새로 나온 보안장비 광고 아이디어 회의 중에 책상 위에 늘어놓은 카피 문구들을 보다가 문득, 한 사람의 직업 정체성이 정말 이렇게 터프해도 되는 건가 하는 회의감이 확 밀려들었다. "취약합니다!", "위험합니다!", "그러다 큰일 나요!", "안심하다가 훅 가요!" 등 온통 공갈·협박뿐이었다. 마케터로서 회사 제품을 널리 알리는 일은 자본주의의 꽃이라고들 하던데 맨날 이런 살벌한 말만 해야 한다는 건 참 슬픈 일이다. 하지만 이렇게라도 하지 않으면 "보안? 그거 돈 드는 일인데, 굳이 해야 해? 설마 우리가 털리겠어?" 아예 듣지도 않으니 뭐 달리 어쩔 방법도 없다.
글자 한 끗 다른, 보험과 보안
내가 생각하는 내 업의 궁극적 목표는, 좀 우습게 들릴지도 모르겠지만, 지금은 정보사회니까 정보사회답게 정보보안을 잘 챙겨서 안전하고 순조롭게 서로 소통하는 열린 사회가 되도록 하는 일이다. 꼭 필요하고 정말 중요한 일이라고 생각해 나름으로 열심히 하고 있다. 하지만 목표는 그리 아름다운데 앞서 보았듯 그 과정은 전혀 아름답지 않다. 많이 바라지도 않고 보안에 대한 사회적 인식이 딱 '보험'만큼만 되면 좋겠다. 보험회사 홍보팀에서 일하는 친구를 만날 때마다 정말 부럽다. "공갈·협박을 안 하는데도 사람들이 광고를 본다고?" 놀랍고 또 정말 부럽다.
아직 일어나지 않은 나쁜 상황에 대한 일상적 대비란 점만 보더라도 보안은 보험과 비슷한 점이 많다. 그러니 보안 광고도 보험처럼 소비자와 제발 좀 순조롭게 대화하면서 하면 좋겠는데 난 왜 맨날 공갈·협박이나 일삼고 있는 걸까. 각종 사고가 일어날 경우의 경제적 손해에 대비해 미리 일정한 비용을 지불하는 사전조치라는 보험과 유사한 점만으로는 홍보할 수 없는 걸까. 지금 투자하지 않으면 나중에 고생한다, 똑같은 메시지인데 말이다.
물론 보안과 보험, 다른 점은 있다. 한때 대중의 손가락질을 싹쓸이했던 한 보험사의 "10억 원을 받았습니다" 광고를 생각해 보자. 그렇게나 욕을 먹었던 까닭은 뻔하지만, 지금 처지에서 보자니 예전에 보던 것과 다른 맥락도 읽힌다. 보험이란 제품이 일으키는 심리, 그리고 보험과 보안이 서로 다른 차이다. 보험은 사람의 일상에 매우 밀접하게 파고드는 데 비해 보안은 그러질 못한다. 왜?
보험과 보안의 서로 다른 점
간단하게 보자면 보험과 보안은 이렇게 다르다.
1) 나와 내 가족의 일이다. VS 전산실 담당자의 일이다.
2) 사고 터지면 돈을 준다. VS 사고 터져도 돈 안 준다.
지나치게 간단하게 나눈 것이긴 하다. 실제로는 전산실 담당자만의 일은 아니고, 요즘은 관련 법이 개정되어 보안사고 발생 시 CEO까지도 처벌 대상이다. 그리고 정보보안 관련 상품 중 사고 터지면 돈 주는 손해보험 상품도 있긴 하다. 요즘 일어나는 정보보안 사고 규모는 상상을 초월할 정도로 어마어마해 보상금으로는 벌충할 수 없는 피해가 발생한다. 따라서 정보보안 손해보험이 제대로 구축된 안전한 시스템을 대체할 수는 없지만, 총체적 리스크 관리 차원의 보완조치로서는 생각해 볼 만하다.
