일론 머스크가 도널드 트럼프 대통령의 최측근이 아니라 스페이스엑스(SpaceX)와 테슬라(Tesla)의 설립자로 더 잘 알려져 있을 때, 그는 직원들의 두문자어 남용에 대해 경고한 바 있다.
2010년 머스크가 직원에게 보낸 서한 내용은 다음과 같다.
“스페이스엑스에서 임의로 두문자어를 사용하는 경향이 늘고 있습니다. 과도한 두문자어 사용은 의사소통에 심각한 장애가 됩니다. … 실제로 두문자어의 모든 뜻을 기억할 사람은 없으며, 회의에서 무지해 보이고 싶지 않기에 그저 모르는 채로 앉아있게 됩니다. … 이를 즉시 멈춰야 하며, 그렇지 않으면 강력한 조치를 취할 예정입니다. … 합리적으로 정당화될 수 없는 두문자어가 있다면 과거에 요청했던 것처럼 삭제해야 합니다.”
다소 강압적으로 보일 수 있지만, 기술 산업에서 두문자어의 과다 사용이 명확하고 간결한 의사소통에 실제로 문제를 일으킬 수 있다는 점은 부인할 수 없다. 이해와 투명성이 요구되는 분야에서는 특히 우려되는 문제다.
사이버보안 분야에는 APT, CTI, DDoS, EDR, IAM, MDR, MSSP, SASE, SIEM 등 수많은 두문자어가 있다. CISO와 다른 사이버보안 전문가는 이런 용어를 즉시 이해할 수 있지만, 회사나 다른 부문의 신입 직원들은 그렇지 못할 가능성이 높다.
발음은 또 어떨까? 동료 CISO에게 직함을 어떻게 발음하는지 물어보라. ‘시소’인가, ‘씨소’인가? 아니면 ‘C-I-S-O’로 하나씩 발음하는가? SIEM은 어떤가? ‘심’? ‘시엠’? ‘사이엠’?
만약 사이버보안 분야에 두문자어가 적당한 수준이라고 생각한다면, 깃허브(GitHub)의 방대한 약어 목록을 확인할 필요가 있다. 사이버보안 전문가들도 가끔 자신의 작업에서 이를 비꼬듯 인정한다. 보안 개발자 빅터 알바레즈가 악성코드 탐지 도구를 개발하고 ‘YARA’라고 명명한 것처럼 말이다. 알바레즈는 X(구 트위터)에서 “YARA란 또 다른 터무니없는 두문자어(Yet Another Ridiculous Acronym)를 뜻한다. 원하는 대로 사용하라”라고 언급했다.
긴급할 때 혼란 초래
조직이 대규모 해킹이나 보안 침해를 겪고 있을 때, 직원이나 고객이 회사 이메일, 메모, 위기 대응 계획을 이해하고자 구글 검색을 해야 한다면 대응이 늦어질 수 있다.
또한 두문자어가 사이버보안 기업의 외부 마케팅이나 커뮤니케이션에 사용될 때, 일반 사용자는 삶과 비즈니스에 큰 영향을 미치는 문제나 혁신에 대한 뉴스를 외면하게 될 가능성이 높다. 인공지능(AI)이나 머신러닝(ML) 기술의 발전으로 새로운 두문자어가 등장하고 있는 만큼, 이런 경향은 앞으로 더 심화될 수 있다.
두문자어는 실생활에서 불쾌한 의미를 줄 수도 있다. 예를 들어 판매 시점(point of sale)을 POS로 줄이면, 영어 발음으로는 ‘형편없는 것’을 의미하게 된다. 필자는 글로벌 온라인 뉴스 조직인 ‘더 컨버세이션(The Conversation)’의 편집자로서 사이버보안 학자를 포함한 학계 전문가들이 쓴 글을 편집하고 있는데, 분야에 상관없이 많은 학자들이 전체 용어 대신 두문자어를 쓰기를 선호한다. 그러다 보니 교정 작업에서 이를 풀어쓰거나 삭제하는 작업을 거치다가 불만을 듣기도 한다. 특히 저자가 직접 만든 두문자어를 지울 경우에는 더 그렇다. 이를 자랑스러워하기 때문이다.
