아날로그 인시던트 스토리 컴퍼스 가든: 책상 위 종이 풍경으로 가장 위험한 일을 조용히 가리키는 방법

아날로그 인시던트 스토리 컴퍼스 가든

책상 위에 펼치는 종이 풍경, 가장 위험한 일을 조용히 가리키게 만들기

대부분의 보안·리스크 팀은 데이터는 넘쳐나는데, 정작 정렬(alignment)은 부족한 상태에 가깝습니다.

대시보드, 스프레드시트, SIEM 알림, OKR, 분기별 리포트까지 다 갖고 있습니다. 그런데 막상 이렇게 물어보면 어떨까요? “지금 우리에게 가장 위험한 일은 정확히 뭐죠?”
돌아오는 답은 사람 다섯 명이면 다섯 가지가 제각각입니다.

여기서 등장하는 개념이 바로 아날로그 인시던트 스토리 컴퍼스 가든(Analog Incident Story Compass Garden) 입니다.
종이 위에 만드는 책상 크기의 리스크 풍경(risk landscape) 으로, 기능 조직을 가로질러 공유되면서, 매일매일 가장 중요한 리스크를 조용히 가리켜 주는 도구입니다.

화려한 툴이 아닙니다. AI도 아닙니다. 또 하나의 대시보드도 아닙니다.

손으로 만지고, 책상 위에 펼쳐 두고, 펜으로 직접 업데이트할 수 있는 단순하지만 구조화된 시각적 리스크 지도입니다.

아래에서는 이 아날로그 접근 방식이 왜 효과적인지, 어떻게 공통 프레임워크 위에 올릴 수 있는지, 그리고 정적인 차트를 살아 있는 ‘최우선 위험 컴퍼스’로 바꾸는 “인시던트 가든” 연습을 어떻게 운영하는지 살펴보겠습니다.

데이터보다 중요한 건, 모두가 공유하는 ‘리스크 풍경’

‘정원’을 심기 전에, 먼저 흙(soil) 이 필요합니다. 즉, 공통의 리스크 언어와 구조입니다.

대부분의 조직에는 이미 어딘가 정책 폴더 안에 리스크 프레임워크가 존재합니다. 하지만 대개는 PDF 속 빽빽한 텍스트에 묻혀 있을 뿐, 사람들이 함께 보고, 쓰고, 토론하는 도구로 살아 있지 않습니다.

구조화된 프레임워크에서 시작하기 (예: FERMA)

FERMA(유럽 리스크 경영협회)의 리스크 관리 표준과 같은 프레임워크는 다음과 같은 요소를 제공합니다.

일관된 리스크 카테고리
(예: 운영 리스크, 전략 리스크, 재무 리스크, 규제·컴플라이언스 리스크, 사이버 리스크 등)
표준화된 평가 차원
(발생 가능성, 영향도, 속도/긴급도, 탐지 가능성 등)
공유된 정의
(예: “고위험(High risk)”이 무엇을 의미하는지 끝없는 논쟁을 줄여 줌)

이렇게 구조화되고 공유된 프레임워크 위에 아날로그 리스크 풍경을 만들면:

모든 팀이 리스크를 같은 방식으로 시각화하게 되고
경영진은 부서별 보고 대신 통합된 그림을 한눈에 볼 수 있으며
크로스펑셔널 논의가 같은 전제와 언어를 기반으로 진행됩니다.

프레임워크는 ‘문법’이고, 아날로그 풍경은 그 문법 위에 쓰는 ‘이야기’입니다.

스프레드시트에서 풍경으로: 리스크 가든 디자인하기

리스크 레지스터와 보고서는 대체로 텍스트, 약어, 숫자 점수로 가득합니다.
사람들은 대충 훑어보고, 금세 잊어버리고, 가능하면 피하려고 합니다.

여기서 관점 전환이 필요합니다. 보안·리스크 데이터를 디자인 문제로 바라보기입니다.

