CxO가 읽어야할 정보보안

뻔한(?) 책이 아닐까 했는데 저자가 현장을 상당히 많이 경험해 본 분이라는 생각이 들었다. 몇몇 구절때문에 이런 상사밑에서 일하면 일할 맛이 좀 나지 않을까 싶다.

좀 살펴보자면,

(43페이지) 정보보호 조직장의 직급과 직책을 전사적으로 힘을 발휘할 수 있는 수준으로 만들어야 한다. 일할 수 있는 환경을 만들어 주고 일을 시켜야 일이 제대로 돌아간다.

→ 일하는 환경은 관심 없는 상사가 있다. 타 부서에 지시할 권한이 없는데 자꾸 지시하라고 시킨다. (본인은 절대 나서지 않는다)

→ 현실적인 한계를 건의해도 '적극적, 능동적' 자세나 정신력을 강조하며 막연하게 뭔가 더 열심히 할 것을 지시한다.

→ 부하직원 닥달이 심할수록 총대를 메주는 일은 없다. 반면 임원, 사장 보고에는 목숨을 건다. 충성스러운 비효율일까? 인생의 지혜일까?

(113 페이지) 보안 업무는 운영성이 많아서 '잡일성 ' 업무가 많다. 눈에 잘 띄지 않더라도 꼭 필요한 일을 했다면 그것을 업무 성과로 인정해야 한다.
→ 새로운 업무를 개발하라는 상사가 있다. 그런데 그러다 기존 업무에 공백이 발생해도 책임져 준다는 상사는 못봤다.

(262 페이지) 정보보호 인증의 목적
1. 규제 대응
→ 정보보호 인증이라는 면제부를 받는다. (규제 산업)

2. 정보보호 이미지 제고
→ ISMS도 좋지만 ISO27001, BS7799 이런 거 있으면 폼 난다.
→ 문서로 시작해서 문서로 끝나는 이런 인증들은 왜 필요할까? 경영자는 투자 효과를 입증할 책임이 있는데, 원래 정보보안은 (돈을 버는 것도 아니고 해서) 뚜렷한 투자 효과가 잘 안 드러난다. 결국 이런 저런 규정 만들어 놓고 문서화로 퉁.
→ 어려운 기술 얘기 안 해도 경영자 등 윗선에 어필하기 좋다.

돈으로 하는 것이 아니라 정보보호 관리체계를 만들어 가는 것이라고. 실제로 자동화 된 솔루션 없이도 인증을 통과하는 기업체도 있다. 설비가 좋기 보다는 정보보호를 하려는 전사적인 임직원의 관리체계, 조직의 분위기와 개선 노력이 인증심사의 기준

버젓이 인증을 받아놓고도 막지 못했던 보안사고들을 굳이 들먹일 필요는 없을 듯하다. 의지를 다지고 주의를 환기시켜줄 수는 있지만 전쟁에서 승리하기 위한 조건으로는 절대 부족한 '육군 복무신조'와 같은 것이 정보보호 인증의 현주소.

육군 복무신조          우리는 국가와 국민의, 충성을 다하는 대한민국 육군이다.      하나. 우리는 자유민주주의를 수호하며 조국통일의 역군이 된다.          둘. 우리는 실전과 같은 훈련으로 지상전의 승리자가 된다.          셋. 우리는 법규를 준수하고 상관의 명령에 복종한다.          넷. 우리는 명예와 신의를 지키며 전우애로 굳게 단결한다.

저자 역시 비슷한 얘기를 한다.

정보 자산의 보안 위험을 평가하고 이에 대한 정보보호 대책을 수립하여 시행하는 체계를 갖추는 것에 핵심 목적이 있다. 정보보호는 결국 기업 스스로 해 나가야 할 문제이기 때문 (265 페이지)

자동차 시동 걸리고, 브레이크/엑셀 작동하는 거 인증해줬으니 서울 가든, 부산 가든 운전자 알아서 할 문제라는 것. 차이가 있다면 차를 몰아서 원하는 목적지로 가는 건 일반적으로 그리 어려운 문제가 아닌데, 보안 위협을 감지하고, 대응하는 건 일반적으로 매우 어렵다는 것. (자동차 산업만큼의 역사가 쌓이면 해결되려나?)

그동안 경험해 본 국내외 정보보호 인증 과정을 떠올려 보면 보안 수행 조직 OK, 방화벽 등 보안장비 도입 OK, 보안 정책 운영 OK, 전산실 관리 OK, 뭐 이런 식으로 문서를 하나 하나 만들어 간다.

그런데 정작 보안장비에서 로그가 얼마나 발생했는지, 그 중 공격 시도가 얼마나 있었는지, 그리고 얼마나 처리했는지 이런 건 체크리스트에 없다. 왜 없을까?

