2013년 6월 19일 수요일

제1계. 임직원을 속여 자연스런 보안 인식과 문화를 확보하라.

과천만해(瞞天過海).

병법 36계 중 제 1계인 과천만해는 글자 그대로 해석하자면,
하늘을 속여 바다를 건너다라는 뜻이다.

과천만해라는 제 1계가 나오기까지의 배경을 보면,
영락대전 설인귀정요사략에서 당태종 이세민이 30만 대군을 이끌고
고구려를 치기 위해 요하까지 왔을 때의 일이다.
요하에 도착한 당태종은 험난한 바다를 30만 대군이 건너는 것은 무리라 생각되어,
머뭇거리고 있었다.
이에 설인귀 장수는 당태종을 지방 호족의 연회에 모시고 가서,
음주 가무를 즐기며 하루 밤을 즐겁게 보냈는데,
당태종이 문득 깨어 보니 망망 대해에 있어 할 수 없이 바다를 건너
고구려를 침략하기에 이른다.
즉, 설인귀 장수가 배를 집으로 거짓으로 꾸며,
음주 가무로 당태종의 시선과 마음을 사로 잡는 동안,
배는 바다 한 가운데로 나아간 것이다.

이 고사로부터 하늘, 즉 황제를 속여서 바다를 건너다라는 제1계가 나오게 된 것이다.

이와 유사한 사례로 중국 삼국시대의 조조가 길을 잃어 헤매다가 갈증난 병사들에게 '저 산너머에 매실나무가 있다.' 라고 거짓말을 하여 갈증을 잊고 산을 넘게 한 예가 있다.

보안에 있어서도 이와 같은 상황은 매우 비슷하다.
임직원 모두가 보안을 강화하게 되면 불편하고, 생산성이 저하된다고 하여,
보안을 강화하는데 있어 모두 주저하게 된다.

이러한 어려움에 있어서, 필요한 것은 바로 보안이라는 경계를 허무는 전략이다.
때로는 재미있게,
때로는 업무 프로세스에 감춰져서,
보안 통제를 하고자 하는 의도를 숨기고
하나의 일상으로써, 하나의 업무 프로세스로 보안이란 것을
인식하지 못하도록 속여 보자.
굳이 보안이란 것을 드러낼 필요는 없다. 그 목적만 달성하면 되는 것이지...

기업 문화 개선 활동 속에서 보안 인식 프로그램을 자연스럽게 녹인다든가,
업무 프로세스 내에서 보안 프로세스를 녹인다든가,
사실 이렇게 하기 위해서는 부가한다기 보다는 뭐든 지 첨부터 같이 고민하고,
디자인하는 것이 필요하다.

때로는 인지하지 않고 있지만, 항시 모니터링과 보안 감사가 진행된다고
속여 보자. 이때 쓸 수 있는 효과적인 방법이 셈플링과 입소문이다.
일벌백계(一罰百戒)랄까. 임직원이 의도하지 못했던 보안 위반을 통해
전사적으로 위반 사례가 전파될 수 있도록 하자.

예를 들면, 출입증 없이 따라 들어가기(피기백 - Piggybacking)를 허용한 임직원을
찾아내어서 경고 메일과 관련 사례를 전파한다든가, 이메일 중 보안 위반 사례를 적발하여
인사 고과에 반영하고 관련 사례를 전파한다든가.

전파의 방법에 있어서도 단순히 게시판의 게시글이나 메일링보다도,
사내 방송과 같은 매체를 활용해 보자.
소통을 중시하는 기업이라면 사내 소셜 네트워크를 활용하는 것도 좋을 것 같다.

어쨋든, 보안이란 경계를 허물고, 항시 통제되고 감시되고 있다는 분위기.
보안을 목적으로 다양하게 임직원을 속여 자연스런 보안 인식과 문화를 확보해 보자.

그러기 위해서는 앞으로 보안 담당자/전문가는 보안 전략가이자
기업 내 소통의 중심에 서서 커뮤니케이션 해야 한다.