결국엔 정보의 가치에 대한 인식 문제인 듯싶다. 다시 말해, 정보를 얼마만큼의 돈으로 보느냐의 문제. 실제로 고객정보가 곧 업무실적으로 직결되고 따라서 정보의 가치를 노리는 해커들의 주된 타겟이 되는 금융업계는 굳이 법적 규제가 아니더라도 정보보안에 대한 인식 수준이 꽤 높다. 하지만 여타 공공기관과 민간기업들은 대부분 제재를 피하고자 규제 조건만 겨우 간당간당하게 충족하려고만 든다. 그렇게 갖춘 보안장비마저도 보안감사 기간에만 켜 뒀다가 감사 끝나면 그냥 틱 꺼버리는 경우도 흔하다. 왜? 앞서 말했듯, 내 일이 아니고 돈도 안 되는 일이기 때문.
보안은 돈이 안 되는 일이다?
그러나, 과연 그럴까? 보안은 돈이 안 될까? 그렇다면, 역시 돈이 안 되는 방범은 왜 할까? 정보보안 투자비용은 사옥 방범 투자비용과 마찬가지다. 도둑질에 드는 노력과 비용 그리고 적발 시 받게 될 처벌이 범행에 성공해 얻는 이득보다 적다면? 도둑은 당연히 도둑질한다. 정보보안의 투자가치 계산도 똑같다. 경제학적으로 보자면 정보보안이란 결국 정보가치보다 공격비용이 더 크게 만드는 일이다. 보안을 하지 않으면 공격비용이 정보가치보다 낮아져서, 해커들은 당연히 해킹한다. 그럼 다시 묻길, 돈이 안 된다는 말은 도대체 무슨 뜻일까? 한 품목의 생산은 다른 품목의 생산 기회를 놓치게 한다는 점에서 어떤 품목의 생산비용을 그것 때문에 포기한 다른 품목의 값으로 계산한 것을 기회비용이라 한다. 같은 맥락에서 정보보안은 다름 아닌 리스크에 대한 기회비용이라 할 수 있는데?
미국의 유통회사 '타겟(Target)'의 사례를 보자. 타겟 사는 유통업 특유의 보안 허점인 POS(Point Of Sales) 시스템을 통해 침입한 해커에 의해 약 7,000만 명의 개인정보를 유출 당했다. 사고 후 회사의 최고정보책임자 CIO가 사임했고, 뒤를 이어 매출과 주가 급락에 따라 CEO마저 사임했다. 개인정보 유출에 따른 벌금만 약 30억 달러(한화 약 3조4천억 원)였는데, 피해는 벌금뿐만이 아니다. 타겟 사는 기존에 쓰던 마그네틱 카드를 대체해 마이크로프로세서와 메모리를 내장해 위변조가 어렵고 사용할 때마다 고유암호를 생성해 복제가 어려운 IC칩 카드로 교체하는 데 약 1억 달러, 카드 감시 시스템에 수천만 달러, 브랜드 재건에 수억 달러를 써야 했고, 카드 재발급, 콜센터 인력 충원, 수사 및 데이터 보안 부서 신설, 정부 조사와 개인 소송에 따른 변호사 비용 등 천문학적 손실을 감당해야 했다. 브랜드 신뢰도 하락, 매출 및 주가 급락 등 이 모든 것은 사전에 미리 적절한 정보보안 조처를 했더라면 지불하지 않아도 되었을 괜한 비용이다.
보안 보기를 보험같이 하라
그러니, 사람들이 제발 보안의 필요를 보험만큼이라도 여겨 주면 정말 고맙겠다. 그렇게 인식하기만 해도 정말 많은 것이 달라진다. 보험처럼 보안도 내게 직접적 영향을 미치는 분명한 내 일이고 보안은 불필요한 비용 낭비를 막는 사전조치라는 점에서 확실히 돈이 되는 일이라는 인식, 이 당연한 것을 난 왜 이리 전달하지 못하는 걸까, 마케터로서 부끄럽기마저 하다.
다시 말해, 당신이 감당 못 할 의료비가 필요한 혹시 모를 일에 대비해 매월 34,500원씩 투자해 실비보험에 가입해 둘까 하는 마음, 당신의 편안한 노후를 위해 매월 10만 원씩 적립하는 연금보험 상품을 살펴보는 정도의 관심만이라도 보안에 가져 준다면, 정보의 자산가치를 보호하는 보안을 위한 투자가 아주 당연하게 여겨질 것이다. 감히 말하건대, 미래가 달라진다.