적절한 두문자어 사용 방식
더 컨버세이션의 원칙은 IT, WiFi, FBI, NATO, CEO, CNN과 같이 잘 알려진 경우가 아니라면 사용하지 않는 것이다. 일상 대화에서 사용하지 않는 두문자어는 반복 언급되더라도 풀어서 표기한다.
CSO 온라인을 포함한 기술 조직과 출판물은 허용 가능한 두문자어를 상세히 설명하는 자체 스타일 가이드를 가지고 있다. 하지만 일반적인 규칙으로서, 서면 커뮤니케이션에서 처음 언급할 때는 전체를 풀어쓰는 것이 좋다.
원고에서 제거해야 했던 다소 우스꽝스러운 두문자어를 소개한다.
- 스마트 홈 기술을 의미하는 SHT(smart home technologies)
- 얼굴 인식 기술을 의미하는 FRT(facial recognition technology)
- 약물 사용자를 의미하는 PWUD(people who use drugs)
- 극심한 기상 이변을 의미하는 EWE(extreme weather events)
- 구조 및 환경 기술을 의미하는 SET(structural and environmental technologies)
- 국가 적응/행동 계획을 의미하는 NAP(national adaption and/or action plans)
- 해를 끼친 사람을 의미하는 PWHCH(a person who has caused harm)
(이런 두문자어 중 일부는 PWHCH가 사용하는 것으로 여겨지며, 독자를 PWUD로 만들 위험이 있다.)
왜 사용할까?
그렇다면 용어를 이해하기 어려운 두문자어로 줄여서 사용하는 경향이 왜 생겼을까?
사이먼 프레이저 대학교의 혁신 및 운영 관리 교수인 이안 P. 맥카시는 “한편으로 두문자어, 축약어, 전문용어는 의사소통의 간결성, 표준화, 효율성을 달성하기 위해 사용되므로 전문적이고 기술적인 언어가 많은 직종에서 많이 사용될 것”이라고 설명했다.
그는 “하지만 의사소통이 직업의 정체성과 전문성을 정의하는 역할을 하기 때문에, 두문자어 사용에는 해당 직무에 능숙한 사람을 선택하고 제한하는 일종의 엘리트주의가 숨어있다. 이를 사용하는 것은 전문가 커뮤니티에 속할 자격이 있다는 신호를 보내는 것”이라고 말했다.
이는 다시 말해 업계가 두문자어를 궁극의 비밀 무기로 채택해, 시간 절약뿐만 아니라 내부자만이 대화를 따라갈 수 있는 배타적인 구도를 형성하려는 목적으로 사용하기도 한다는 의미다. 이는 불편함을 넘어 신입 직원의 온보딩 속도를 늦추고, 잠재적 협력자를 소외시키며, 중요한 업무 내용을 모호하게 할 수 있다.
옳든 그르든 기술 업계는 이미 엘리트주의적이고 배타적이라는 비판에 직면해 있다. 사이버보안 분야는 여성과 소수 인종 채용 측면에서 진전을 보이고 있지만, 아직 해야 할 일이 많다.
두문자어가 실제로 방해될 때
접근하기 어려운 언어를 사용하면 다양한 배경을 가진 사람들과의 소통이 더욱 어려워진다. 사이버보안 기업의 신입 직원이나 고객은 끝없는 두문자어로 가득한, 완전히 다른 언어를 접하는 듯한 느낌을 받을 수 있다.
두문자어가 유용할 때도 있지만, 과도하게 사용되면 다음과 같은 문제를 야기할 수 있다.
- 진입 장벽: 신입 직원에게 끊임없는 두문자어 공세는 위협적이고 좌절감을 줄 수 있다. 수천 개의 생소한 용어에 압도되면서 사이버보안 프로토콜을 이해하려 노력하는 신입 직원을 상상해 보라. 업계 내부자들의 빠른 소통을 돕기 위해 만들어진 두문자어가 오히려 신입 직원을 소외시키고 조직이 빠르게 움직여야 할 때 속도를 늦출 수 있다.
