이 책은 제목에서 확인할 수 있듯이 기업에서 보안 업무의 원활한 수행을 위해 보안담당 관련 중간관리자 이상의 임원들을 위해 만들어진 책이다. 아직 읽어보지는 않았지만 서문에 따르면 저자의 전작인 『CxO가 알아야 할 정보보안』의 업그레이드 판인 것 같다. 이 책이 기업의 입장에서 쓰이긴 했지만, 기업의 밖에서 일반인의 외부시각으로 정보보안을 바라보면 아무래도 '해킹'이나 '개인정보유출'과 같은 '보안사고'가 가장 먼저 떠오른다. 그렇다면 일반인들이 보안의 중요성을 인지한 시작한 때는 언제일까? 아마도 개인정보호가 유출 사건이 아닐까 싶다. 2000년대 중반 이후 SK브로드밴드에서 동의 없이 고객정보를 판매한 것이 발각되고, 경매사이트인 옥션에서 개인정보가 유출되면서 파장이 커지며 잠잠해지나 싶더니 2010년 이후부터는 그 수위가 더 강해지고, 2014년에는 대통령의 개인정보까지 유출되는 초유의 카드3사의 개인정보유출사건까지 터진다.
기업의 경우 꼭 개인정보만이 아니더라도 유출되면 타격을 입게 될 다시말해 지켜야할 것들이 한 두가지가 아니지만, 일반인의 입장에서는 개개인이 직접적으로 그로 인한 피해를 경험하기까지는 확실히 보안의식에 대한 감이 현저히 낮아지긴 한다. 다행이 이제는 그러한 보안의식이 일반인들 사이에서도 많이 높아졌지만, 기업의 입장에서 본다면 이전보다 더 만반의 준비를 하고 긴장을 해야 된다는 의미이기도 하다.
내가 보안 관련 공부를 막 하던 시기는 기술 중심 즉, IT보안 중심에서 벗어나 보안을 기업 경영의 관점에서 중요한 분야로 보기 시작하며 CEO의 보안의식과 역할의 중요성이 막 강조되기 시작하던 때였다. 관련 세미나를 찾아가면 각 세션이나 강연 내용의 한 꼭지를 그와 관련내용이 차지했을 정도니 말이다. 게다가 수위가 높아지며 반복되는 개인정보 유출 사고에 '개인정보 동의서'와 관련된 논란 역시 많았던 시기다. 그게 벌써 10년이 다 되어 가는데, 이 책을 읽으며 보안 관련 처음 공부하던 그 시기의 이슈들이 계속 생각이 났다. 개인정보보호와 관련해서는 기술적 뿐만 아니라 법률 즉, 관리적 관점으로 볼 때 세부적으로 파고들면 여전히 문제점이 보이고, 저자 또한 그러한 문제점과 개선점을 책 속에서 자세하게 풀어 놓고 있지만, 분명 당시에 비하면 많은 발전이 있어왔다.(EU GDPR도 한 몫 하기는 했지만..)
그런데, 당시 중요성을 강조하던 CEO의 역할의 중요성에 대한 호소와 여전히 부서간 협업에 있어 그 때와 크게 달라진 점이 없다는 생각에 한 편으로는 많이 씁쓸하면서도 정말 보통일이 아니구나 하는 생각을 새삼 하게 되었다. 다만, 당시는 보고서나 세미나 등에서 강연을 들으며 아무리 중간급 담당자나 부서장 들이 그 중요성을 강조해도 CEO의 한마디 만큼 통할까 하는 막연하게 생각하던 내용들이 이 책을 통해 저자와 현직자들의 생생한 경험담을 접해서 그런지 세월이 그렇게나 흘렀는데도 아직도 안 바뀌나.. 라는 일방적 생각보다는 오랜시간에도 바뀌기 힘들만큼 정말 어려운 일이구나 하는 생각을 더 많이 하게 되었다. 전에 한 보안담당자가(물론 보안 분야만은 아니겠지만) 그런 말을 한 것을 들었던 적이 있다. "우리 일이라는 게 못하면 당연히 욕먹고 잘해도 당연히 해야 될일이다."라고..
