고 코드를 들여다보는 그들은, 마치 무거운 짐을 혼자 지고 있는 듯한 기분을 느낀다. 그럴 때 그 무게를 조금이라도 같이 감당할 손길이 필요하다. 그 위에 올라 타 앉는다면 그들은 폭발할 것이다.
이게 무슨 말이냐면, 엔지니어들에게 시도 때도 없이 보안 교육(보안 잔소리에 가까울 것이다)을 실시하지 말라는 것이다. 또한 친화력을 높인다고 그들에게 시도 때도 없이 엔지니어링 교육을 받는 것도 좋은 접근법이라고 하기 어렵다. 그들이 애써 만들어 놓은 코드를 보고 “SQL 주입 취약점 있으니 고쳐”라고만 말하는 대신, 익스플로잇에 대한 컨텍스트 정보를 함께 제공해주면 된다. 보다 큰 그림을 이해한 그들은 자신감을 가지고 코드 수정에 임할 수 있게 된다.
시간의 질을 높이는 사랑의 언어 : 법무 팀
조직의 ‘리스크’를 다루고 이해한다는 점에 있어서 보안과 가장 비슷한 성격을 가진 건 바로 법무팀이다. 이들은 리스크라는 것에 대한 깊은 이해도를 보유하고 있으며, 책임 소재를 정하는 데 있어 상당한 실력을 자랑한다. 이들은 의외로 기술적 면에서 비롯되는 리스크를 이해하려는 마음을 풍부히 가지고 있고, 컴플라이언스 문제에 대해서도 민감하게 반응한다. 사이버 보안 담당자들과 공감대를 형성하기 쉬운 자리에 있는 것이다.
이런 법무팀에게 필요한 건 ‘같이 좋은 시간을 보내는 것’이다. 이들은 거의 대부분 사이버 보안의 기술적인 측면을 온전히 이해하고 있지 않은 상태다. 하지만 사이버 보안 사고가 터지면 법정싸움을 진행해야 할 때가 많기 때문에 기술적인 면도 이해하고 싶어 한다. 자세히 알고 싶어 한다. 이럴 때 사이버 보안 담당자가 그 필요를 충분히 채워줄 수 있다. 그런 상태에서 ‘버그바운티’와 같은 프로그램을 진행한다고 해보라. 친절하게 법적 필요 조건들을 알려줄 것이다.
서비스 정신을 통한 사랑의 언어 : 마케팅과 사업 운영 팀
마케팅이나 사업 운영을 담당하는 부서 전문가들은 사이버 보안이 고객들에게 어떤 영향을 미치는가 혹은 미칠 수 있는가에 큰 관심을 가지고 있다. 이런 저런 사이버 보안 사고가 발생했을 때 고객이 보일 수 있는 반응은 물론 새로운 보안 장치를 도입했을 때 고객의 경험에 미칠 영향들에까지, 항상 고객 중심으로 생각하는 사람들이다.
마케팅 및 사업 운영 담당자들을 대할 때 보안 담당자가 집중해야 할 건 ‘왜?’와 ‘어떻게?’이다. 예를 들어 ‘캡챠’를 적용한다고 했을 때 이들에게 이 두 가지를 설명해야 한다. 캡챠를 도입함으로써 고객이 얼마나 안전해지고, 사이트 사용성이 크게 떨어지지 않으며, 시간이 지나면 고객들도 익숙해질 거라는 걸 ‘왜’와 ‘어떻게’라는 관점에서 설명해야 한다. 그냥 ‘안전하다는데 왜 태클을 거십니까?’라는 태도로 말하면 아무도 동의해주지 않는다.
선물을 통한 사랑의 언어 : C레벨 임원들
높은 자리에 있는 분들은, 회사가 겪을 수 있는 가장 위험한 상황에 대해 궁금해 한다. 그렇다면 이 부분을 시원하게 긁어주는 게 보안의 할 일이 된다. 조직을 위협하는 각종 리스크들을 뽑아내고, 우선순위를 정한 후 실질적인 사건 발생 시나리오를 함께 짜서 보고하면, 이들에게 큰 선물이 된다. 물론 그런 일들을 막기 위해 회사가 해야 할 일까지 곁들이는 걸 잊으면 안 된다.
이 선물은 기업을 운영하는 사람들에게 있어 지도와 GPS와 같은 역할을 할 수 있어야 한다. 지도를 보듯이 위협 지형도를 전체적으로 파악할 수 있게 해주고, GPS로 가고 싶은 곳을 정확히 찾듯이 해야 할 일을 구체적으로 알려줘야 한다. C레벨들이 보안에 대해 이해하기 시작하면, 보안 담당자가 원하는 것보다 더한 지원이 시작될 가능성이 높다.