복잡하고 텍스트 위주인 정보를, 사람들이 한눈에 읽을 수 있는 직관적인 시각적 풍경으로 어떻게 바꿀 수 있을까?

1단계: 단순한 그리드를 선택하라

먼저 큰 종이 한 장을 준비합니다.
A3 용지, 포스터보드, 혹은 드라이Erase 마커를 쓸 수 있는 라미네이팅 매트를 사용해도 좋습니다.
그리고 그 위에 분명한 격자(grid) 를 그립니다.

가장 클래식한 레이아웃은 다음과 같습니다.

X축: 발생 가능성 (희박함 → 거의 확실함)
Y축: 영향도 (낮음 → 치명적)

혹은 전략 정렬(Strategy alignment)이 더 중요하다면:

X축: 시간 축 (현재 → 12개월 이후)
Y축: 전략/미션 영향도 (미미함 → 미션 크리티컬)

핵심 비결은 일관성입니다.

모든 팀에 동일한 평가 스케일을 사용하고
종이 위에 명확한 라벨과 범례(legend) 를 적어 두며
누구라도 30초 안에 설명할 수 있을 만큼 단순하게 유지합니다.

2단계: 단순한 시각적 기호로 더 많은 정보 담기

그리드를 만들었다면, 이제 복잡하게 어지럽히지 않으면서 정보를 한 겹 더 쌓을 수 있습니다.

색상(Color):
사이버 리스크는 빨간색, 운영은 파란색, 컴플라이언스는 초록색…과 같이 구분
모양(Shape):
원형은 위협(threat), 사각형은 취약점(vulnerability), 삼각형은 통제 공백(control gap)
크기(Size):
종합 리스크 점수가 높을수록 더 큰 마커를 사용

이렇게 만든 마커를 그리드 위에 올려놓으면 서로 겹치는 지점이 자연스럽게 드러납니다.

운영 프로세스를 동시에 압박하는 사이버 위협
전략적 평판에도 직격탄을 날리는 컴플라이언스 이슈
여러 리스크 카테고리에 연쇄적으로 영향을 주는 단일 통제 취약점

이러한 단순한 시각적 기호 덕분에, 각 리스크를 스프레드시트의 개별 행으로 따로따로 보기보다, 서로 어떻게 상호작용하고 복합·증폭되는지 훨씬 쉽게 파악할 수 있습니다.

3단계: 손으로 직접 움직일 수 있게 만들기

리스크 풍경을 촉각적으로(tactile) 만드세요.

각 리스크를 포스트잇, 자석, 작은 카드로 만들어 배치하고
과도한 전문 용어 대신 짧고 쉬운 문장으로 레이블을 달고
이해가 바뀔 때마다 사람들이 직접 위치를 옮기도록 합니다.

시스템과 위협이 점점 복잡해질수록, 오히려 아날로그 혹은 단순화된 시각 도구가 복잡한 대시보드보다 더 잘 핵심을 드러낼 때가 많습니다.
세밀한 정밀도는 다소 떨어질 수 있지만, 그 대신 조직 전체에 공유된 이해와 기억을 남겨 줍니다.

“인시던트 가든” 연습: 가장 위험한 일을 함께 탐색하기

이제 리스크 풍경을 만들었다면, 사람들을 정원으로 초대할 차례입니다.

이것은 일종의 크로스펑셔널 테이블톱(Tabletop) 연습입니다.
차이점은, 모두가 공유하는 하나의 물리적 지도(board) 를 중심에 두고 진행한다는 것입니다.

누구를 초대할까

다음과 같은 역할이 대표로 참여하면 좋습니다.

보안 / 리스크 팀
엔지니어링 / IT
운영(Operations)
법무 / 컴플라이언스
제품 / 비즈니스 오너
인시던트 대응 / SRE(해당되는 경우)

목표는, 서로 다른 사고 모델을 가진 사람들이 한 방에 모여,
하나의 물리적 지도를 중심으로 같은 풍경을 바라보게 하는 것입니다.

