Get In Touch

© Hansem Global 2024.

> 블로그 > 매뉴얼 & 콘텐츠

매뉴얼 & 콘텐츠

자물쇠는 스스로 잠기지 않는다 : 한샘글로벌 보안 작업실 시리즈 Part 3. 보안 의식

기밀 문서를 다루는 보안 작업 환경(클린룸)에서 정보 유출을 막는 마지막 변수는 장비가 아니라 사람의 보안 의식이다.

지난 1편에서 우리는 “왜” 잠긴 방이 필요한지를, 2편에서 그 방이 “무엇으로” 만들어지는지를 다뤘다. 공간, 네트워크, 장비, 도구 — 보안 작업실을 구성하는 인프라를 하나씩 풀어보았다.

그런데 한 가지 사실을 짚어두지 않으면 시리즈의 절반을 잘못 읽은 셈이 된다. 그 인프라가 아무리 완벽해도, 결정적인 한 가지가 빠지면 보안 작업실은 작동하지 않는다.

바로 “사람”이다.

잠기지 않으면 잠금장치가 아니다

출입문에 잠금장치가 달려 있어도, 그 문을 잠그는 것은 사람이다. USB 포트를 봉인하는 것도, 휴대폰 카메라에 보안 스티커를 붙이는 것도, 보안 작업실을 나설 때 책상 위 출력물을 다시 잠금 캐비닛에 넣는 것도 — 모두 사람이 한다.

기술이 만들어 주는 것은 “가능성”이지, “실제”가 아니다. 가장 정교한 보안 시스템도 결국 그 시스템을 매일 일관되게 운영하는 사람 손에서 작동한다. 잠겨 있지 않은 잠금장치는 더 이상 잠금장치라고 부를 수 없고, 봉인 스티커가 떨어져 있다면 더 이상 봉인이 아니다.

보안 사고 통계도 같은 점을 가리킨다. Verizon의 2025 데이터 침해 조사 보고서(DBIR)에 따르면 전체 침해의 약 60%에 ‘인적 요소’가 관여한다. 정교한 해킹이 아니라 잠기지 않은 노트북, 회의실 책상 위에 놓인 출력물, 봉인되지 않은 USB 포트 — 사람의 일상적 부주의가 가장 흔한 유출 경로다. 기술은 그 부주의를 줄여줄 수는 있지만, 없애지는 못한다.

그래서 진짜 보안 작업실의 인프라 목록에는 한 줄이 더 있다. 인프라 목록의 가장 위에, 어떤 장비보다도 먼저 적어야 할 한 줄.


“가장 단단한 보안 인프라는 콘크리트 벽이 아니라, 그 벽 안에서 일하는 사람의 머릿속에 있다.”
.

보안 의식은 무엇으로 구성되는가

“보안 의식”이라는 말은 흔하지만, 그 안을 들여다보면 의외로 구체적이다. 우리가 보안 작업실에서 함께 일해 온 작업자들에게서 발견한 것은 대략 네 가지 요소였다. 한샘글로벌이 현장에서 정리한 보안 의식의 네 가지 요소는 ① 이유의 이해(왜 하는지를 아는 것) ② 자발성 ③ 반복 ④ 규율이다.

첫째는 “왜”를 아는 것이다. 인터넷을 차단하고, USB를 봉인하고, 카메라 렌즈에 스티커를 붙이는 일이 단지 회사가 시켜서 하는 규정이 아니라, 정보가 어떤 경로로 새어 나가고 그것이 클라이언트와 시장에 어떤 손실을 입히는지를 이해하는 것. 이유를 아는 사람의 행동은 다르다. 이유를 모르는 사람의 행동은 시간이 지나면 느슨해진다.

둘째는 자발성이다. 보안 작업실의 규칙은 누군가 감시해서 지킬 수 있는 것이 아니다. 24시간 CCTV가 있어도, 작업자가 자기 책상에서 자신만 아는 작은 실수를 하지 않도록 하는 것은 결국 본인의 자발적 주의다. 감시는 자발성을 대체하지 못한다. 가장 좋은 감시는 자기 자신을 감시하는 사람이다.