긍정을 통한 사랑의 언어 : 이사회 중역들
중역들 앞에 서게 되면, 아무리 위험하고 심각한 상황도 밝고 아름다운 것처럼 포장하는 경우가 많은데, 이건 결코 좋은 선물도 아니고, 심지어 보안 담당자의 양심도 더럽혀지는 일이다. 위험한 상황을 있는 그대로 가감없이 알려주되, 이해하기 쉬운 배경 지식이나 맥락, 주변 상황과 같은 정보들도 같이 제공하는 것이 좋다. 즉, 그들이 조직의 방향을 결정하는 데 도움이 될 것들을 미리 고민하라는 것이다. 무조건 위험하다는 말은 아무도 기분 좋게 들을 수 없다. 그 위험 속에서도 긍정의 방향을 찾아내는 게 중역들 앞에서 보안 담당자가 할 일이다.
보안 담당자가 할 말의 내용은 언제나 거의 비슷하다. 문제는 그 말을 전하는 방법이다. 어투와 톤, 발화의 순서, 이야기 구성에 따라 좀 더 기억에 남고 사람들의 동의를 이끌어 낼 수 있는 보안이 될 수 있다는 것이다. 사이버 보안은 장기적인 관점이 필요한 분야이고, 그러니 세상에서 가장 오래 남는 것은 사랑이라는 걸 적극 활용하는 지혜를 배워야 한다.
글 : 프레드릭 리(Fredrick Lee), Gusto
[국제부 문가용 기자(globoan@boannews.com)]
사람들의 마음을 오랜 시간 울릴 수 있는 건 사랑...보안도 사랑을 받아야
[보안뉴스 문가용 기자] 사이버 보안이라는 것을 생각할 때 ‘사랑스럽다’는 표현을 먼저 떠올리는 사람은 거의 없을 것이다. 오히려 어둠 속에서 후드를 뒤집어 쓴 공격자(보통 해커라고 불린다)와, 그를 추적하는 보안 전문가 사이의 암투 - 키보드 위에서 진행된다 - 가 오히려 이 계통에 대한 보편적 이미지에 가깝다. 심지어 이런 세상이 존재한다는 걸 모르는 사람이 더 많을 수도 있다.
[이미지 = iclickart]
물론 그런 이미지가 완전히 잘못되었다고만은 말할 수 없다. 사이버 보안은 누구나 쉽게 다가갈 수 있는 친절한 분야가 아니다. 보안 담당자들만 하더라도, 보안을 이유로 매우 딱딱하고 비밀스러운 태도를 유지하는 사람들이 많다. 이것도 안 돼. 저것도 안 돼. 거절의 대답만 나오는 것이 보안 담당 부서라는 선입견이 국적 불문 어디나 통용될 정도다. 하지만 필자의 경험 상 사이버 보안은 이런 방어적 태도만으로는 장기적인 성과를 거두기 힘들다. 장기적 성공을 위해선 사이버 보안도 사랑받는 존재가 되어야 한다.
‘사랑의 언어’라는 개념을 들어보았나? 사랑을 표현하는 사람들의 다섯 가지 방법 말이다. 보안에도 이 개념을 적용하는 게 가능하다. 특히 보안이라는 주제로 사람들과 소통을 하는 데에 있어 사랑의 언어가 좋은 작용을 할 수 있다. 이를 조금 더 구체적으로 풀어보면 다음과 같다.
촉각을 통한 사랑의 언어 : 엔지니어
한 가지는 확실하게 짚고 넘어가자. 여기서 촉각의 언어를 언급했다고 해서 엔지니어의 손을 한 번 잡아주라거나 안아주라는 건 아니다. 그들도 그걸 바라는 건 절대 아니다. 그들이 코드를 만들거나 구축하는 동안 ‘도움을 받고 있다’는 느낌을 주는 게 중요하다. 사업의 성패를 짊어지고 코드를 들여다보는 그들은, 마치 무거운 짐을 혼자 지고 있는 듯한 기분을 느낀다. 그럴 때 그 무게를 조금이라도 같이 감당할 손길이 필요하다. 그 위에 올라 타 앉는다면 그들은 폭발할 것이다.
이게 무슨 말이냐면, 엔지니어들에게 시도 때도 없이 보안 교육(보안 잔소리에 가까울 것이다)을 실시하지 말라는 것이다. 또한 친화력을 높인다고 그들에게 시도 때도 없이 엔지니어링 교육을 받는 것도 좋은 접근법이라고 하기 어렵다. 그들이 애써 만들어 놓은 코드를 보고 “SQL 주입 취약점 있으니 고쳐”라고만 말하는 대신, 익스플로잇에 대한 컨텍스트 정보를 함께 제공해주면 된다. 보다 큰 그림을 이해한 그들은 자신감을 가지고 코드 수정에 임할 수 있게 된다.