인시던트 가든 세션 운영 방법

범위 정하기(Scope 설정)
테마를 하나 정합니다. 예를 들어:
- “고객 데이터 유출”
- “핵심 시스템 랜섬웨어 감염”
- “3자 SaaS 서비스 침해”
정원에 첫 묘목 심기(Seed the garden)
리스크 레지스터에서 이미 정의된 리스크 5~10개를 먼저 골라,
현재 점수에 맞춰 그리드에 배치합니다.
각 기능 조직별로 카드 추가하기
각 팀에 이렇게 질문해 보세요.
- 이 시나리오와 관련해, 당신 팀의 일은 어디서 어떻게 실패할 수 있나요?
- 다른 팀은 당신 팀에 어떤 의존성을 갖고 있고, 그게 어디서 끊어질 수 있나요?
- 우리가 당연하게 믿고 있는 가정 중에, 실제로는 틀릴 수 있는 것은 무엇인가요?
지도 위에 인시던트 스토리 그리기
현실적인 시나리오 하나를 잡고, 단계별로 따라가 봅니다.
- “공격자가 X에 접근 권한을 얻는다…”
- “그 결과 Y가 영향을 받는데, 이유는 …이다.”
- “우리가 이를 발견하는 시점은 …이고, 방법은 …이다.” 논의 과정에서 새 정보가 나오거나, 영향도/발생 가능성 평가가 잘못되었다는 것이 드러나면
  그에 맞춰 마커의 위치를 계속 옮깁니다.
갭과 고통 지점을 ‘쉬운 말’로 정리하기
지도 옆에는 별도의 간단한 리스트를 둡니다.
- 우리가 갖고 있지 않은(하지만 필요한) 통제(Control)
- 수집해야 하지만 아직 수집하지 않는 지표(Metrics)
- 단일 장애 지점(Single point of failure)
- 책임·소유권이 불분명한 영역

이 과정은 개별 부서 리포트에서는 잘 드러나지 않던,
숨겨진 의존관계와 연결조직(connective tissue) 을 수면 위로 끌어올려 줍니다.

세션에서 컴퍼스로: 인사이트를 ‘움직이는 나침반’으로 만들기

좋은 리스크 연습은, 테이블 위 포스트잇으로 끝나지 않습니다.
세션 이후에도 이동하고 재사용되는 아티팩트(artifact) 로 이어져야 합니다.

다른 사람도 쓸 수 있는 후속 지도 만들기

각 인시던트 가든 세션이 끝난 후에는 다음을 정리합니다.

최종 리스크 풍경의 사진 또는 깨끗하게 재작성한 버전
짧은 내러티브 요약
- 어떤 시나리오를 따라가 보았는가?
- 무엇이 우리를 놀라게 했는가?
- 어떤 리스크가 그리드에서 이동했으며, 왜 그렇게 옮겼는가?
최상위 갭 리스트(Top gaps), 각 항목별로:
- 책임자(Owner)
- 다음 액션(Next step)
- 대략적인 일정(Timeframe)

원한다면 시간 흐름에 따라 버전이 다른 지도 시리즈를 유지해도 좋습니다.

통제 이전 상태 (초기 풍경)
주요 완화조치 이후 상태 (업데이트된 풍경)

이렇게 하면 리스크 업무가 더 이상 보이지 않는 곳에서 벌어지는 일이 아니라,
눈에 보이게 만들 수 있습니다.
경영진은 스프레드시트 숫자가 조금 바뀐 것뿐만 아니라,
실제로 풍경 자체가 어떻게 재구성되고 있는지를 확인할 수 있습니다.