셋째는 반복이다. 인간은 익숙해지면 긴장을 푼다. 같은 보안 절차를 100번 반복하면 101번째에는 한 단계를 생략하고 싶어진다. 그래서 보안 의식은 한 번의 교육으로 완성되지 않는다. 매일 매주 매월, 같은 절차를 같은 정도의 긴장감으로 반복할 수 있어야 한다.

넷째는 규율이다. 어느 날 컨디션이 좋지 않거나, 마감이 급하거나, 동료가 잠깐만 부탁하자고 말할 때 — 그 모든 “예외”를 거절할 수 있는 단호함. 보안 의식은 결국 작은 예외를 만들지 않는 규율로 완성된다.

요소핵심 정의
① 이유의 이해보안 규칙을 회사 지시가 아니라, 정보가 새는 경로와 그 손실을 이해하고 행하는 것
② 자발성감시 없이도 스스로 주의하는 태도. 가장 좋은 감시는 자기 자신을 감시하는 사람이다
③ 반복같은 절차를 매일·매주·매월 같은 정도의 긴장감으로 반복하는 것
④ 규율컨디션·마감·동료의 부탁 같은 모든 ‘예외’를 거절하는 단호함

보안 의식은 어떻게 길러지는가

이 네 가지는 사람이 본래 갖고 있는 자질이 아니다. 길러져야 하는 자질이다. 한샘글로벌은 보안 작업실을 운영하기 시작한 이래, 이 자질을 길러내는 일을 작업실 운영의 절반 이상이라고 여겨 왔다.

정기 보안 교육이 있다. 단순히 회사 규정을 읊는 시간이 아니라, 실제 산업 현장에서 어떤 정보 유출 사고가 있었고 그 사고가 기업과 사람에게 무엇을 남겼는지를 함께 들여다보는 시간이다. 추상적인 “보안의 중요성”보다 구체적인 사고 사례가 훨씬 더 깊이 각인된다.

보안 서약이 있다. 보안 프로젝트가 시작될 때마다 본사 직원뿐 아니라 해외 지사 직원, 외부 협력 번역가에 이르기까지 — 프로젝트와 직접 관련된 모든 인원이 다시 서약한다. 같은 사람이 여러 번 서약하기도 한다. 서약은 정보가 아니라 마음의 의식이기 때문이다. 서약은 “나는 이 프로젝트의 보안에 책임이 있는 사람이다”라는 정체성을 매번 새로 확인하는 작업이다.

일상의 점검 문화가 있다. 보안 작업실에 처음 들어가는 동료에게 먼저 들어간 동료가 휴대폰 카메라 스티커가 잘 붙어 있는지 물어보는 일. 점심 먹고 돌아오는 길에 사원증을 두 번 태그하는 절차를 빼먹지 않도록 서로 챙겨주는 일. 누가 시켜서가 아니라 자연스럽게 일어나는 이 일상의 작은 점검들이, 어떤 공식 절차보다 강력한 안전망을 만든다.


“보안 의식은 한 번의 교육으로 완성되지 않는다. 매일 같은 절차를, 같은 정도의 긴장감으로 반복할 수 있어야 한다.”
.

결국 “사람”이 아니라 “문화”

여기까지 이야기하면 한 가지 오해가 생길 수 있다. 보안 의식이 “훌륭한 개인들”의 자질에 달려 있다는 인상.

그러나 실제 현장에서 보안을 지키는 것은 훌륭한 개인이 아니라 문화다. 똑같이 책임감 있는 사람이라도, 어떤 조직에서는 자연스럽게 보안을 지키고, 어떤 조직에서는 조금씩 느슨해진다. 차이는 사람이 아니라 그 사람을 둘러싼 문화에 있다.

