아무도 인정하지 않는 사실이 있다. 방화벽이 문제가 아니다. SIEM도 문제가 아니다. 방금 도입한 최신 EDR 도구 역시 문제의 본질이 아니다.
문제는 더 복잡한 비밀번호를 외우기 귀찮다는 이유로 ‘Password123’을 사용하는 회계팀의 누군가다. 문제는 제로 트러스트를 말하면서도 CEO 개인 기기에 대해서는 예외를 승인하는 CISO다. 문제는 보안이 일을 느리게 만든다는 암묵적인 규칙으로 인해 모두가 각자 우회 방법을 찾게 되는 상황이다.
경영학자 피터 드러커의 말로 알려진 유명한 문구가 있다. 문화는 아침 식사로 전략을 먹는다. 사이버 운영에서는 점심 식사로 보안 태세까지 집어삼킨다. 이 사실은 3년 전 한 중견 금융사가 수백만 달러를 보안 인식 교육에 투자하고도 계속 피싱 공격을 당한 이유를 분석해 달라며 동료를 영입했을 때 뼈저리게 깨달았다. 해당 기업의 정책은 흠잡을 데 없었고, 기술 스택은 인상적이었으며, 사고 대응 계획은 상을 받아도 손색이 없을 수준이었다.
그러나 조직 문화가 깊은 곳부터 썩어 있었다.
문화는 여러 레이어로 존재한다. 겉으로 보이는 모습만으로는 실제로 무슨 일이 벌어지고 있는지 거의 알 수 없다. 이를 이해하려면 드러난 문화, 드러나지 않은 문화, 암묵적 문화라는 3가지 뚜렷한 차원을 함께 살펴봐야 한다. 이 중 어느 하나라도 놓치면 보안 프로그램은 모래 위에 지은 집처럼 불안정해질 수밖에 없다.
드러난 문화 : 실제로 눈에 보이는 것들
드러난 문화는 눈에 보이고 손에 잡히는 모든 요소를 의미한다. 보안 정책과 절차, 휴게실에 붙은 보안 인식 포스터, 스마트폰을 보며 형식적으로 클릭만 하는 필수 교육 모듈이 여기에 해당한다.
대부분 조직은 이 단계에서 멈춘다. 47쪽 분량의 보안 정책을 만들고, 연간 교육을 의무화하며, 몇 가지 모니터링 도구를 배포한 뒤 일을 끝냈다고 여긴다. 체크 완료, 규정 준수 달성. 모두가 만족한 채 자리에서 일어난다.
하지만 실제로 이를 실천하지 않는다면, 그 모든 것은 아무 의미가 없다.
드러난 문화에는 공식적인 보안 프로토콜과 사고 대응 계획, 접근 제어 체계가 포함된다. 비밀번호 관리 습관, 기기 관리 방식, 수상한 이메일 신고 여부 등 구체적인 행동도 여기에 속한다. 어떤 기술을 도입했고, 위협에 대해 조직이 어떻게 소통하는지도 드러난 문화의 일부다.
이런 요소들은 측정할 수 있고, 감사할 수 있으며, 스프레드시트로 정리해 이사회에 보고할 수도 있다.
그러나 드러난 문화는 가장 가장 꾸며내기 쉬운 영역이기도 하다. 사람들은 이른바 ‘보안 연극’을 익히게 된다. 무엇을 해야 하는지 알고 있고, 무엇이 평가 대상인지도 알고 있다. 그 결과 지적을 피할 만큼만 행동하면서, 보이지 않는 곳에서는 여전히 위험한 행위를 이어간다.
2013년 타깃(Target) 침해 사고를 보자. 타깃은 160만 달러를 들여 파이어아이(FireEye) 악성코드 탐지 시스템을 도입했다. 이 시스템은 설계된 역할을 정확히 수행했다. 악성코드를 탐지했고, 경고를 보냈다. 그것도 여러 차례였다.
하지만 보안팀은 그 경고를 무시했다. 정책과 절차가 존재했고, 기술도 갖추고 있었다. 그러나 ‘드러난 문화’의 레이어는 실제 운영과 분리돼 있었다. 도구는 있었지만, 후속 조치는 없었다. 이 침해 사고로 4,000만 건의 신용카드 정보가 유출됐고, 타깃은 합의금으로 2억 달러가 넘는 비용을 부담했다.