책은 총 6개 장으로 나누어 구성되어 있다. 앞서 언급한 보안사고 문제나 보안이슈로 인한 담당자들의 고충이나 그로 인해 발생하는 각 문제점들에 대한 경험자들의 이야기로 시작하고, 그러한 문제들을 예방하기 위해 '정보보호책임자들이 해야 할 일'을 『1영역. 거버넌스(5개 업무), 2영역. 관리 체계(7개 업무), 3영역, 중요 자산 보호(5개 업무), 4영역, 위기관리(5개 업무), 5영역. 규제 대응(3개 업무)』인 총 5개 영역, 25가지 업무로 분류해 2장~5장에 걸쳐 자세히 설명하고 있다. 저자가 분류해 놓은 각 영역만 보더라도 최근의 보안 업무 흐름이 IT보안 중심에서 벗어나고 있음을 확인할 수 있다. 특히 최고 책임자에 해당하는 CISO의 역량과 관련된 글로벌 컨설팅 업체의 2013년 조사에 따르면 북미와 유럽의 경우는 IT보안 즉 기술적 역량 보다는 리더로서 일반적 역량을 더 중요시하고 있다고 보았다. 저자에 따르면 정보보호와 관련된 세계의 흐름뿐만 아니라 우리나라도 이 조사에서처럼 보안 리더의 역할의 IT 보안 리더에서 비즈니스 리더로 변화하는 추세라고 한다. 그러한 추세가 저자가 분류한 '정보보호책임자들이 해야 할 일'에도 그대로 반영된 것 같다.
450페이지 정도의 많지도 적지도 않은 분량이지만, 저자의 개인 칼럼을 포함에 정말 방대한 내용을 담고 있고, 실제 보안 업무만큼이나 대충 읽고 넘어갈 수 없는 내용들이 많아 소설처럼 금방 금방 넘길 수 있는 내용들은 분명 아니다. 개인적으로 이 방대한 내용들을 보며 흥미로웠던 내용들이 몇 가지 있다. 하나는 '회사의 부서별 보안 수준'을 나타낸 그래프를 해석한 부분이다. 설명은 크게 3가지로 해석된다. 보안수준을 1부터 5까지로 설정(숫자가 낮을수록 보안수준도 낮다.)하고 6개 부서의 보안 수준이 서로 다르게 나타난 그래프였다. 그 해석이 정말 흥미를 넘어서 의미있었다. 그 그래프 속 기업의 보안수준은 5점 만점에 평균 3.3이었지만, 이 기업의 보안수준은 1로 보아야 된다는 것이다. 예를 들어 6개 부서 중 5개 부서가 10점이더라도 1인 부서가 한 개라도 있으면 그 기업의 보안수준은 1인 것이다. 저수지에 아무리 높은 둑 여러개가 있어도 물은 낮은 곳을 통해 세기 시작하기 때문에 1곳이라도 낮은 곳이 있으면 결국엔 모두 세어나간다는 원리와 같다는 것이다.
두번째 해석은 '임직원이 느끼는 보안수준'이다. 아이러니 하게도 임직원이 느끼는 보안 수준은 최고점인 5에 해당한다는 것이다. 그것은 보안 유출관점이 아닌 임직원이 높은 보안 수준으로 인해 당장 느끼는 불편함이 반영된 수치라고 한다. 부서간 협업의 어려움과 극복해야 될 문제로서 의미있게 살펴볼만한 결과다. 세 번째 해석은 '회사 경영진이 인식하는 보안 수준'이다. 그들은 평균인 3.3~5가 자신들의 보안수준이라고 느낀다고 한다. 부사간 협업의 어려움과 CISO의 역량에 비즈니스적 요소가 더 필요한 이유에 설득력이 더해지는 것 같기도 하다.
또 다른 하나는 보안사고 발생시 대응 부분과 관련하여 언론뿐만 아니라 사회단체나 SNS 등을 통한 개개인의 움직임으로 인한 사회적 비판과 관련된 대응을 비중있게 다룬다는 점이다. 여기서 보안을 직접 담당해보지 않았다는 점이 드러나기도 하지만, 곰곰히 생각해보니 당연히 해야될 일 중 하나이기도 했다. 그 덕분에 개인정보보호위원회에서 개최했던 세미나에 참여했던 기억이 떠올랐다. 모든 강연과 토의가 끝나고 질의 응답 시간이었다. 정부기관에서 하는 행사라 일반인도 참석이 가능한 행사다 보니 참관자의 직업군도 다양했다. 한 참관자가 전문가들이 당황해서 답변하기 어려울 정도로 수준 높은 질문을 해 혀를 내두르게 한 적이 있는데, 그 참관자는 다름 아닌 시민단체 소속이었다. 왜 저자가 이 부분에 대한 대응까지도 소홀히 하지 않는지도 충분히 이해할 수 있었다.
