이런저런 가이드라인과 평가시스템들의 두얼굴

사이버 보안과 관련해 이런저런 세세한 것들까지 짚어주는 가이드라인들이 많다. 

얼핏보면 가이드라인은 디테일이 많을수록 좋아보이지만 역설도 있다. 책임 소재를 가릴때는 특히 그렇다. 

보안 사고가 났을 때 정부가 정한 가이드라인을 따랐을 경우 법적인 책임에선 자유로울 수 있다. 하지만 가이드라인이 사이버 보안의 모든 것을 커버할 수는 없다. 공격은 점점 진화하고 있는 상황에서 가이드라인이 방어전략의 핵심일 수는 없다. 최소한의 조치일 뿐이다.

보안 전문가 출신으로 지금은 KT 부사장으로 있는 신수정씨도 2013년 쓴 자신의 책 '보안으로 혁신하라'에서 가이드라인이 오히려 보안 강화의 걸림돌이 될 수 있다고 지적한다.

기업이나 기관이 가이드라인에 맞춰 스스로를 한정할 위험이 있다는 이유에서였다. 저자는 기업과 기관들이 가이드라인에만 초점을 맞출 경우 크게 3가지 문제점이 예상된다고 했다.

첫째 가이드라인에는 없지만 해야할 것들을 소홀히 할 수 있다. 가이드라인은 많은 내용을 다루고 있지만 기본적으로 미래의 위협을 예측할 수 없고, 기업의 모든 환경을 포함할 수 없는 한계가 있다. 그런만큼, 가이드라인을 따른다고 위험에 제대로 대응할 수 있는 것은 아니다.

둘째 가이드라인에만 집착하다보면 위험 대응보다는 체크리스트 기반 대응에 초점을 맞추기 쉽다. 저자는 일회용비밀번호(OTP)를 예로 들었다.

기업의 위험 분석 결과 어떤 환경은 패스워드만 사용해도 충분할 수 있고, 어떤 환경은 OTP를 사용해야 하고, 어떤 환경은 OTP에 다른 인증까지 복합해서, 사용하는 것이 적절할 수 있다. 그러나 가이드라인에 OTP를 사용하라는 규정이 있을 경우 OTP만 쓰면 기업은 의무를 다했다고 할 수 있다.

셋째,  가이드라인의 내용이 현실적이지 않거나 그 기준을 그대로 적용하기 어려운 환경도 있을 수 있다. 예를 들면 개발과 운영을 분리하는 것이 기준이라고 할떄, 이를 분리하기 어려운 환경도 분명 있다. 그러나 가이드라인대로 하지 않으면 감사에서 지적을 받기 때문에, 때로 감사 대응을 위해 실제 활동을 부풀리기도 하고 불필요하거나 거짓된 문서를 만들기도 한다.

평가 시스템이나 보고서들도 마찬가지다. 부작용의 주범일 수 있다.  대학 평가 보고서의 경우 많은 대학들에 평가 항목에 빠져 있는 부분에 대해서는 전혀 관심을 기울이지 않고 있다.

미국에서 환자 사망률을 공개하기로한 것 역시 환자에게 뜻하지 않게 피해가 됐다.  병원들은 사망률을 낮추기 위해 상태가 위중한 중환자들을 가능한 받지 않으려고 했다. 더 많은 병원들이 점차 실험적인 임상치료나 난치병 진료를 중단하려는 움직임을 보였다.

문영미 하버드 경영학 교수는 자신의 책 디퍼런트에서 이렇게 말한다.

이러한 현상은 분명 평가 시스템의 치명적인 부작용이다. 평가 시스템이 더욱 구체적인 형태로 자리를 잡을 수록 개척자들의 입지는 점점 좋아지기 마련이다. 즉 무언가를 평하하려는 시도는 결국 그 속의 다양한 구성 요소들을 비슷비슷한 존재로 만들어버린다.

테크잇 뉴스레터를 전해드립니다!

오피니언 기반 테크 블로그 'TechIt'
테크 비즈니스를 보는 다양한 통찰들을 이메일로 간편하게 받아 볼 수 있습니다.

About the author

endgame
endgame

테크 블로거 / 공유할만한 글로벌 테크 소식들 틈틈히 전달하겠습니다

No more pages to load


TechIT

테크 비즈니스를 보는 다양한 통찰 '테크잇'

독자 여러분들께서 좋은 의견이나 문의 사항이 있으시면 아래 양식에 따라 문의 주시기 바랍니다.

Contact