사이버 운영에 미친 영향은 치명적이었다. 실패한 것은 도구가 아니었다. 드러난 문화, 즉 눈에 보이는 보안 체계가 현실과 단절된 채 존재하고 있었다. 운영 문화가 경고를 소음으로 취급한다면, 아무리 많은 보안 통제를 갖춰도 의미가 없다. 타깃의 사고 대응 계획은 문서상으로는 훌륭해 보였다. 그러나 경고가 울렸을 때 아무도 움직이지 않았다. 문서화된 절차와 실제 행동 사이의 간극은 트럭이 지나갈 수 있을 만큼 큰 사각지대를 만들어냈다.
앞서 언급한 그 금융사도 마찬가지다. 드러난 문화만 놓고 보면 완벽했다. 모든 직원이 교육을 이수했고, 정책은 문서화돼 서명까지 마쳤으며, 보안 도구도 배포되고 설정돼 있었다.
하지만 더 깊이 들여다보자 전혀 다른 모습이 드러났다. 개발자들은 배포 속도를 늦춘다는 이유로 보안 통제를 상시로 꺼두고 있었다. 임원들은 접근 요청을 기다리는 것이 번거롭다며 계정을 공유하고 있었다. 심지어 누구도 인정하려 하지 않는 그림자 IT 생태계가 조직 곳곳에 자리 잡고 있었다.
드러난 문화는 구조를 제공한다. 그러나 실체가 없는 구조는 그저 연극에 불과하다.
드러나지 않는 문화 : 보이지 않는 동인
여기서부터 흥미로워진다.
드러나지 않은 문화는 사람들의 머릿속에서 벌어지는 모든 것을 의미한다. 사이버 위험에 대한 개인의 인식, 보안에 대한 태도, 보안이 편의성이나 속도와 충돌할 때 무엇을 우선시하는지에 대한 가치 판단이 여기에 포함된다.
실제 의사결정은 바로 이 지점에서 이뤄진다.
“우리 회사는 규모가 작아서 공격 대상이 되지 않는다”라거나 “보안은 IT 부서의 일이지 내 일이 아니다”라는 믿음은 눈에 보이지 않는다. 규정 준수가 곧 보안이라는 가정도 측정할 수 없다. 실수를 보고하면 커리어에 불이익이 있을 것이라는 막연한 두려움 역시 감사 대상이 아니다.
그러나 이런 보이지 않는 힘은 구성원이 내리는 모든 보안 관련 결정에 영향을 미친다.
드러나지 않은 문화에는 위협이 발생할 가능성과 그 심각성에 대한 인식이 포함된다. 보안과 생산성 사이에서 무엇을 더 중시하는지에 대한 판단도 여기에 속한다. 리더십에 대한 신뢰 수준, 실수를 인정하려는 태도 역시 중요한 요소다. 위험 인식을 왜곡하는 각종 인지 편향도 빠질 수 없다.
낙관적 편향은 침해 사고가 다른 회사에서만 일어나는 일이라고 믿게 만든다. 가용성 편향은 최근 발생한 사건을 구조적인 취약점보다 더 크게 인식하게 한다. 확증 편향은 기대하는 정보만 받아들이고, 그와 상반되는 증거는 무시하게 만든다.
2014년 소니 침해 사고는 기술 실패가 아니었다. 신념의 실패였다. 구성원들은 보안을 자신의 책임이 아니라 IT 부서의 일로 여겼다. 그 결과 피싱 링크를 클릭했고, 계정을 공유했으며, “우리는 영화 만드는 회사일 뿐”이라는 이유로 위협을 대수롭지 않게 받아들였다. 북한 해커들은 정교한 공격 기법조차 필요하지 않았다. 이처럼 드러나지 않은 문화를 그대로 이용했다.
그 결과는 100TB에 달하는 데이터 유출이었다. 공개되지 않은 영화, 개인 정보, 임원 이메일이 외부로 빠져나갔다. 네트워크는 수주 동안 마비됐고, 제작 일정은 중단됐으며, 신뢰는 큰 타격을 입었다. 공격 대상이 되지 않을 것이라 믿는 문화를 어떤 방화벽으로도 고칠 수는 없다.
앞서 언급한 그 금융사에서도 드러나지 않은 문화는 심각하게 오염돼 있었다. 개발자들은 보안을 혁신의 걸림돌로 인식했고, 임원들은 사이버 위험이 순전히 기술적 문제이며 더 많은 도구를 사면 해결된다고 믿었다. 직원들은 보안 우려를 드러내면 무능해 보일 것이라고 느끼고 있었다.
이런 생각을 그 누구도 입 밖에 내지 않았다. 하지만 모두가 그 믿음에 따라 행동하고 있었다.