시간의 질을 높이는 사랑의 언어 : 법무 팀
조직의 ‘리스크’를 다루고 이해한다는 점에 있어서 보안과 가장 비슷한 성격을 가진 건 바로 법무팀이다. 이들은 리스크라는 것에 대한 깊은 이해도를 보유하고 있으며, 책임 소재를 정하는 데 있어 상당한 실력을 자랑한다. 이들은 의외로 기술적 면에서 비롯되는 리스크를 이해하려는 마음을 풍부히 가지고 있고, 컴플라이언스 문제에 대해서도 민감하게 반응한다. 사이버 보안 담당자들과 공감대를 형성하기 쉬운 자리에 있는 것이다.
이런 법무팀에게 필요한 건 ‘같이 좋은 시간을 보내는 것’이다. 이들은 거의 대부분 사이버 보안의 기술적인 측면을 온전히 이해하고 있지 않은 상태다. 하지만 사이버 보안 사고가 터지면 법정싸움을 진행해야 할 때가 많기 때문에 기술적인 면도 이해하고 싶어 한다. 자세히 알고 싶어 한다. 이럴 때 사이버 보안 담당자가 그 필요를 충분히 채워줄 수 있다. 그런 상태에서 ‘버그바운티’와 같은 프로그램을 진행한다고 해보라. 친절하게 법적 필요 조건들을 알려줄 것이다.
서비스 정신을 통한 사랑의 언어 : 마케팅과 사업 운영 팀
마케팅이나 사업 운영을 담당하는 부서 전문가들은 사이버 보안이 고객들에게 어떤 영향을 미치는가 혹은 미칠 수 있는가에 큰 관심을 가지고 있다. 이런 저런 사이버 보안 사고가 발생했을 때 고객이 보일 수 있는 반응은 물론 새로운 보안 장치를 도입했을 때 고객의 경험에 미칠 영향들에까지, 항상 고객 중심으로 생각하는 사람들이다.
마케팅 및 사업 운영 담당자들을 대할 때 보안 담당자가 집중해야 할 건 ‘왜?’와 ‘어떻게?’이다. 예를 들어 ‘캡챠’를 적용한다고 했을 때 이들에게 이 두 가지를 설명해야 한다. 캡챠를 도입함으로써 고객이 얼마나 안전해지고, 사이트 사용성이 크게 떨어지지 않으며, 시간이 지나면 고객들도 익숙해질 거라는 걸 ‘왜’와 ‘어떻게’라는 관점에서 설명해야 한다. 그냥 ‘안전하다는데 왜 태클을 거십니까?’라는 태도로 말하면 아무도 동의해주지 않는다.
선물을 통한 사랑의 언어 : C레벨 임원들
높은 자리에 있는 분들은, 회사가 겪을 수 있는 가장 위험한 상황에 대해 궁금해 한다. 그렇다면 이 부분을 시원하게 긁어주는 게 보안의 할 일이 된다. 조직을 위협하는 각종 리스크들을 뽑아내고, 우선순위를 정한 후 실질적인 사건 발생 시나리오를 함께 짜서 보고하면, 이들에게 큰 선물이 된다. 물론 그런 일들을 막기 위해 회사가 해야 할 일까지 곁들이는 걸 잊으면 안 된다.
이 선물은 기업을 운영하는 사람들에게 있어 지도와 GPS와 같은 역할을 할 수 있어야 한다. 지도를 보듯이 위협 지형도를 전체적으로 파악할 수 있게 해주고, GPS로 가고 싶은 곳을 정확히 찾듯이 해야 할 일을 구체적으로 알려줘야 한다. C레벨들이 보안에 대해 이해하기 시작하면, 보안 담당자가 원하는 것보다 더한 지원이 시작될 가능성이 높다.
긍정을 통한 사랑의 언어 : 이사회 중역들
중역들 앞에 서게 되면, 아무리 위험하고 심각한 상황도 밝고 아름다운 것처럼 포장하는 경우가 많은데, 이건 결코 좋은 선물도 아니고, 심지어 보안 담당자의 양심도 더럽혀지는 일이다. 위험한 상황을 있는 그대로 가감없이 알려주되, 이해하기 쉬운 배경 지식이나 맥락, 주변 상황과 같은 정보들도 같이 제공하는 것이 좋다. 즉, 그들이 조직의 방향을 결정하는 데 도움이 될 것들을 미리 고민하라는 것이다. 무조건 위험하다는 말은 아무도 기분 좋게 들을 수 없다. 그 위험 속에서도 긍정의 방향을 찾아내는 게 중역들 앞에서 보안 담당자가 할 일이다.
보안 담당자가 할 말의 내용은 언제나 거의 비슷하다. 문제는 그 말을 전하는 방법이다. 어투와 톤, 발화의 순서, 이야기 구성에 따라 좀 더 기억에 남고 사람들의 동의를 이끌어 낼 수 있는 보안이 될 수 있다는 것이다. 사이버 보안은 장기적인 관점이 필요한 분야이고, 그러니 세상에서 가장 오래 남는 것은 사랑이라는 걸 적극 활용하는 지혜를 배워야 한다.
글 : 프레드릭 리(Fredrick Lee), Gusto
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