책상 위에 심는 ‘컴퍼스 가든’

마지막 단계는 워크숍에서 사용한 큰 지도를,
각 리더나 핵심 팀이 항상 곁에 둘 수 있는 작고 견고한 책상용 버전으로 축소하는 것입니다.

예를 들어 다음과 같은 형태일 수 있습니다.

현재 상위 10~15개 리스크와 그 위치가 표시된 라미네이팅 A4 시트
노트에 끼워둘 수 있는 접이식 카드
모니터 옆에 붙여두는 간단한 출력물

이게 왜 중요할까요?

작지만 항상 눈에 들어오는 지속적인 시각 단서(visual nudge) 는 다음과 같은 효과를 냅니다.

핵심 위협과 취약 지점을 항상 주변 시야(peripheral vision) 에 남겨두고
매일의 우선순위 결정에 조용히 영향력을 행사합니다.
(“이 빨간 영역을 아직 안 고쳤는데, 정말 새 기능이 먼저일까?”)
새로운 논의가 나올 때마다, 빠르게 대화를 재정렬(re-anchor) 할 수 있게 해 줍니다.
(“이 신규 이니셔티브는 지도에서 어디쯤 위치하나요?”)

사람들이 실제로 손가락으로 가리키며 **“우린 지금 여기서 일하고 있는데, 리스크는 저기 있네요.”**라고 말하는 순간,
정렬되지 않은 상태를 외면하기가 훨씬 어려워집니다.

리스크 가든을 정착시키는 실용 팁

작게 시작하세요.
한 팀 혹은 한 개의 주요 제품 영역으로 먼저 파일럿을 돌려 본 뒤 확장하십시오.
쉬운 언어를 써야 합니다.
비기술 이해관계자가 지도를 읽지 못한다면, 아직 완성된 것이 아닙니다.
리스크 개수를 제한하세요.
각 뷰(view)마다 상위 10~20개에 집중하십시오.
모든 것을 지도에 올리기 시작하면, 결국 아무것도 눈에 들어오지 않습니다.
업데이트 주기를 정해두세요.
매월 혹은 주요 인시던트·조직 변화 이후에 지도를 새로 고칩니다.
이견을 환영하세요.
누군가는 “이 리스크는 여기”라고 하고, 다른 사람은 “아니다, 저기”라고 우기는 순간이 가장 가치 있는 학습 지점입니다.

결론: 숨겨진 스프레드시트가 아닌, 모두가 공유하는 ‘리스크 스토리’

아날로그 인시던트 스토리 컴퍼스 가든은 그저 멋들어진 은유가 아닙니다.
리스크를 소통하고 행동으로 옮기는 방식을 전환하는 프레임입니다.

다음과 같은 실천을 통해:

공유된 프레임워크 위에 리스크 업무를 세우고
단순한 그리드와 일관된 스코어링을 사용하고
텍스트와 숫자에 갇힌 데이터를 시각적·촉각적 풍경으로 바꾸고
크로스펑셔널 인시던트 가든 연습을 주기적으로 돌리고
세션 결과를 다시 쓰고 순환 가능한 지도와 리포트로 남기고
늘 눈앞에 둘 수 있는 책상용 리스크 풍경을 유지하면,

리스크는 더 이상 추상적인 중앙 조직의 일이 아니라,
조직 누구나 보고, 이해하고, 함께 항해할 수 있는 공유된 이야기가 됩니다.

가장 위험한 일이 어디에 있는지 알기 위해 더 많은 툴이 필요한 것은 아닙니다.

사람들이 함께 둘러서서, 논쟁하고,
조금씩, 하지만 꾸준히 다시 만들어 갈 수 있는 풍경이 필요할 뿐입니다.

그게 바로 아날로그 인시던트 스토리 컴퍼스 가든의 진짜 힘입니다.
리스크를 단순히 묘사하는 데 그치지 않고,
조용하지만 끈질기게, 가장 중요한 일 쪽으로 당신을 이끌어 주는 나침반이 되어 줍니다.