[기고] 인간 중심의 산업보안 패러다임 전환: 사이버 위생관리를 시작으로

이환수 단국대학교 산업보안학과 교수

RSA 콘퍼런스는 약 4만5000명이 참여하는 세계 최대의 사이버보안 콘퍼런스이자 전시회다. RSA 콘퍼런스에서는 매해 새로운 주제를 중심으로 전 세계 보안 전문가의 발표와 보안 기업들의 솔루션 전시가 이루어진다. 지난해 개최된 RSA 2020에서는 인간 요소(Human Element)가 콘퍼런스의 대주제가 되면서 최근 인간중심 보안이 새로운 패러다임으로 주목받고 있다. 올해 온라인으로 개최된 RSA 2021에서도 ‘회복력(Resilience)’을 강조하였는데 이러한 사이버 회복력 강화의 중심에는 효과적인 보안 조직과 이들의 협업을 통해서만 가능하다는 점에서도 궤를 같이한다고 볼 수 있다. 우리나라에서도 이러한 새로운 보안 패러다임을 선도하기 위해 인간중심 보안(People-Centric Security) 포럼이 최근 발족되었다. 중앙대 명예교수인 김정덕 포럼 의장을 중심으로 각계의 보안전문가 40여 명이 참여하여 보안에 있어 사람이 문제이자 해결책이라는 새로운 명제를 중심으로 인간중심 보안 패러다임을 이끌고 있다.

인간중심 보안이란 과거의 기술이나 시스템에 의존적인 보안활동에서 벗어나 인간이 보안활동의 중심에 서야 한다는 개념이다. 인간중심의 보안이 중요한 이유는 실제 보안 공격의 원인이며, 보안 활동에서 가장 약한 연결고리이고, 공격의 수단이 되기도 하며, 사고 발생 이후 해결의 당사자가 바로 인간이기 때문이다. 결국 보안 사고의 핵심 요소인 인간에 대한 고려 없이 시스템을 중심으로 한 전통적인 보안전략은 한계가 있다는 것이며, 보안의 주체인 인간에 대한 이해와 이들에 대한 변화 노력이 수반될 때 더욱 강력한 보안 활동이 가능하다는 의미다. 실제로 사용자의 부주의나 실수로 인한 보안사고의 비율이 높다는 점과 시스템만으로는 대응에 한계가 있는 지능형 사이버 공격의 증가, 최근 코로나로 인한 원격근무자에 대한 보안관리 필요성 등은 인간중심 보안에 대한 활발한 논의가 필요함을 보여준다.

산업보안의 영역에 있어서도 기술유출 범죄의 주된 원인이 경제적 이득을 위한 핵심인력의 관리 부실이라는 점에 비추어 볼 때 범죄 행위의 주체이자 매개체이면서 관리 책임자인 인간에 대한 이해를 중심으로 산업 보안전략 수립이 되어야 하는 것은 자명하다. 그러나 인간중심 보안 패러다임 전환을 위해서는 학계의 이론적 논의는 더욱 활발해질 필요가 있다. 산업계의 트렌드 리딩과 학계의 이론적 기반이 서로 맞물릴 때 변화를 위한 임계점을 넘어설 수 있는데 아직까지는 인간중심 보안에 대한 개념과 전체적인 방향성에 대한 합의만 있을 뿐 다양한 연구를 통한 학술적 논의가 부족하다. 기업의 입장에서 인간중심의 보안전략을 구체적으로 어떻게 수립하고 이행해야 할 것이냐에 대한 답은 아직 미흡하기 때문이다. 

인간중심의 보안전략 추진을 위해 기업이 적용해 볼 수 있는 개념 중 하나가 개인별 사이버 위생(Hygiene) 관리이다. 사이버 위생관리란 조직 내 구성원들이 사이버 보안 위험을 예방하기 위한 최소한의 수칙 정도로 정의할 수 있다. 예를 들자면 업무 활동 중에 위험한 링크나 의심스러운 파일은 클릭을 피하라고 한다거나 의심스러운 보안 위험 발견 시 내부 보고 채널을 통해 담당자에게 보고하라고 한다든지 등과 같은 구체적인 지침을 마련하여 구성원들이 스스로 이행할 수 있도록 정책을 마련하는 것이다. 물론 유사한 보안 정책들이 기업 내에 수립되어 있으나 대부분 관리적 차원에서 규정화되어 있고 일반 구성원들이 이해하기 어려운 개념들이 많아 그 실효성은 높지 않은 경우가 많다. 모든 구성원들이 보안 활동의 주체가 되어 적극적인 보안 활동에 참여하기 위해서는 기업 내 모든 구성원들이 즉각 행동에 옮길 수 있는 보안 위생관리 지침들이 수립되는 것이 선행될 필요가 있다. 

또한, 이러한 사이버 위생관리를 개인적 차원이 아닌 조직 차원의 하비투스(Habitus)로 내재화할 필요가 있다. 간단히 비교하자면 조직 문화는 조직 내 퍼져 있는 공유된 규범과 가치라고 한다면 하비투스는 반복적인 행동을 통해 구성원들 내면 깊숙이 뿌리내린 성향이나 행동 양식을 의미한다. 조직문화는 다소 추상적이고 선택적이라고 한다면 하비투스는 구체적이고 조직 내 개인들에게 이미 내재화된 개념이다. 즉, 어떠한 상황에서 개인의 의지와 관계없이 자연스럽게 반사적으로 행하게 되는 행동을 일컫는다고 할 수 있다. 기업의 보안 관리에 있어서도 사이버 위생 관리와 같은 지침을 의무나 규칙으로 받아들이기보다는 조직 전체의 하비투스로 성공적으로 내재되었을 때 외부로부터의 보안 공격에 안전하게 대응할 수 있게 된다. 우리가 코로나로 인해 매일같이 쓰고 생활하는 마스크를 벗고 있으면 이제는 어딘가 어색하고 불안한 것처럼 말이다. 인간중심 보안전략 추진과 실행에 있어서 산업보안에 대한 중요성과 대응 양식 또한 어떻게 조직 구성원들에게 인식시키고 내재화해 나갈 것인가를 이제는 고민해야 할 때이다.

- 이 글은 국가정보원 산업기밀보호센터 및 (사)한국산업보안연구학회 공동기획 기고문 입니다.