세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
맥도날드 ‘햄버거병’ 사태와 체크리스트 논란, 보안도 다르지 않다
  |  입력 : 2017-07-11 23:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
규칙은 지키거나 안 지키는 게 아니라 ‘잘’ 지켜야 하는 것
컴플라이언스는 보안의 최종 목적지가 아니라 시작점


[보안뉴스 문가용 기자] 이른바 햄버거병이라고 알려진 용혈성요독증후군 사태의 여파 때문인지 점심 때 가보니 평소 바글바글하던 회사 근처 맥도날드 매장이 확실히 예전 같지 않았다. 아픈 아이가 제일 불쌍하고, 그 다음으론 부모와 맥도날드도 안타까운 사건이다.

[이미지 = iclickart]


정말 그날 그 아이가 먹었던 패티는 익지 않았을까? 아이의 부모는 그렇다고 하고, 맥도날드는 당일의 식품안전 체크리스트에 문제가 없었으니 그럴 리 없다고 주장한다. 이에 대해 맥도날드 근무 경험이 있는 분들은 ‘모든 게 체크리스트 대로만 흘러가지 않는다’라고도 증언한다. 하지만 이미 1년이라는 시간이 지났기 때문에 진실을 확인할 길은 영원히 없어 보인다.

그런데 그놈의 체크리스트라는 단어가 콕 박힌다. 더 정확히 말하자면 ‘안전 매뉴얼이 있으니 안전하다’는 회사의 주장과, ‘안전 매뉴얼이 있는 것과 현장의 상황은 다를 수 있다’는 반대편의 주장이 둘 다 이해가 간다는 것이다. 보안 분야에서 컴플라이언스라는 문제가 나올 때마다 정말 많이 보던 그림이기 때문이다.

산업마다 반드시 지켜야 하는 안전수칙들이 있다. 체크리스트다. 이걸 지키지 않으면 크고 작은 벌금을 내야 하거나 유형, 무형의 불이익을 당하게 된다. 그런데 이런 수칙들이 신호등 파란 불일 때만 길을 건너야 한다는 것 마냥 간단한 게 아니라 ‘몰라서’ 못 지키기도 하고, ‘깜빡해서’ 잊기도 한다. 그리고 그런 실수 때문에 입어야 하는 불이익은 앞으로 일어날지 안 일어날지 모르는 보안 사고보다 더 직접적이고 현실적이다. 그래서 대부분의 경우 보안 담당자들은 현장에서 이러한 규칙과 법들부터 확실하게 공부한다.

그런데 법과 규칙을 공부하는 게 어디 쉬운 일인가. 괜히 성적 좋은 사람들이 법대 가는 거 아니지 않은가. 정보보안은 IT 분야에 속해있기도 해서 최신식 기술 공부가 필수이고 그것만도 버거운데, 법까지 하려니 여간 힘든 게 아니다. 그리고 이렇게 힘들게 공부해도 현장이 반드시 법 대로만 돌아가지 않는다. 그래서 편법 행위도 개발되고, 그 틈새를 메우는 법안이 새롭게 나오고, 법 개정 속도가 너무 느리다는 불만도 나온다. 체크리스트의 현장성 문제다.

체크리스트가 문제라고 하는 사람들은 그 내용 자체가 현장 상황을 충분히 반영하지 못한, 불완전하기 때문에 문제라고 한다. 반대로 체크리스트를 만든 사람들은 제대로 지키지 않는 게 문제라고 한다. 둘 다 맞는 소리다. 법이란 건 불완전하기에 개정되고 없어지고 새로 생긴다. 사람은 모든 규칙을 빠짐없이 지키는 걸 힘들어할 수밖에 없는 불완전한 존재다. 누군가는 그 불완전함이 메워지거나 보충되는 시간의 틈에서 피해를 본다. 그리고 그 피해를 통해 우린 허점들을 발견하곤 한다. 틀린 문제 복기하면서 시험공부 하듯이 말이다.

맥도날드 사태를 보며 체크리스트를 둘러싼 논란의 핵심은 무엇일까, 생각해보지 않을 수 없었다. 원인은 물어보나 마나 만드는 자와 지키는 자가 가지고 있는 태생적인 불완전함이다. 그러나 그 결론은 ‘어쩔 수 없으니 그냥 이대로 살자’로 이어진다. 그건 별로다. 이 사건에서 얻어가야 할 건, 적어도 보안 분야에 있다면, 더 꼼꼼하게 익힌 미래의 패티들 이상이어야 한다.