- 중복과 모호성: ASP(응용 서비스 제공자 또는 액티브 서버 페이지)처럼 두문자어는 맥락에 따라 여러 의미를 갖는다. 누군가 ‘APT’를 언급할 때, 고도의 지속적 위협(advanced persistent threat)을 말하는 것인지 아니면 전혀 다른 의미인지 알 수 있을까? 이러한 모호성은 중요한 의사소통에서 오해를 일으켜 보안 취약점을 발생시킬 수 있다.
- 두문자어 피로: 머스크가 2010년 서한에서 언급했듯이, 현장에 있는 전문가들조차도 엄청난 양의 용어로 인해 새로운 개발 사항을 따라잡기 어려운 ‘두문자어 피로’에 직면할 수 있다. 이는 최신 위협과 해결책을 이해하는 것이 중요한 사이버보안에서 특히 문제일 수 있다.
- 투명성 상실: 사이버보안이 일상 생활에서 더욱 중요해진 만큼 일반 사용자도 기본적인 보안 개념을 이해할 필요가 있다. 이때 두문자어는 명확성을 높이기보다는 모호하게 만든다. MFA와 VPN 같은 개념은 이 도구가 자신을 보호하기 위한 것이라는 사실을 알더라도 용어를 이해하지 못하는 사용자에게는 당혹스러울 수 있다.
더 친숙하게 만드는 방법
피하는 것만이 유일한 해결책은 아니다. 두문자어는 복잡한 개념을 압축하는 데 중요한 역할을 한다. 실제로 오래된 기본 두문자어 목록과 신조어는 사이버보안 조직에 도움이 되곤 한다. 하지만 두문자어의 과다 사용을 줄이고 맥락을 제공하면 더 접근하기 쉽게 만들 수 있다. 이해도를 높일 수 있는 몇 가지 접근 방식을 소개한다.
- 용어집: 조직은 특히 더 많은 사람을 대상으로 하는 온보딩 자료나, 일반 사용자를 대상으로 하는 자료에서 흔히 사용되는 두문자어에 대한 표준화된 용어집을 만들 수 있다. 이렇게 하면 새로 온 사람들이 필수 용어에 더 쉽게 익숙해진다.
- 간단한 설명 첨부: 잘 사용하지 않는 두문자어를 사용할 때 간단한 설명이나 정의를 제공하면 의미가 명확해진다. 이미 문서나 업계 기사에서 흔히 볼 수 있는 이 접근 방식을 조직 내 프레젠테이션, 회의, 이메일 등으로 확대할 수 있다.
- 불필요한 남용 피하기: 편집자로서 최근 한 기사를 공동 편집하면서 동료에게 “’극심한 기상 이변’이라고 쓰는 게 그렇게 번거로운 일일까?”라고 물었다. 동료는 “그냥 토네이도, 허리케인, 홍수 등 실제로 무엇이든 쓰면 안 될까?”라고 답했다. 모든 표현에 두문자어가 필요하진 않으며, 경우에 따라서는 일반 용어로 대체할 수 있다. 가장 일반적이거나 널리 이해되는 용어만 두문자어로 남겨도 그 총량이 줄어든다.
- 교육: 새로운 용어와 기존 두문자어를 교육하는 정기적인 프로그램을 통해 조직의 모든 직원이 부담을 느끼지 않고 동일한 정보를 공유할 수 있다.
레딧의 한 기술 분야 종사자는 농담조로 “사이버보안 전문가들은 두문자어 사용으로 절약한 시간에 뭘 할까?”라고 묻기도 했다. 전문가들은 모든 직원, 고객 및 이해관계자의 이익을 위해 명확하고 간결한 언어의 우선순위를 정하고, 조치를 취할 방법을 생각하는 데 시간을 사용할 수 있다. 극작가 조지 버나드 쇼의 말을 빌리자면, 소통의 가장 큰 장애물은 소통이 이뤄졌다는 착각이다. 과도한 두문자어 남용은 이런 착각을 불러일으키기 마련이다.
[email protected]
Read More from This Article: ‘APT, CTI, EDR···’ 사이버보안 업계에 두문자어가 가득한 이유
Source: News