3. 정보보호 수준의 객관적 평가와 실질적인 향상
→ 저자는 건강상태를 측정하는 건강검진처럼 회사의 정보보호 수준을 알기 위해 하는 것이라고 했는데 과연 정보보호 수준을 얼마나 정확하게 측정할 수 있을까?

'측정할 수 없으면 관리할 수 없다'는 피터 드러커의 경구를 저자도 인용했지만 정보보호 수준을 측정하는 분야의 전문성은 실제 수준을 측정하고, 그 수준을 '수치'로 공개하는 사례를 (미국에서도) 찾아볼 수 없는 수준이라서(..)

• Lemons Market

그리고 이 책이 좋은 얘기를 많이 하고 있지만 

기술된 내용들을 잘 숙지한다고 해서 그게 CxO, 리더의 최우선 덕목인지는 모르겠다. 조직이 커질수록 리더가 모든 실무를 다 챙기기는 어려우니까. 그래서 민간이나 공공이나 밑에서 올라온 정보를 가지고 판단을 하는 리더의 역할은 다 비슷할 것이다.

설령 정보까지 직접 만드는 리더가 있더라도 당장 유능하고 부지런한 리더는 주목받겠지만 조직은 무능해질 가능성이 높지 않을까? 일일이 지시해서 또는 직접 정보를 만들고 판단하던 리더가 사라지면 그 조직은 스스로 업무를 수행할 능력을 기를 때까지 시간이 걸릴테니까.

그래서 리더의 가장 중요한 역할은 조직이 자신의 능력을 최대한 발휘할 수 있는 여건을 만들어 주고, 그런 여건에서 만들어진 정보를 잘 활용함으로써 조직의 위상을 높이는 것이라고 생각한다. 저자 역시 비슷한 생각인 듯.

회의를 통해 보안 실무자들이 의견을 많이 낼 수 있도록 하면, 많은 부분을 보완할 수 있고, 보안책임자는 전사적인 상황, 해당 부서의 업무 환경, 업무 우선순위 등을 보완해서 필요한 의사결정을 할 수 있다. 상세하게 들었다고 해서 세부적인 내용을 정보보호 책임자가 직접 지시하지 않도록 조심하자. (291 페이지)

그런데 만약 전문성이 부족한 리더가 조직의 의견까지 존중하지 않는다면 어떨게 될까? '하라면 하지 무슨 말이 그렇게 많아 ' 식의, 무엇을 해야 할지는 모르지만 조직원의 조언을 거부하고 권위만을 내세우는 리더가 버티고 있다면 조직원들은 소신대로 판단하고 실행하기보다는 리더의 눈치만을 살피게 될 것이다.

보통 사람들은 리더의 성향에 따라 행동한다. 리더가 언제 칭찬하고, 언제 심기가 불편해지냐에 따라 조직원의 행동은 변하게 마련.

• 무능한 상사일수록 직원에게 가혹하다

그런 사람이 상사라면?

실무 전문가들이 소신껏 판단하고, 그 판단을 상사나 상부에 보고할 수 있으며, 그런 판단이 존중되는 환경이 조성되지 않는다면 조직이 제대로 굴러가기 어렵다고 본다. 괜히 나섰다가 욕 먹느니 그냥 하던대로, 시키는대로 하는 게 낫기 때문.

세속적 지혜에 의하면 관례를 거슬러 성공하는 것보다 관례를 따르다 실패하는 쪽이 평판에 유리하다 - 운과 실력의 성공 방정식 (235페이지)

리더가 중요한 건 맞지만 자신이 잘나서 자신의 성과를 만드는 리더가 아니라, 조직이 리더 눈치보지 않고 스스로 잘하게 만들어주는 게 진정한 리더의 역할이 아닐까 한다. 그런 가치관을 가진 리더가 전문성까지 가지고 있다면 더할 나위 없겠지. 뭐 이상향일 뿐이다. 모두 이순신을 원하지만 현실은 원균만 아니면 다행이니까.

• 권율 장군의 지시를 어긴 조경, 그리고 행주대첩

결국 CxO는 커녕 승진이라도 해볼래면 일단 현재 상사의 인정을 받아서 계속 승승장구 해야 하는데, 그럴려면 실제 보안이야 어찌되든, (상사의 입맛에 맞는) 업무 성과를 많이 내야 한다. 훌륭한 CxO가 되려면 훌륭한 CxO를 만나야 한다.

사족
리더, 리더십 관련 글이나 책은 많지만 그런 글을 많이 읽는다고 해서 좋은 리더가 될 거라는 생각은 들지 않는다. 물론 그런 노력 자체가 좋은 리더의 가능성을 보여주긴 하지만, 결국 나고 자란 환경의 지배를 받는 인성의 문제가 아닐까 싶다.