사이버 보안, 기술이 전부가 아니다: 조직 문화가 승패를 가른다

우리는 흔히 방화벽, SIEM, EDR 등 최첨단 보안 기술에 투자하는 것이 사이버 보안의 전부라고 생각합니다. 하지만 아무리 뛰어난 기술이라도, ‘Password123’을 사용하는 직원, CEO의 개인 기기에 대한 예외를 승인하는 CISO, 보안 때문에 업무가 느려진다는 인식 때문에 우회 방법을 찾는 문화 앞에서는 무용지물이 될 수 있습니다. 경영학자 피터 드러커의 말처럼 "문화는 아침 식사로 전략을 먹는다"는 말은 사이버 보안에도 그대로 적용됩니다.

보안 투자의 함정: 드러난 문화의 한계

보안 정책, 교육, 모니터링 도구 등 눈에 보이는 요소들을 ‘드러난 문화’라고 합니다. 많은 조직들이 이 단계에서 멈추지만, 실제로 실천하지 않으면 아무 의미가 없습니다. 아무리 훌륭한 정책과 기술을 갖추고 있어도, 타깃(Target)의 사례처럼 경고를 무시하거나 사고 대응 계획을 제대로 실행하지 않으면 막대한 피해로 이어질 수 있습니다. 드러난 문화는 ‘보안 연극’으로 변질되기 쉽습니다. 사람들은 평가를 피하기 위해 겉으로만 보안 규정을 따르고, 보이지 않는 곳에서는 여전히 위험한 행동을 합니다.

보이지 않는 위협: 드러나지 않은 문화

‘드러나지 않은 문화’는 사이버 위험에 대한 개인의 인식, 보안에 대한 태도, 가치 판단 등 사람들의 머릿속에서 벌어지는 모든 것을 의미합니다. "우리 회사는 작아서 공격 대상이 되지 않는다"거나 "보안은 IT 부서의 일"이라는 믿음은 눈에 보이지 않지만, 모든 보안 관련 결정에 영향을 미칩니다. 소니(Sony) 침해 사고는 구성원들이 보안을 자신의 책임이 아니라 IT 부서의 일로 여겼기 때문에 발생했습니다. 아무리 많은 교육을 해도, 보안이 자신과 무관하다고 믿는 한 사람들은 보안 통제를 피해 갈 방법을 찾을 것입니다.

침묵의 살인자: 암묵적 문화

‘암묵적 문화’는 누구도 인식하지 못하기 때문에 아무도 이야기하지 않는 영역입니다. "보안은 일을 느리게 만든다"거나 "경영진은 이 문제를 중요하게 여기지 않는다"와 같은 말로 표현되지 않는 믿음, 보안 관련 결정에 누가 이의를 제기할 수 있는지를 가르는 숨겨진 권력 구조 등이 여기에 해당합니다. 에퀴팩스(Equifax) 침해 사고는 보안 관련 이메일을 소음으로 취급하고, 가동률이 수정 작업보다 우선이라는 암묵적인 규칙 때문에 발생했습니다. 암묵적 문화는 변화가 왜 그렇게 어려운지를 보여줍니다. 정책은 쉽게 바꿀 수 있지만, 깊숙이 자리 잡은 전제와 인식을 바꾸는 일은 수년이 걸립니다.

문화 혁신: 3가지 레이어를 함께 바꿔라

진정한 변화를 위해서는 드러난 문화, 드러나지 않은 문화, 암묵적 문화 3가지 레이어를 모두 바꿔야 합니다. 조직 문화 진단을 통해 숨겨진 믿음과 전제를 드러내고, 리더십은 솔선수범하여 보안을 중요하게 생각하는 모습을 보여줘야 합니다. 보안을 일상적인 업무 흐름에 녹여내고, 지속적인 학습을 장려하며, 보상과 평가 체계를 바로잡아야 합니다. 과실에 대한 책임은 투명하고 공정하게 적용하되, 구성원이 우려를 제기하는 데 심리적으로 안전하다고 느낄 수 있도록 해야 합니다.

맺음말

기술적 통제는 도입하기 쉽지만, 문화를 바꾸는 것은 훨씬 어렵습니다. 신념을 강제할 수는 없고, 신뢰를 구매할 수도 없습니다. 보안이 조직의 문화적 DNA에 자연스럽게 스며들어, 위험에 대한 판단이 본능처럼 작동하고, 사람들이 보안을 ‘해야 할 일’이 아니라 ‘원래 그렇게 하는 것’으로 받아들이는 조직을 만들어야 합니다. 이것이 사이버 보안의 진정한 해답입니다.