또 다른 하나는 기록에 대한 중요성 강조와 법규를 보는 방법에 대한 자세한 설명이다. 개인정보를 포함한 유출되는 많은 것들이 이메일, 클라우드 등을 통한 온라인 뿐만 아니라 USB처럼 점점 소형화되는 디지털 기기 등 기술적인 중요성도 커지고 있지만, 결국 그 원인을 증명해내고 책임소재를 따지기 위해서는 법규와 같은 관리적 보안이 왜 중요한지를 실제 사례를 통해 알려주고, 법규를 보는 법에 대해 자세히 알려주고 있다는 점이다. 한국 CPO 포럼에서 매년 정기적으로 관련법규 보는 법에 대한 강의를 해오고 있지만, 이런 일반 도서를 통해서 그런 내용을 접하기는 쉽지 않다. 특히 '법 읽을 때 유의사항(p.311이하)'과 같은 내용은 법학 교과서에서도 다루지 않고, 말이나 기타 자료를 통해서 배울 수 있는 내용들이라 법을 전공하지 않으면 얻기 쉽지 않은 정보들이다. 생각보다 매우 꼼꼼하게 설명해주고 있었다. 이미 공포된 법규 뿐만 아니라 법안의 발의되고 공포되는 과정 전체를 살필 수 있는 국회 '의안정보시스템'등에서 자료 보는 법 등 또한 자세하게 안내가 되어 있는데, 개인적으로 바램이 있다면 '법령정보시스템'에서 관련 법규를 볼 때 '연혁'란을 통해 해당 법의 '제·개정 이유'도 평소에 살펴볼 수 있도록 안내했으면 좋겠다는 생각을 해 보았다. 변경된 조문을 비교표나 조문 자체만 보는 것 보다는 연혁란을 통해 그 조문이 왜 제·개정되었는지 함께 참고하면 특히 신입이나 전직 등을 통해 보안업무를 처음 담당하게 된 분들이 해당 내용을 이해하는 데 많은 도움이 되지 않을까 생각된다.
또한 저자가 이 책에서 가장 강조하는 부분은 담당 업무 전반에 걸쳐 평소에 '기록'하는 습관을 갖는 것이다. 보안관련 공부를 처음 했을 당시에는 (자사 타사 불문하고 발생한)보안사고와 관련된 정보를 가장 많이 쥐고 있는 기업의 경쟁력을 굉장히 높게 샀던 기억이 있는데, 이제는 보안사고 자체뿐만 아니라 굳이 이슈가 안되더라도 자잘한 이벤트와 관련된 사항 등 평소에 습관처럼 해둔 기록들이 쌓여서 자사 기업 보안의 예방 뿐만 아니라 사고발생시 규제기관이나 소송 등의 대응에서도 자신들에 조금이라도 더 유리한 방향으로 이끌 수 있는 원동력이라고 강조에 또 강조를 하고 있다. '기록'이라는 것은 정말 다방면에서 중요한 역할을 하고 있는 것 같다. 평소에 기록하는 습관 또한 자사의 기업보안 경쟁력을 높이는 수단이 아닐까.
좋았던 점 그리고 조금은 아쉬웠던 점
제목에서도 명시했듯이 이 책은 철저하게(?) 기업 입장(관점)에서 서술하고 있다. 보안관련 공부하면서 수사과목 관련 강의를 들을 때 마다 늘 아쉬웠었다. 형사소송법 상 수사절차만 줄창 나열하는 방식에서 벗어나지 못해 여기서 강의듣는 사람 중 저 절차 그대로 수사기관에 종사하며 적용해 볼 수 있는 사람 극소수인데, 왜 기업 입장에서 말하는 분들은 한 분도 없을까라는 생각을 계속 버리지 못했다. 물론 그러한 절차는 기본으로 알아두어야 된다. 하지만, 기업의 보안팀이나 법무팀 등은 수시가관이 아니다. 그 법과 절차들을 평소에 기업에 맞게 변경해서 대비하지 않고 그대로 했다간 역풍을 맞을수도 있다. 그런 점에서 저자가 사고 발생 후 대응시에 해야될 사항들을 선배 경험자로서 기업의 입장에서 하나씩 풀어놓은 부분이 정말 좋았다. 이 책을 추천하고 싶은 이유 중 하나이기도 하다.
