ICT 기술의 발달에 기원을 두는 새로운 사회에서 정보는 국가, 조직, 개인에게 가장 핵심적인 자산이 되고 있다. 이 자산을 효율적으로 활용하기 위한 기술 발전이 어디까지 갈 것인지는 인공지능(AI) 기술에서 보듯이 아무도 예측할 수 없는 상황에 이르고 있다. 정보기술은 정보자산의 효율적 활용을 위해 끊임없이 발전할 뿐만 아니라 정보자산의 불법 부당한 활용을 위해서도 발전하고 있다. 세계경제포럼은 2018년 발생 가능한 글로벌 리스크로 ‘사이버 공격’과 ‘데이터 사기 및 절도’를 각각 3위와 4위에 꼽았다.
총칼 없는 미래의 전쟁으로 부르는 사이버 전쟁에서 살아남기 위해 국가, 조직, 개인은 다양한 노력을 하고 있다. 그 대표적인 것이 하드웨어적 보안을 포함한 보안 기술의 개발이다. 보안 기술 중심의 보안 패러다임이 많은 보안 침해를 억제하는 효과가 있지만, 기술을 바탕으로 정보보안을 하고자 하는 사람들의 의도대로 되지는 않고 있다.
정보보안에 대한 기술 패러다임은 보안 침해의 대부분이 사람과 관련된 인적요인에 있다는 조사 결과들에 의하여 새로운 시각의 보안을 요구받았다. 이에 대한 대응으로 정보보안을 조직 관리활동의 하나로 보는 정보관리시스템 접근방법이 새로운 패러다임으로 제시되었다.
인적 요인을 통제하기 위한 보안 기술의 발전과 정교한 정보관리시스템이 만들어지고 있지만, 정보보안에 대한 위험은 끊이지 않고 있다. 그 이유로 새롭게 등장하고 있는 것이 조직이나 개인이 정보를 제대로 관리하지 못하게 하는 문화에 있다는 것이다.
문화는 광의로 살아가는 방법을 의미한다. 새로운 사회에는 그에 적합한 문화가 존재하여야 하는 데 그렇지 못한 것이 정보기술을 이용하고, 정보관리시스템의 효과성을 저해한다는 것이다. 정보보안문화란 ‘정보보호를 위하여 조직 구성원이 공유하고 있는 일련의 가정, 가치, 신념, 인식, 지식, 인공물 등으로 구성원의 정보보안 행동에 영향을 주는 체계’를 의미한다. 우리 조직은 완벽한 보안 기술로 무장하고 있어서 보안에 관심을 두지 않아도 된다는 가정은 조직의 정보 자산을 보호하지 못한다. BCG(보스턴 컨설팅 그룹)는 디지털 정보보안 문화에 관심을 가지는 조직의 90%는 조직의 바람직한 성과를 달성하고 있다고 한다. 그러나 정보보안에서 문화 패러다임은 아직은 정상과학의 패러다임을 형성하지 못한 상태라 할 수 있다.
이 책은 주로 조직 차원의 정보보안 활동에 초점을 두고 있고, 이론적으로 광의의 조직문화 차원에서 정보보안문화를 살펴보고자 하였다. 이에 각 장의 논의는 조직문화에 대한 이론적 논의부터 시작하였다. 그리고 정보보안문화보다 먼저 연구가 시작되고 많은 부분에서 차이가 없는 안전문화에 대한 연구를 참고로 하여 정보보안문화를 이해하고자 하였다.
