독자 여러분들은 보안에 적용할 만한 외부 수업에 관심 있는가? 당연히 있을 것이다. 필자의 경우, 체스를 통해서 보안 전략을 배웠다.
필자는 5월에 쓴 편집자 칼럼에서, 전략과 전술을 주제로 다룬 적이 있다. 전략과 전술간의 균형을 잡는 것은 체스에서 상대와 싸워서 이기는 것만큼 매우 중요하다. 보안도 마찬가지다. ‘나’를 공격하려는 적과 싸우는 게 바로 보안이기 때문이다.
전략과 전술의 차이점 중 하나는 다음과 같다.
전략은 무엇을 해야 할 지를 결정하는 것이고 전술은 그 일을 수행하기 위한 구체적인 단계다.
필자는 전략과 전술이 분명하게 구분되지만, 이 둘이 복잡하게 연결됐다는 사실에 동의한다.
전술 능력이 없다면 의미 있는 전략을 짜는 것이 매우 어려울 것이다. 체스에서 많은 점잖은 전략적 선수들(특히 필자처럼 오랜 경험이 있는)은 전략적으로 떨어지는 전술 마법사(종종 어린 아이)와의 게임에서 패배한다.
"체스판에서 기사를 얻었다면, 분명 나는 이겼을 것이다”라는 말은 체스의 명인들이 게임이 끝나고 나서 늘어놓는 변명이다. 이 때 체스의 신참내기가 한마디 한다. “음, 그래요. 하지만 당신은 졌어요”라고 말이다. 체스 말에 대한 구체적인 전술은 전략의 실행을 방해했다. 따라서 그것은 실패한 전략이 됐다.
반면, 이 신출내기 전략가가 체스의 명인과 게임을 할 때, 이 신출내기 전략가의 전술이 뛰어나다 해도 이는 전혀 게임에 아무런 영향도 미치지 못한다. 신출내기 전략가는 매우 구체적인 전술로 말의 움직임을 계산하는 데만 자신의 모든 시간을 할애한다. "내가 말을 이쪽으로 옮기면, 상대방이 저쪽으로 가겠지. 그럼 내가 상대의 기사를 가질 수 있어"라고 머리 속으로 생각한다.
그러나 체스의 명인은 "그럴지도 모르지. 하지만 상대가 비숍(bishop)을 움직이기 전에 이미 내가 이길 수도 있다"라고 답했다.
명인의 전략적 접근 방식은 훨씬 더 강력하다. 명인은 일부 특별한 지점을 제외하고 자신의 움직임을 계산하지 않고도 이길 수 있다는 것을 알고 있다.
다시 보안으로 돌아가서 CSO, CISO, 다른 보안 총괄자들과 모든 상황에 대한 아이디어를 공유하고자 한다.
아이디어 중 일부는 전술이며, 일부는 전략이다. 일부는 CSO의 구체적인 업무에 해당되며 일부는 다시 조치를 취할 것을 권장하고 큰 그림 목표를 조정하는 것이다.
연말은 전통적으로 업무를 마치고 한 해를 돌아보는 좋은 시간이다. 이 문제에 제시된 전략적 아이디어가 CSO들에게 도움이 될 것이다.
그러나 전술을 무시해선 안된다.
게임에서 이기려면 전략과 전술 모두 필요하기 때문이다. ciokr@idg.co.kr