또 하나 좋았던 점은 이 책을 통해 고객의 개인정보만이 개인정보가 아니고 기업 내부의 임직원들이 개인정보도 보호해야 될 대상이라는 점을 분명히 인식하게 해주었던 부분이다. 당연한 내용임에도 막연하게 고객정보만 지켜야 할 개인정보가 아니라는 인식 변화도 내부 임직원들에게 중요한 부분인 것 같다.
그럼에도 조금은 아쉬웠던 점도 있다. 책 내용의 70% 가까이를 '개인정보보호'에 집중하고 있다는 점이다. 물론 그 중요성은 충분히 인지하고 있고, 이 책을 통해서 인식이 바뀌거나 배운점도 많다. 리뷰 초반에 일반인의 보안시각을 언급한 이유는 그들의 시각이 기업의 보안담당자 등 많은 사람들을 움직이게 하는 데 상당히 큰 역할을 한다고 생각했기 때문이다. 실제로 그런 상황을 계속해서 겪어오고 있다. 기업의 대부분이 영리를 목적으로 존재한다는 점을 생각해보면 당연하다. 그렇지만, 이제는 보안이 자신의 업이 아닌 일반 대중들에게도 보안의 중요성이 인식되고 있는 만큼 보안의 전문 분야도 다양해지는 상황 책 속에서 영업비밀이나 기술유출과 같은 산업보안 등의 언급이 함께 되고 있기는 하지만, 기업에서의 보안이 개인정보에 국한되지 않고 있다는 점을 생각하면, 조금 더 각 보안분야를 좀 더 골고루 분배하거나 제목에서 그 내용을 '개인정보보호'와 관련된 내용을 인식할 수 있도록 부제 등을 활용했어도 좋지 않았을까 하는 생각이 든다.
내가 보안분야에 관심을 갖고 공부를 시작한 계기는 참 특이하다. 보안분야는 아니었지만 오랫동안 수험생활을 하다 심신이 피폐해 질정도로 지쳐 이제는 다시 그쪽으로 쳐다보지 않겠다고 이를 악물고 견디던 시기에 한 보안분야 자격증 시험관련 정보가 일부러 피하고 찾지 않아도 몇 달간 내 눈과 귀를 통해 관련 정보가 끊임없이 찾아왔다. 그렇게 시작한 보안분야의 공부를 시작한지 올해로 10년째가 되어간다. 여건이 맞지 않아 아직 직접적으로 담당해 본적이 없기에 현직자들의 고충을 100% 이해하지는 못하지만 그럼에도 내가 보안관련 공부를 계속 하는 이유는 기회가 되면 꼭 해보고 싶은 일이기도 하고, 책 속에서 저자가 수차례 반복하며 보안담당자와 비보안담당자간의 간극을 줄이는 데 조금이라도 보템이 되지 않을까 하는 생각에서다. 예를 들면 꼭 기술적 관련 사항이 아니더라도 이상 징후가 발견되거나 하면 피해볼까 숨기는 것이 아니라 담당자들을 찾아 먼저 상황을 전달하고 상의하는 식으로 말이다.
아마 저자도 기업내 전직원들이 보안에 대한 그런 마인들을 갖기를 바라지 않을까 생각된다. 이 책은 기업의 중간관리자 이상의 임원을 타깃으로 만들어진 책이지만, 보안 분야에 관심을 갖고 있는 제 3자의 외부인 입장에서 볼 때 중간관리자 이상의 임원 뿐만 아니라 가능하다면 보안부서와 협업을 필요로 하는 팀장 혹은 부서장 조금 더 나아간다면 일반 임직원들까지 모두 교과서처럼 읽고 숙지해야 될 내용이라고 생각된다. 특히 보안부서의 말단 직원이라면 책 속에서 저자가 참고하고 있는 주석들의 출처와 참고자료들까지도 놓치지 말고 선배 전문가들은 관련 정보를 어디에서 찾고 참고하고 있는지 공들여 읽어야 될 책이라고 생각된다. 꼭 보안담당자나 기업의 CEO가 아니어도 좋다. 보안에 관심이 있는 사람이라면 자신의 현재 위치에 상관없이 꼭 1독 하기를 권한다.
"한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다."