감히 생각하자면 이런 컴플라이언스 관련 ‘트러블’들을 발판 삼아, 어떠한 규칙이나 수칙에 대한 이분법적인 접근법으로부터 탈피하는 법을 배워야 한다고 본다. 즉 규칙이나 법을 대할 때 ‘지키거나 혹은 어기거나’ 둘 중 하나의 문제로 바라보는 ‘쉬운 생각’을 수정할 수 있어야 한다는 것이다. 규칙은 씹고 뜯고 맛보면 얼마든지 ‘잘’ 지키거나 ‘잘’ 어길 수 있는 것이다. ‘지킨다’와 ‘어긴다’의 극단 사이에도 꽤나 넓은 영역이 존재하는데, 이걸 잘 누릴수록 자기에게 돌아오는 것이 많다는 건 – 애석하지만 – 교묘하고 얄미운 편법 행위자들을 통해 증명되어 온 바다.

그 외에도 좋은 방향으로 규칙을 ‘잘’ 지키는 사람들을 옆에서 보면 다음과 같은 특징들이 있다. 이는 자기계발서가 아니라 여러 훌륭한 보안 담당자들을 현장에서 만나며 찾아낸 공통점들이기도 하다.

1) 규칙의 표면에 있는 세부사항에 머물러 있지 않고 해당 규칙 만들어진 근본적인 이유를 파악한다. 예를 들면 햄버거를 안전하고 깨끗하게 만들어서 안전한 음식을 제공한다는 그 취지를 ‘체크리스트’로부터 읽어낸다는 것이다.
2) 그 근본 이유를 이해하고 추구하다보니 허점들을 발견한다. 이들이 발견하는 허점은 ‘지키기 불편해서’라던가 ‘현장의 특수한 상황과 맞지 않아서’에만 근거하지 않고, 그 규칙이 지향하는 목적을 이루는 데에 방해가 되는 것들이다. 예를 들면 체크리스트에 명시된 패티 굽는 시간이 해당 매장의 기계 상황상 짧다는 걸 파악하는 것이다.
3) 그 허점에 대해서 알린다. 대의적인 근거를 가지고 있으므로 설득력이 강하다. 그리고 그 허점들이 고쳐질 때까지 스스로의 ‘보완책’을 만들어 그걸 지켜나간다. 예를 들면 위에서 말한 패티 익히는 시간을 근무자들에게 알리고 자체적으로 늘린다던가, 기계를 정비한다든가 하는 것이다.

또한 체크리스트를 기계적으로 신봉하는 태도는 그걸 만들고 배포하는 자들도 버려야 할 것이다. 패티가 안 익어서 아이가 병에 걸렸다는 주장에 ‘우리 체크리스트가 있어 그럴 리 없다’는 반박은 얼마나 궁색한가. 그 체크리스트를 실행하고 검사하는 인간이란 존재가 불완전하다는 걸 모두가 아는데 말이다. 실제로 근무 경험자들 다수가 ‘체크리스트대로 운영되지 않는다’고 증언하기도 했다. 차라리 ‘역학조사를 토대로 했을 때 발병하기 전에 가장 마지막에 먹은 음식이 햄버거였다는 증언 자체가, 햄버거가 발병 원인이 아니라는 걸 나타낸다’거나 ‘당시 수많은 햄버거를 판매하였지만 단 한 건도 해당 질병이 나타나지 않은 걸 봐서, 햄버거가 원인이 되었을 가능성이 낮다’고 했다면 지금 매장들에 손님이 조금이라도 더 많지 않았을까.

체크리스트는 – 그러니까 컴플라이언스는 – 법이라는 게 본질적으로 그렇듯 최소한의 윤리이며 규범이다. 사회와 조직을 이루는 뼈대일 뿐이다. 여기에 살을 ‘잘’ 붙이는 건 그 뼈대 위에 살아가는 당사자들이다. 그건 패티 굽는 매뉴얼을 작성하는 맥도날드 당사나, 그걸 실행하는 매장 직원들뿐 아니라 아이에게 햄버거를 먹이기 전에 빵을 열어 최종 점검을 해야 하는 부모들 모두가 여기에 포함된다. 당사자들이 주어진 임무를 ‘잘’ 지킬 생각을 하지 않은 틈새로 아이만 하나 아프게 됐다.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)