보안산업에도 병법이 필요하다

양광수 기자 ksyang@ciociso.com

금융권은 물론 일반 산업군까지 ‘보안과의 전쟁’이 이어지고 있다.
일순간의 방심으로 인한 기업들의 피해는 나날이 커지고 있고, 정보유출로 인한 소비자 신뢰도 하락은 금전으로 매길 수 없을 정도로 치명적으로 다가오고 있다. 기업과 CEO들은 평소에 자신들이 보안을 등한시하는 것도 아닌데, 한 순간의 실수로 모든 책임이 자신들에게 돌아오니 ‘억울해서 팔짝 뛸‘ 지경이라고 전한다.
이러한 시기에 기업의 C레벨 임원들에게 전하고 싶은 ‘전략’은 기원전 381년 중국 제자백가(諸子百家) 시대에 무패신화를 썼던 오기(吳起)의 오자병법(吳子兵法)이다. 오자병법은 손자병법과 쌍벽을 이루는 병법서로써 손자병법이 주로 전투 현장에서의 효과적인 용병술을 강조하는 데 반면, 오자병법은 국가 차원의 전쟁수행능력을 강조하는데 역점을 두었다.
이를 현재 보안상황하고 결합해본다면 어떨까? 아래는 오자병법의 주요한 사상이다.
전쟁과 보안은 분명 각기 다른 속성을 지니고 있다. 그러나 오자가 병법을 통해 시사하는 바는 기업에 있어 분명한 의미를 지닌다.
보안이라는 것은 다양한 솔루션으로 결정지어지는 것이 아니라, 얼마나 임직원이 보안을 실천하려 하는가에 달려 있다.
하지만 이를‘이끄는’것은 보안담당자로서 굉장히 어려운 일이다. 보안이라는 것은 시스템이 아니라 평소 습관에서 시작된다.
또한 보안담당자들에 벌만 있고, 상이 없는 것도 생각해봐야 할 문제이다. 기업에 있어 아무 일이 없다는 것은 기업보안이 정상적으로 돌아가고 있다는 것이다. 그렇다고 보안 담당자가 다른 부서원처럼 보상이 주어지는 경우는 매우 드물다.
임직원이 보안을 위해 스스로 나서게 만드는 기업문화를 만드는 것도 중요한 일이다. 오자는 장군이 되자 가장 신분이 낮은 병졸과 같은 옷을 입고 식사를 함께했다고 전해진다. 기업보안에 있어 C레벨 임원들은 불편하다는 이유로 보안프로세스 상에 예외를 요구하는 경우가 많다. 그러나C레벨 임원 스스로가 보안을 실천한다면 그에 따르는 많은 직원들이 보안문화를 만드는데 지지를 할 것이다.
또한 기업마다 각기 보안에 대한 전략전술이 달라야 하는 점도 필요하다. 보안에 있어 전기(轉機)란 직원들의 보안의식, 보안공격에 대한 정보, 기업이 가질 수 있는 총체적 보안솔루션 등이 있다. 이를 통해 인적·물적 자원을 결합하고 보안에 기동성을 갖추고 기민하게 전략과 전술을 펼쳐야 보다 안전한 보안을 완성할 수 있다.
마지막으로 보안은 보안업무에 적용되는 사례들을 접하고 관련 지식을 쌓는데 노력을 아끼지 말아야 한다.
전란의 시대에 오자는 약한 군대로 강한 군대를 물리침으로써 자신의 병법을 역사에 남겼다. 전란의 시대와 마찬가지로 기업의 보안을 책임지는 CEO와 CISO에게 최근의 보안환경은 가혹하기 짝이 없다. 보안공격은 나날이 다양해지고 빈번해지는데, 통합보안은 갈길이 멀다. 오자병법을 통해 기업 보안에 대한 새로운 시각을 가져 기업의 통합보안을 이끄는 것도 C레벨이 고려할만한 하나의 해답이 될 수 있을 것이다.