서류 중심 보안은 불필요한 것을 만드는 일일까

국내 상당수의 감사 내용을 따져 보면, 증적자료가 상당히 요구되는 경우가 많다.

나의 경우 올해 총 3개 사업에 투입되었는데,
첫째는, ISMS-P & ISO 27001이
둘째는, 주요정보통신기반시설 점검이
셋째는, 교육부 수준진단이 핵심인 사업이다.

그중 첫번째 컨설팅의 경우 상당히 많이 증적자료가 요구됐다. 해당하지 않는 영역이 상당했음에도 말이다. 당시 나는 OJT의 일환으로 투입된 거였고, 산출물 관리 역할을 부여받았기에 이를 이해하고 있다.


그리고 세번째 컨설팅인 현재, 나는 담당자들로부터 성토를 가끔 듣곤 했다. 굳이 불필요한 서류를 만들어야 하는 것 아니냐는 말이다. 예를 들어, 대상 기간동안 장비의 외부 반출입이 없었고, 그래서 반출입 관리대장이 없었다고 주장해도 우리는 양식을 만들어 제출할 것을 요청했다. 국방과 마찬가지로, 보안은 미리 준비가 되어있어야 하는 것이기 때문이다. ISMS-P 및 ISO 컨설팅 때는 당장 악명 높은 감사를 앞두고 있으니 담당자들이 힘들어도 협조적이었으나, 지금은 그렇지 않은 것이다. 수준진단을 별 것 아니라 생각하기에 그럴 것이다.

'그때 하면 되는데 왜 지금 해요?' 라는 말을 하신 분이 계시는데, 그때 잘한다는 보장이 없기에 지금 하자는 것일 테다. 그러면서 '불필요한 서류를 만드는 게 오히려 보안을 역행하는 것 아니냐'고 하시는데, 아예 틀린 말은 아니라 생각한다

그런데 그 불필요한 서류를 만드는 것과 나중에 필요할 때 부랴부랴 만드는 것만을 두고 대조하면 무엇이 나은 선택일까? 보안 업계에 몸을 담고 있는 전문가라 해도 전자일 것이다. 앞서 말했듯, 보안은 국방과 일맥상통한다. 북한이 공격을 시작하면 그때 군수공장에서 전투 무기를 만든다고 하면 누가 수긍할 수 있을까. 그것도 사실 만들어 놓으면 유지관리비만 해도 억소리가 나올 텐데 말이다.

서류 중심 보안의 단점은 불필요한 무언가를 만드는 것 자체에 있을 것이다.

하지만, 서류 중심 보안의 장점은 보안을 나의 업무 중 하나로 인식하게 만드는 일일 것이다.

결국 이는 보안이라는 것을 어떻게 바라보는가에서 생기는 문제일 것이다. 보안은 항상 끌고 가야하는 업무인지, 필요할 때 그때그때 하면 되는 일인지.

다수의 직장인들은 후자를 생각한다는 것을 알고 있고, 단 1명이라도 전자로 오도록 설득하는 것이 보안담당자의 몫일 것이다. 남은 사업 기간도 화이팅이다!