많은 기업에서 IT 보안 지침은 직원이 방해적이거나 비현실적이라고 느끼기 때문에 거부감을 마주한다. 이러한 인식은 보안 정책 실행을 어렵게 만들고 효과를 떨어뜨리며, 보안 기업과 비즈니스 기업 간의 협업을 약화시킨다.

결과적으로 사이버보안 기업은 파트너가 아닌 장애물로 인식되는 문제가 발생하며, 이는 치명적인 보안 리스크로 이어진다. CISO에게는 기술적으로 정확한 보안 정책을 마련하는 것뿐 아니라 일상 업무에서의 수용성 확보가 핵심 과제로 떠오른다. 공감 기반 정책 엔지니어링과 전략적 보안 커뮤니케이션을 결합한 새로운 접근 방식은 지속 가능한 보안 문화를 구축하는 데 도움이 된다.

IT 보안 : 업무 압박과 사회적 요인의 영향

많은 IT 기업은 사용자가 보안 지침 준수를 위한 동기가 부족하다고 판단한다. 기업은 컴플라이언스 강제를 위해 제재와 보안 인식 교육에 의존한다. 그러나 2일간 진행된 보안 설계가 정책 준수 행동에 미치는 영향 실험에서는, 참가자가 처음에는 보안 지침에 긍정적이었지만 업무 압박이 증가할수록 지침을 방해 요소로 인식해 위반이 증가하는 현상이 확인됐다. 스트레스와 상황적 요인은 보안 관련 행동에 명확한 영향을 미쳤다.

따라서 안전한 행동은 단순한 지식 전달로 형성되지 않으며, 개인의 위험 인식과 구체적인 업무 상황에 크게 좌우된다. 사용자는 항상 지침대로 행동하지 않으며, 이는 의지 부족 때문이 아니라 업무 목표, 시간 압박, 협업 필요성이 보안 요구사항보다 중요하게 인식되는 현실 때문이다. 이러한 이해 충돌은 보안 기업, IT 기업, 현업 기업 간의 긴장을 초래하며, 결국 보안 문화를 위협하는 결과로 이어진다.

보안 관리자는 이러한 문제를 해결하기 위해 세 가지 요소에 대응할 필요가 있다.

1. 이해관계자 분석 수행

CISO는 먼저 사용자가 왜 안전하게 행동하지 않는지 질문해야 한다. 위협 인식 부족, 안전한 행동의 이점 부재, 보안 조치가 업무를 방해한다고 느끼는 경우, 목표 충돌, 시간 압박 등 다양한 요인이 존재한다. 예를 들어, 기업이 공급업체 및 고객과의 안전한 데이터 교환을 요구하면서도 해당 기능을 위한 플랫폼을 직원에게 제공하지 않는 경우, 또는 기업 내 보안 모범 행동을 보여주는 리더 부재가 문제로 작용할 수 있다.

따라서 보안 조치를 실행하기 전, IT 부서·현업 부서·경영진·행정 기업·생산 직원 등 각 이해관계자 그룹의 목표 충돌을 식별하고 조정하는 과정이 중요하다. 비즈니스 정보학에서 활용되는 이해관계자 분석 기법은 참여자 모두의 요구를 파악하는 데 효과적이다. 보안 관리자가 기업 내 업무 현실과 각 부서의 목표를 더 깊이 이해할수록 조치 설계가 더 정교해지고, 수용성과 실행 성공률이 높아진다.

2. 사용자 관점을 반영한 보안 지침 설계

위험한 행동은 종종 사용자 탓으로 돌려지지만, 문제는 보안 조치 자체가 현실과 맞지 않는 데서 발생하는 경우가 많다. IT 보안 연구는 종종 사용자 개인 성향 등 개별 행동에 초점을 맞추지만, 실제 업무 환경과 조치의 적합성—즉 일상 업무에서 해당 조치가 얼마나 수용될 수 있는지—는 충분히 고려되지 않는다.

