4차 산업혁명시대의 보안 거버넌스 실천 전략

 

권헌영 교수

 

 무릇 혁명이란 정치, 사회, 제도, 경제 등 분야를 막론하고 기존의 전통적인 질서가 뒤바뀌는 것을 의미한다.[1] 이른바 4차 산업혁명으로 불리고 있는 기술 기반의 변화는 우리 사회에 기대와 혼란을 함께 가져다주고 있다. 기술의 발전으로 데이터의 가치가 증가하고 분야별 경계가 무너지고 있으며 국가 사회의 기술 의존도는 더욱 높아져만 간다. 보안의 문제를 고려하지 않을 수 없는 시대가 도래한 것이다. 빅데이터와 통신 기술의 발달로 야기된 데이터의 무경계성으로 인해 사이버 공간과 현실 공간의 구분은 무의미해졌고 우리 삶에 와 닿는 사이버 위협은 더욱 커져만 가고 있다. 그러나 새로운 위협에도 불구하고 우리는 구시대의 보안 관념을 떨쳐내지 못하고 있다.

 

 과거 인간의 사상이나 지식을 담고 있는 정보는 직접 다룰 수 없는 대상이었다. 다시 말해 이러한 정보는 어딘가에 반드시 기록되어야만 했다. 때문에 과거의 기록 매체들은 역사의 발전에 따라 보다 오랜 기간 동안 최대한 많은 정보를 담고 전달할 수 있도록 진화되어 왔다. 동굴의 벽화에서부터 파피루스와 종이, 금속 활자 및 인쇄 매체의 발전이 이를 방증한다. 그러나 이제는 상황이 달라졌다. 우리는 빅데이터 기술을 통해 데이터를 담는 매체의 한계를 넘어섰고, 센싱 기술과 사물인터넷의 발전으로 우리의 사상과 감정을 담은 메시지[2]는 언제 어디서든 수집되어 데이터의 형태로 체화된다. 기술 발전으로 야기된 혁신적인 구조 변화로 인해 기존의 관리 체계는 매체에서 데이터 그 자체로 완전히 탈바꿈되었다. 이제 보호의 대상은 매체가 아니라 데이터 그 자체이다. 매체 관리에 치중된 보안 개념으로는 복합적으로 발생하는 위험에 대응할 수 없다.

 

 매체를 넘어서는 데이터의 활용과 더불어 초연결사회의 무경계성은 분절적 보안 대응을 무력화시킨다. 사람과 사물, 사물과 사물 간의 통신이 구현되고 물리적 공간에 존재하는 개념들은 네트워크를 통해 사이버 공간에 연결되어 새로운 가치를 창출한다. 초연결사회로부터 발현되는 혁신은 여기에 있다. 분절된 공간에서의 객체들은 자기 자신의 분야에서 본연의 목표를 달성하기만 하면 되었다. 그러나 모든 것이 연결된 체계에서는 목표가 무엇인지, 어떤 가치가 생성될지 아무도 예측할 수 없고 이로부터 혁신과 위험이 함께 도출되는 것이다.[3] 모든 것이 연결된 사회는 달리 말해 모든 것이 위협에 노출돼 있다는 것을 의미한다.

 

 매체 중심의 사고방식으로부터 구성된 현재의 보안 거버넌스는 개념과 역할의 중복, 권리관계와 의무의 불명확성, 책임 구조의 혼란으로 표현될 수 있다. 특히 사고 대응 위주의 단기적 보안정책을 수립해 온 우리나라는 4차 산업혁명이라는 기술과 사회의 격변에 따라 발생하는 종합적인 보안 위협에 대응하기 어려운 것이 사실이다. 융복합적으로 다가오는 위협을 분절적 대응 체계로 마주하고 있자니 사이버 보안 문제의 해결은 요원하기만 하다.

이제는 근본적인 인식과 관념의 혁신이 필요하다. 먼저, 보안은 전문 분야의 대응 과제이고, 전문가들이 지켜줄 것이라는 인식을 버려야 한다. 보안의 문제는 누군가의 문제가 아니라 공동체의 존립을 위한 문제다. 공동체 위협으로 다가온 사이버보안 문제의 해결을 위해서는 소통과 협력 기반의 공동체 관점에서 대응하는 수밖에 없다. 공동체의 구성원으로서 주체성과 문제의식을 갖고 의사결정 과정에 참여할 수 있어야 한다.

 

 둘째, 최고 의사결정 기구가 핵심 의제를 설정하고 추진해야 한다. 보안 부서가 공동체의 모든 정보를 보호하고 사고가 발생하면 이에 대한 책임을 전적으로 지는 구조는 인력의 부담을 증대시키고 동일한 희생양을 지속적으로 양산하는 그림밖에 되지 못한다. 따라서 조직의 최고 의사결정권자로부터 공동체의 전략적 논의를 바탕으로 각종 정책의 우선순위를 재설정할 수 있어야 한다.

 

 셋째, 기관과 구성원의 유기적 협동이 필요하다. 최고 의사결정 차원에서 보안 의제가 설정된 이후에는 누가 어떤 역할을 담당하고, 이를 어떻게 연계할 것인지 역할과 협력 모델을 정립할 수 있어야 한다. 새로운 보안 환경은 예측가능성이 낮고 복합적이라는 특징을 보인다. 결국 이러한 모델은 기능과 역할에 대한 유기적 연계를 도출하고 수시로 변하는 보안 환경을 관리할 수 있어야 한다.

 

 마지막으로 일련의 과정은 공식 의사결정 과정으로서 제도화되어야 한다. 소통을 실현하기 위해서는 모든 구성원의 의견 수렴이 필요하고, 이는 상향식 제도화 과정을 통해 구현할 수 있다. 이러한 방식은 민주주의의 가치 실현 과정과 궤를 같이 한다. 다양한 의견을 통해 진실을 발견하거나, 소수의 의견을 통해 다수의 의견을 검증함으로써, 결정된 제도에 정당성을 부여하고 이로부터 진정한 민주주의를 실현할 수 있기 때문이다.[4]

 

 새로운 보안 거버넌스는 함께 만들고 함께 지킴으로써 실현 가능하다. 보안에 대한 공동체의 문제의식을 기반으로 최고의사결정자는 구성원과의 유기적인 협력을 통해 정책을 구성하여야 하며, 구성된 정책은 최고의사결정자에 의한 컨트롤 타워를 중심으로 일선까지 닿을 수 있어야 한다. 모두가 참여하여 상향식으로 정립한 보안구조를 하향식의 엄격한 집행을 통해 구현해냄으로써 비로소 새로운 위험에 대응할 수 있을 것이다.

[1] Yoder, Dale. "Current definitions of revolution." American Journal of Sociology Vol. 32 No. 3, 1926, P. 441.

     [2] 필자의 이러한 주장은 마샬 맥루한의 매체론에 기반을 두고 있다. 맥루한은 매체는 메시지다(medium is message)라는 명제를 통해 인간이 바로 매체이며, 각종 매체 기술은 인간의 확장이라고 보고 있다.

[3] WEF, Global Information Technology Report 2012: Living in a Hyperconnected World, 2012, P. 5.

[4] Mill, John Stuart, On liberty, Longmans, Green, Reader, and Dyer, London, 1869. P. 8-95 참고.