제1장은 정보화 사회에서 정보보안문화가 왜 필요하고 중요한지와 정보보안에 대한 관점이 어떻게 변화되고 있는지를 살펴보았다. 제2장에서는 정보보안문화가 무엇인지를 조직문화 차원과 연계하여 정리하였다. 여기에서는 정보보안문화의 개념, 정보보안문화가 어떠한 것으로 구성되어 있는지와 조직에서 정보보안문화의 기능을 살펴보았다. 그리고 정보보안에 대한 다양한 연구 접근방법을 정리하였다. 제3장은 정보보안문화의 차원과 유형을 조직문화에 대한 연구와 연계하여 살펴보고, 다양한 정보보안 문화를 이해하기 위한 유형화 노력이 어떻게 이루어지고 있는가를 다루었다. 제4장에서는 조직에서 정보보안문화를 이해하기 위해서 여러 연구자가 제시하고 있는 모형을 바탕으로 정보보안문화를 이해하기 위한 포괄적인 모형을 제시하였다. 제5장에서는 제4장의 모형을 바탕으로 정보보안문화 형성과 유지에 영향을 주는 요인을 조직 환경, 조직, 개인 차원으로 구분하여 살펴보고, 이에 대한 이해를 돕기 위해 여러 연구에서 제시하고 있는 것을 모형을 정리하였다. 제6장은 조직 변화 및 조직발전과 관련이 있는 조직성숙모형 및 안전문화에 대한 성숙모형을 바탕으로 정보보안문화 대한 성숙 정도 및 발전 상황을 측정하는 데 도움이 되는 정보보안 성숙모형들을 정리하였다.
제7장은 기능주의적 시각에서 바람직한 정보보안문화가 어떠한 문화인지를 다루었다. 여기에서는 정보보안과 밀접한 관계를 찾을 수 있는 바람직한 안전문화를 먼저 소개하고 이어서 여러 기관이나 연구자들이 제시하는 바람직하고 강한 정보보안문화의 특성을 살펴보고자 하였다.
이 책에서는 정보보안에 대한 다양한 시각과 접근방법에서 제시하는 이론이나 주장을 체계적으로 정리하고자 하였다. 그러나 보는 관점에 따라서 더 혼란을 줄 수도 있다. 이는 정보보안문화 연구에 기초가 되는 문화나 조직문화에 대한 연구가 다양성을 특징으로 하기 때문이다. 그러므로 이 책은 정보보안문화가 매우 복잡한 현상으로, 명확한 원리나 법칙을 규명하는 것이 어렵다는 것을 보여주고자 하는 목적도 함께 가지고 있다.
이 책은 저자 가운데 박홍윤의 조직문화에 대한 연구인 「조직문화 기업문화」와 「안전문화의 이해」를 기반으로 써졌기 때문에 이들에서 정리된 많은 부분이 활용되었다. 이 책은 조직문화를 연구하는 박홍윤과 정보보안을 연구하고 있는 김근혜가 함께 정리하였다. 두 연구자는 정보보안문화의 전문가이기보다는 정보보안문화를 이해하고 연구하고 있는 학자이다. 이 책은 정보보안문화에 대한 저자들의 이론이나 주장을 제시하는 것보다는 연구 과정에서 정리한 것을 정보보안과 정보보안문화 관심이 있는 연구자나 실무자와 공유하기 위한 목적으로 집필하였다. 여러 가지 한계를 가지고 있지만, 이를 출판하고자 결정한 것은 정보보안문화의 중요성을 알리고 이에 대한 체계적인 연구집단이 많이 형성되기를 바라는 마음에서 이루어졌다.
박홍윤(朴洪潤)
이 책을 쓴 박홍윤은 1955년 충주에서 태어났다. 연세대, 서울대에서 행정학을 공부하고 행정학 박사학위를 취득한 후, 한국교통대학교 교수로 재직 중이다.
학위논문으로 “한국의 통합정보관리체계에서 개인정보프라이버시 보호에 관한 연구”가 있고, “공공기관 개인정보의 공동이용에 있어서 문제점과 정책적 과제”와 같은 정보 관련 논문을 썼다. 이외에 「공공조직을 위한 전략적 기획론」, 「전략적 관리기법 200가지」,「조직문화 기업문화」,「안전문화의 이해」 등의 저서가 있다.
p5rk96@ut.ac.kr
김근혜(金根慧)
이 책을 공동 집필한 김근혜는 1984년 서울에서 태어났다. 이화여자대학교에서 정치학을 공부하고 2019년 2월 고려대학교에서 공학 박사학위를 취득한 후, 고려대학교 박사후연구원으로 재직 중이다. 학위논문으로는 "A Study on the Diffusion of the Militarization of Cyberspace: Using a mixed methods analysis"가 있고, "CBMs for Cyberspace beyond the Traditional Security Environment"와 "System Security Management Education Framework"와 같은 사이버안보 및 정보보호 관련 논문을 썼다. 지금은 국가사이버안보정책과 정보보호정책에 관심을 두고 있다.
stargazer@korea.ac.kr