사람이 말로 표현하는 신념과 실제로 마음속에 품고 있는 인식 사이의 간극이야말로 보안 프로그램이 무너지는 지점이다. 아무리 많은 교육을 의무화해도 소용없다. 보안이 자신과는 무관하다고 근본적으로 믿는 한, 사람들은 조직이 도입한 모든 통제를 피해 갈 방법을 찾아낼 것이다.
암묵적 문화 : 가장 깊은 레이어
이제 가장 불편한 지점으로 들어간다.
암묵적 문화는 누구도 인식하지 못하기 때문에 아무도 이야기하지 않는 영역이다. 말로 드러나지 않는 전제, 보이지 않는 규범, 모두가 알고 있지만 아무도 의문을 제기하지 않는 ‘이 조직에서 일이 돌아가는 방식’이 해당한다.
이 레이어가 가장 강력한 이유는 의식 아래에서 작동하기 때문이다. 사람들은 암묵적인 규범을 따르기로 선택하지 않는다. 그저 자동적으로, 아무 생각 없이 그렇게 행동한다.
암묵적 문화에는 “보안은 일을 느리게 만든다”라거나 “경영진은 사실 이 문제를 중요하게 여기지 않는다”와 같은 말로 표현되지 않는 믿음이 포함된다. 보안 관련 결정에 누가 이의를 제기할 수 있고, 누가 그럴 수 없는지를 가르는 숨겨진 권력 구조도 이 레이어에 속한다. 사람들이 자신과 자신의 일을 어떻게 인식하는지를 형성하는 조직 정체성 역시 암묵적 문화의 일부다.
심리적 안전성, 혹은 그 부재도 포함된다. 불이익에 대한 두려움 없이 문제를 제기할 수 있는가? 처벌을 걱정하지 않고 실수를 인정할 수 있는가? ‘문제적 인물’로 낙인찍히지 않고 기존의 전제를 질문할 수 있는가?
2017년 에퀴팩스(Equifax) 침해 사고는 단순한 패치 누락이 아니었다. 문화의 실패였다. 당시 치명적인 아파치 스트럿츠(Apache Struts) 취약점이 공개됐고 보안팀에 즉각 패치하라는 경고가 전달됐다. 그러나 조직 내부에서 보안 관련 이메일은 소음에 불과했다. 가동률이 수정 작업보다 우선이라는 암묵적인 규칙이 자리 잡고 있었다. 보안팀에는 패치가 완료될 때까지 업무를 중단시킬 절대적인 권한도 없었다.
그 결과 취약점은 눈에 보이는 상태로 수개월 동안 방치됐다. 결국 공격자는 이를 악용했고, 사회보장번호를 포함해 1억 4,700만 명에 달하는 개인정보가 유출됐다. 신뢰는 무너졌고, 경영진은 교체됐으며, 에퀴팩스는 이후 총 7억 달러가 넘는 합의금에 동의했다. 그런데도 그 위험에 대한 최종 책임자는 아무도 없었다.
앞서 언급한 금융사에서도 암묵적 문화는 가혹했다. 사업 부문이 보안팀보다 더 중요하다는 말로 드러나지 않은 전제가 존재했다. 충분한 직급만 갖추면 누구든 보안 권고를 뒤집을 수 있는 보이지 않는 위계가 작동하고 있었다. 취약점을 인정하는 것은 약함의 표시라는 숨은 믿음도 조직에 깊이 뿌리내려 있었다.
이런 규칙은 문서로 작성되지 않았다. 신입 직원에게 명시적으로 교육되지도 않았다. 그러나 조직에 합류한 지 몇 주만 지나면 모두가 자연스럽게 이를 체득했다.
암묵적 문화는 변화가 왜 그렇게 어려운지를 보여준다. 정책은 하룻밤 사이에 다시 쓸 수 있고, 새로운 도구는 몇 주 만에 도입할 수 있다. 그러나 깊숙이 자리 잡은 전제와 인식을 바꾸는 일은 수년이 걸린다.
이 레이어를 건드리지 않는다면, 다른 모든 노력은 결국 자리 잡지 못한다.
3가지 문화를 함께 전환하기
그렇다면 문화를 실제로 어떻게 바꿀 수 있을까?
1가지 차원만 손대고 나머지는 따라오기를 기대해서는 안 된다. 이 3가지 레이어는 서로 긴밀하게 연결돼 있다. 하나만 바꾸고 나머지를 방치하면, 조직 안에는 오히려 불일치와 혼란이 생긴다.
