2013년 6월 24일 월요일

제3계. 다른 조직으로부터 보안을 먼저 말하게 하라.

차도살인(借刀殺人).

병법 36계 중 제 3계인 차도살인이란 글자 그대로 해석하자면,
다른 사람의 칼을 빌려 남을 죽인다는 뜻이다.

차도살인이란 제 3계가 나오기까지의 배경은 안자춘추에 나오는
'이도살삼사(二桃殺三士)'의 고사로 유래된다.

제나라의 제경공 시대의 명재상 안영은 사마양저를 차세대
대장으로 생각하고 있었는데, 문제는 제경공이 총애하던
전재강, 고야자, 공손첩의 세 장군이었다. 이 세 장군은 제각기
큰 공을 세워 제경공의 총애를 받고 있어 안하무인으로 오만하였다.

이에 안영은 젋은 사마양저를 대장으로 임명할 경우, 이 세 명으로
인해 제 뜻을 펼치지 못할 것을 우려하여 제거하기로 맘 먹었다.

마침 노나라의 사신이 제나라를 방문하자 안영은, 복숭아 여섯 개를
따서 제경공과 노나라 사신에게 바쳤는데, 제경공과 노나라 사신은
자신들의 복숭아 각각 하나씩을 갖고 남은 복숭아 중
각각 복숭아 하나씩을 안영과 노나라 사신에게 하사하였다.
그러자 복숭아가 두 개 남게 되었는데, 이때 안영이 제경공에게
건의하기를, "남은 복숭아 두 개는 신하 가운데 공이 큰 두 사람에게
나눠 주도록 하십시오" 라고 하였다.

이 연회에 제나라를 대표하는 세 사람, 전재강, 공손첩, 고야자가
참석해 있었는데, 그 말을 듣자 공손첩과 고야자가 얼른 나서서
자신이 세운 공을 말하며 복숭아를 먹었다.
이미 두 개의 복숭아가 두 사람의 입으로 들어간 것을 본 전개강은
분개하며 자신의 목을 찌르며 이렇게 말했다.

"호랑이를 죽이고 괴물을 죽이는 일은 작은 일이다.
 나는 천리 길을 산을 넘고 물을 건너 피나는 싸움으로 큰 공을 세우고도
 오히려 복숭아를 먹지 못하고 두 나라 임금과 신하들이 모인 앞에서
 모욕을 당하고 만대의 웃음거리가 되었으니 무슨 면목으로 조정에 선단 말인가."

그렇게 전재강이 죽자 공손첩과 고야자도 각기 칼을 뽑아 자신의
목을 찔렀다.

"우리는 작은 공을 세우고도 복숭아를 먹었는데
 전재강은 큰 공을 세우고도 그것을 먹지 못했다.
 복숭아를 양보하지 못한 것은 참으로 염치없는 일이며,
 죽는 이를 보고도 따라 죽지 못하는 것은 겁장이나 하는 짓이다."

그렇게 안영은 고작 복숭아 두 개로 세 장군을 너무나 손쉽게 죽여 버리게 되는데,
공자는 후일 이 일화를 두고 이와 같이 평가했다.

"안자는 복숭아로써 남의 칼을 빌려 사람을 죽였으니, 이것은 의로운 일이 아니다. "
바로 여기서 유래한 말이 바로 차도살인이다.

나의 자원과 노력을 들이지 않고, 남의 자원과 노력을 들여 목적한 바를 이루는 것.
이것이 차도살인의 계책이다.

보안에 있어서도 임직원의 보안 인식과 수준을 높이기 위해서
무수히 많은 보안팀의 노력과 자원의 투입이 필요하다.
특히 보안 정책에 대한 강제화와 정책 준수에 대한 확인,
취약점에 대한 관리와 공격에 대한 대응 등을 제대로 하려면
보안 팀에서 필요한 노력과 자원은 거의 무한대이다.
하지만, 이는 현실상 거의 불가능하다.

어디든 자원과 시간은 한계가 있기 마련이고,
필요한 수준으로 확보하기란 거의 힘들다.
이럴 때 차도살인의 계책을 활용해서
다른 팀에서 보안에 대해서 먼저 얘기하고
다른 팀의 자원과 시간을 보안 인식과 수준을 높이는데
사용할 수 있도록 하는 건 어떨까?

이렇게 하자면, 통제적인 보안보다는 서비스 관점에서의 보안을,
닫힌 정보 운영 보다는 열린 커뮤니케이션이 필요하다.

가장 많이 쓰는 방법 중 하나는 보안 위험에 대한 정보 공유이다.
인사팀, 감사팀, 운영팀, 고객 관리팀 등 우선 보안과 연관성 있는 팀부터
적극적으로 커뮤니케이션하고 보안 위험에 대해서 알려 주고,
그로 인해 겪을 수 있는 구체적인 피해와 관련 사례에 대해 얘기해 보자.
혹은 그들로부터 그들의 문제를 보안으로 해결할 수 있는 방법에 대해
컨설팅 및 조언을 하는 방법도 좋다.

보안에 있어 차도살인의 또다른 예는 법 규제와 표준이다.

보안이 왜 필요한지를 구구절절히 논하는 것보다, 법 규제 항목으로
정의된 것이 있다면 그것을 활용하는 것이 더 낫다. 영향력은 법
규제보다는 낮지만, 보안 관련 국제 표준도 마찬가지이다.

모 고객사는 보안 사업 이전에 보안 진단을 비밀리에 수행한 다음,
주요 임원이 모여 있는 자리에서 보안 인식 교육 안에 보안 진단
결과를 함께 포함하여 교육을 진행한다. 그런 다음 사업에 대한
기안을 올리면 대게 보안이 취약한 것으로 연관된 조직의 임원부터
적극적으로 찬성의 의사를 표시하고 도와 주려고 하는 것을 쉽게
볼 수 있었다.

아울러, 개인정보 보호법의 추진 주체를 보안팀이 아닌,
인사팀이나 고객 관리팀 등으로 그 책임을 넘기는 것도 좋은 방법 중 하나이다.
이때 보안팀은 적극적인 조력자로써 관련 팀과의 협조 공조 체계를
공고히 하기만 하면 된다.

이런 커뮤니케이션 채널을 위해 최근에는 전사 조직이 함께 참여하는 보안 위원회
구성을 적극 권장한다.

또한, 통제와 감시를 위해 고립된 보안팀이 아니라,
전사 보안을 함께 이끌어 가는 열린 보안팀,
타 조직의 보안을 어떻게 해야 하는지를 도와 줄 수 있는 서비스 중심의 보안팀,
자신의 힘이 아니라, 조직의 힘을 통해 보안을 할 수 있는 보안팀이고 보안관리자일 때
진정 그 조직의 보안 수준은 높아질 것이다.