보안 의식의 문화는 몇 가지 신호로 확인된다. 동료의 부주의를 지적하는 일이 “까칠한 일”이 아니라 “당연한 일”로 여겨지는가. 관리자가 보안 절차를 본인부터 정확히 지키는가. 마감이 급할 때에도 “이번 한 번만”이 통하지 않는 분위기가 있는가. 신입 직원이 묻기 어려운 질문을 편하게 물을 수 있는가.

이 문화는 회사가 한 번 “만든다”고 만들어지지 않는다. 매일의 작은 결정과 작은 대응이 쌓여서 만들어진다. 그래서 보안 작업실을 “막 시작한” 회사와 “오래 운영해 온” 회사 사이에는, 같은 시설을 갖고 있어도 분명한 차이가 생긴다. 시설은 살 수 있지만, 문화는 시간이 만들어 주는 것이기 때문이다.

기밀 프로젝트를 맡기는 입장에서 이 차이는, 어느 회사가 시설을 갖췄는가가 아니라 어느 회사가 그 시설을 흔들림 없이 운영해 왔는가의 문제다.

“그래서, 그 사람들은 어떻게 일하는가”

이번 편으로 시리즈의 절반을 마쳤다. 우리는 보안 작업실이 왜 필요한지를, 무엇으로 만들어지는지를, 그리고 그것을 작동하게 하는 것은 결국 사람과 문화임을 함께 살펴봤다.

이제 다음 편부터는 그 “사람”을 직접 만나본다. 인터넷이 닿지 않는 방에서 매일 출퇴근하는 테크니컬 라이터의 하루를, 50개 언어의 현지화 일정을 외부 클라우드 없이 맞춰내는 PM과 DTP작업자의 하루를, 영감의 원천이 차단된 환경에서 카피와 영상을 만들어내는 마케팅 작업자의 하루를 — 차례로 들여다본다.

이 사람들은 모두, 이 글에서 이야기한 “네 가지”를 매일 살아낸다. 이유를 알고, 자발적으로, 반복적으로, 규율 있게.

가장 단단한 인프라는, 사람의 머릿속에 있다.

한샘글로벌 보안 작업실 시리즈 · 3편

자주 묻는 질문 (FAQ)

Q. 보안 의식이란 무엇인가?
A. 보안 의식은 외부 감시가 없어도 보안 규칙을 일관되게 지키는 태도와 습관을 말한다. 한샘글로벌은 이를 ① 이유의 이해 ② 자발성 ③ 반복 ④ 규율, 네 가지 요소로 정리한다.

Q. 정보 유출 사고의 가장 흔한 원인은 무엇인가?
A. 정교한 해킹보다 사람의 일상적 부주의다. Verizon 2025 DBIR은 전체 침해의 약 60%에 인적 요소가 관여한다고 보고했다. 잠기지 않은 노트북, 방치된 출력물, 봉인되지 않은 USB 포트가 대표적이다.

Q. 보안 문화는 어떻게 만들어지는가?
A. 한 번의 선언이 아니라 매일의 작은 결정과 상호 점검이 쌓여 만들어진다. 정기 보안 교육, 프로젝트 단위 보안 서약, 동료 간 일상 점검이 그 토대다. 그래서 같은 시설이라도 오래 운영한 조직과 막 시작한 조직 사이에는 분명한 차이가 생긴다.


📌 시리즈 안내

이 글은 한샘글로벌 “보안 작업실 시리즈” 3편입니다. 시리즈는 다음과 같이 이어집니다.

1편 왜 어떤 매뉴얼은 잠긴 방에서 만들어지는가
2편 보안 작업실은 무엇으로 만들어지는가 —인프라
3편 자물쇠는 스스로 잠기지 않는다 — 보안 의식 (현재 글)
4편 검색이 막힌 방에서 매뉴얼을 쓴다는 것 (테크니컬 라이터의 하루)
5편 잠긴 방에서 50개 언어를 관리한다는 것 (다국어 현지화 담당자의 하루)
6편 리테일 마케팅 작업자(카피라이터·그래픽·영상)의 하루
7편 14년, 사고 0건 — 이 모든 일이 왜 가능했나
.