출발점은 보이지 않는 것을 보이게 만드는 일이다. 보이지 않는 것은 고칠 수 없다. 조직 문화 진단을 수행하고 익명 설문을 진행하며, 내부에서 이미 정상으로 받아들이고 있는 사각지대를 짚어낼 수 있는 외부 퍼실리테이터를 활용해야 한다. 불편한 질문을 던지고, 그 답변을 실제로 듣는 과정이 필요하다.
리더십은 조직이 바라는 행동을 직접 보여줘야 한다. 말로만 강조해서는 안 된다. 실제로 행동해야 하며, 그것이 눈에 보이고 일관돼야 한다. 리더가 실수를 인정하면 다른 구성원도 그렇게 해도 된다는 신호가 된다. 리더가 편의성보다 보안을 우선시할 때, 조직은 무엇이 진짜 중요한지 이해하게 된다.
보안을 일상적인 업무 흐름에 녹여야 한다. 사람들이 따로 기억해야 하는 독립적인 기능이 아니라, 일이 진행되는 방식 그 자체가 되도록 해야 한다. 데브섹옵스(DevSecOps)는 단순한 유행어가 아니다. 보안을 예외가 아니라 기본 경로로 만드는 접근이다.
지속적인 학습을 조직 문화에 포함시켜야 한다. 위협은 끊임없이 진화하고, 이에 대한 이해 역시 함께 진화해야 한다. 사고 이후의 검토는 책임을 추궁하는 자리가 아니라, 조직의 기억을 축적하고 더 똑똑해지기 위한 과정이어야 한다.
보상과 평가 체계도 바로잡아야 한다. 속도만 보상하면 사람들은 속도를 선택한다. 문제를 보고했을 때 불이익을 주면, 사람들은 더 이상 보고하지 않는다. 과실에 대한 책임은 투명하고 공정하게 적용하되, 구성원이 우려를 제기하는 데 심리적으로 안전하다고 느낄 수 있도록 해야 한다.
앞서 언급한 그 금융사에서는 3가지 레이어 모두를 대상으로 6개월에 걸친 작업을 진행했다. 정책만 고친 것이 아니었다. 퍼실리테이션을 통해 숨겨진 믿음을 드러냈고, 암묵적인 전제를 식별해 공개적으로 문제를 제기했다. 리더십이 보안을 어떻게 말하고, 어떻게 행동하는지도 바꿨다.
과정은 혼란스러웠고 불편했다. 하지만 효과는 분명했다.
가장 어려운 것은 문화
실제 현장에서 기술적 통제를 도입하는 일은 쉽다. 문화는 다르다. 훨씬 어렵다.
도구는 살 수 있고 정책은 쓸 수 있으며, 교육은 의무화할 수 있다. 그러나 신념을 강제할 수는 없다. 신뢰를 구매할 수도 없고, 심리적 안전성을 배포할 수도 없다.
타깃은 도구를 갖추고 있었지만 운영 규율이 부족했다. 소니는 정책은 있었지만 보안이 중요하다는 공동의 인식이 없었다. 에퀴팩스는 문제를 알고 있었지만, 그에 따라 행동할 수 있는 문화적 권한이 부재했다. 각 침해 사고는 서로 다른 문화적 레이어에서 발생했다. 비용은 모두 수억 달러에 달했다. 그리고 이 모든 사고는 더 나은 기술이 아니라, 더 나은 문화로 예방할 수 있었다.
문화를 변화시키려면 인내와 일관성, 그리고 불편한 진실과 마주하려는 태도가 필요하다. 자신의 전제와 행동을 스스로 점검할 수 있는 리더십이 요구된다. 겉모습보다 솔직함을 중시하는 조직이어야 한다.
드러난 문화는 구조를 제공한다. 드러나지 않은 문화는 동기를 만든다. 암묵적 문화는 그 기반을 이룬다. 이 3가지 문화는 모두 필요한 요소다.
살아남는 조직은 보안이 조직의 문화적 DNA에 자연스럽게 스며든 곳이다. 위험에 대한 판단이 강요된 규칙이 아니라 본능처럼 작동하고, 사람들이 보안을 ‘해야 할 일’이 아니라 ‘원래 그렇게 하는 것’으로 받아들이는 조직이다.
이것이 진짜 해야 할 일이다. 또 하나의 도구를 사는 것도, 또 하나의 정책을 쓰는 것도 아니다. 사람들이 보안을 행동으로 수행하는 것이 아니라, 보안 그 자체가 되도록 만드는 문화를 구축하는 일이다.
dl-itworldkorea@foundryco.com
Maman Ibrahim editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.