[ET단상]보안에는 왕도가 없다?

　이집트의 왕 프톨레마이오스 1세가 수학자인 유클리드에게서 수학을 배우고 있었다. 기하학이 너무 어려웠던 왕이 물었다.

　“기하학을 좀 더 쉽게 공부하는 방법이 없겠소?”

　그러자 유클리드는 “왕이시여, 길에는 왕께서 다니시도록 만들어놓은 왕도가 있지만, 기하학에는 왕도가 없습니다”며 딱 잘라 말했다.

　흔히 쓰이는 문구인 ‘왕도가 없다’에서의 왕도(王道)는 본래 페르시아가 왕의 명령을 신속하게 전달하기 위해 만든 길로, 이 길을 통했을 때에 보통 3개월 정도 소요됐던 거리를 단 1주일 만에 주파할 수 있었다고 한다. 그래서 왕도는 목적지에 가장 빠르게 도달하는 길, 즉 지름길이라는 의미를 갖게 됐다.

　최근 ‘보안’이 큰 화두로 등장하고 있다. 공공기관이나 대형 통신사, 온라인 쇼핑몰 등의 해킹으로 피해가 일파만파 커지면서 우리의 보안 환경이 얼마나 취약한지 돌아보는 계기가 됐다. 그렇다면 혹시 이러한 위험에서 조직의 자산을 보호할 수 있는 방법, 특별한 왕도가 있을까. 보안업계에 있다는 이유로 이러한 질문을 종종 받는다.

　그러나 대답할 수 있는 것은 ‘왕도는 없다’는 것이다. 아니 오히려 질문을 하는 사람들이 왕도가 무엇인지 잘 알고 있다. 보안이라고 하는 놈은 매우 까다로워서, ‘기능과 예산’ ‘신뢰와 위험 감수’ 사이에서 제대로 된 균형을 잡아가야 한다. 1주일 초단기 속성 보안교육 과정 같은 것이 있을 리 만무하지만, 혹여 있다고 하더라도 조직과 외부 환경에 따라 고난도의 균형을 이뤄가는 것을 짧은 기간에 배울 수는 없을 것이다.

　보안에 절대적인 정답과 왕도는 없을지 몰라도, 치명적인 위험에서 조금이나마 멀어지게 하는 방법은 분명 있다. 뛰어난 성능의 제품을 도입하고, 정교한 정책으로 조직을 관리하는 것은 기본이다.

　우리 조직에 존재하고 있는 유형 혹은 무형 자산을 보호하기 위해서는 단편적인 정보보호 대책이나 일회성 관리에서 진일보해 지속적이고 체계적인 관리 체계 수립이 필요하다. 또 조직·관리·운영·기술 통제를 실시해야 할 것이다.

　보안의 중요성을 인식해 여러 가지 방안을 마련했다고 한다면, 이제는 그 다음 단계로 넘어가야 한다. 조직에 속해 있는 인력의 정보보호 인식을 제고하고 수준을 향상시키기 위한 교육에 힘쓰는 것이 그것이다. 가장 중요한 것은 바로 사람이기 때문이다.

　정보보호는 그것을 운용하는 사람의 의식과 기술에 따라 조직의 운명이 좌우될 정도로, 사람에서 시작해 사람으로 끝난다. 수많은 조치나 시스템만으로는 해결할 수 없다. 그야말로 지속적으로 사람들의 의식을 향상시켜야 한다.

　보안을 담당하는 어느 부서나 전문가만의 노력으로는 결코 정보보호 수준을 높일 수 없으며, CEO부터 시작해 전 직원에 이르기까지 기업 구성원 전부가 참여해야 한다. 기업이 보유하고 있는 유무형의 자산을 안전하게 보호하기 위한 지름길은 없지만, 조직의 가장 근본이 되는 ‘사람’ 부분에 신경을 쓰고 투자하게 된다면 효과적인 보안을 수행할 수 있을 것이다.

　아무리 많은 투자와 연구를 한다고 해도 완벽한 보안이란 있을 수 없고, 투자를 한다고 해도 가시적인 성과를 계산하기조차 힘들다. 게다가 보안 강도를 높일수록 사용자가 느끼게 되는 불편은 점점 커져간다.

　오히려 단기간에 완벽한 체계를 이루겠다는 조급한 생각은 버리고 조직 안에 보안에 대한 인식이 스며들어갈 수 있도록 해야 할 것이며, 올바른 인식이 지속적으로 유지될 수 있도록 지원을 아끼지 말아야 할 것이다.

　기업을 이끄는 최고 경영자는 확고한 의지를 가지고, 조직의 특성에 맞는 현실적이고 효과적인 정보보호 체계가 수립될 수 있도록 관심을 가져주기 바란다. 사건이 터졌을 때 일회성으로 갖는 관심이 아니라 지속적인 관심이 필요하다. 이러한 일련의 모든 행위야말로 보안을 차근차근 완성시키는 ‘왕도’가 아닐까.

　 이득춘 이글루시큐리티 사장 dclee@igloosec.com