대다수 위협에는 여러 보안 대안이 존재하지만, 노력 대비 효과, 수용성, 업무 적합성, 복잡성 차이는 실제 결정 과정에서 간과된다. 많은 보안·IT 기업은 기술적 정확성만을 기준으로 조치를 선택한다.

효과적인 IT 보안 정책을 구축하려면 기술적으로 타당할 뿐 아니라 직원 관점에서 실용적이어야 한다. 핵심은 공감 기반 정책 엔지니어링이다. 보안 지침은 이해하기 쉽고, 수용 가능하며, 업무 목표와 양립 가능한 형태로 설계되어야 한다. 이를 위해 직원의 초기 참여, 목표 충돌 파악, 실제 업무 제약 반영이 필수적이다.

이후 파일럿 프로젝트를 통해 장애 요소를 조기에 식별·조정할 수 있다. 특히 혁신 수용력이 높은 초기 사용자 그룹(early adopters)을 먼저 참여시키는 방식은 피드백 수집과 조치 개선에 효과적이다. 이러한 단계적 접근은 현실성과 실행성을 갖춘 보안 문화를 기업 내에 정착시키는 데 기여한다.

3. 존중을 기반으로 소통하기

보안 조치와 지침은 자주 직원 업무 현실과 동떨어진 방식으로 전달된다. 지시형 커뮤니케이션, 표준 온라인 교육, 진지하게 받아들여지지 않는 과도하게 만화적 형식은 직원의 참여를 이끌어내지 못한다. 반면 ‘존중 기반 커뮤니케이션’은 금지·벌칙 중심 접근이 아닌, 동등한 수준의 소통을 바탕으로 효과를 낸다.

핵심 차이는 직원이 전문성과 책임감을 갖춘 성인으로 대우받는지 여부다. 보안 목표를 놓치지 않으면서도 직원의 업무 현실과 필요를 공감적으로 이해하는 태도가 중요하다.

사용할 수 있는 기법은 다음과 같다.

• 전술적 공감(Tactical Empathy): 인정과 신뢰를 형성해 직원이 보안 메시지를 수용할 준비가 되도록 한다.
• ‘안 된다’ 대신 ‘도울 수 있도록 도와달라’ 접근법: CISO는 강제 대신 ‘어떻게 하면 이 요구사항을 충족하면서 효율적으로 일할 수 있을까요?’와 같은 질문을 활용할 수 있다. 직원이 보안 요구사항에 대해 변경을 요청하는 경우, 단순히 거절하기보다 직접적인 대안을 제안하도록 유도하면 상호 수용 가능한 해결책을 찾을 수 있다.
• 이론 중심이 아닌 실습 기반 경험 제공: 현실적인 피싱·랜섬웨어·USB 공격 시나리오를 기반으로 체험형 교육을 진행하면, 중소기업 환경을 재현한 공간에서 실제 공격을 경험하게 되어 지속적인 보안 이해도가 높아진다. 교육 중심이 아닌 사람 중심 경험이 핵심이다.

효과적 보안 문화를 만드는 CISO의 역할

많은 보안 조치가 충분한 효과를 내지 못하는 이유는 사용자 때문만이 아니라, 비현실적인 요구, 부족한 참여, 부적절한 커뮤니케이션 방식에 있다. 보안 리더에게 필요한 것은 단순한 교육과 제재가 아니라 전략적 패러다임 전환이다.

CISO는 기술적으로 완벽할 뿐 아니라 사람 중심적으로도 공감되는 보안 전략을 설계하는 ‘정책 아키텍트’가 되어야 한다. 보안 리더는 일상 업무 속에서 자연스럽게 안전한 결정을 내릴 수 있는 환경을 조성해야 한다. 이를 위해서는 목표 충돌을 파악하는 감각, 동등한 커뮤니케이션, 보안을 기업의 공유 가치로 정착시키는 역량이 요구된다.
dl-itworldkorea@foundryco.com