"기업보안, CEO가 챙겨야…"

기업의 정보보안 관리는 톱다운(top-down) 방식으로 해야 합니다. 최고경영자(CEO)가 먼저 나서지 않고 실무자들이 나선다고 해결되는 문제가 아닙니다.

최근 KT 고객 개인정보 유출 등 국내에서 대형 보안사고가 끊이지 않고 있다. 이러한 사고가 터질 때면 기업의 보안담당책임자(CSO)는 괴롭다. CSO에 대한 책임과 권한이 아직은 제한적인 상황에서 문책만 당하고 본질적 해결책을 찾기는 쉽지 않은 현실이다. 윤명훈 인포섹 보안기술연구소장은 이러한 현실을 지적했다.

윤 소장은 과거 컨설팅을 진행했던 모 대기업 CEO의 사례를 들었다. 그는 당시 이 기업에서 대량의 개인정보가 유출되는 보안사고가 발생하면서 CEO의 마인드가 180도 바뀌었다고 설명했다.처음에는 이 기업 CEO도 다른 기업 CEO들과 마찬가지로 '보안=비용'이라는 인식이 박혀있었다. 윤 소장은 대부분의 CEO들이 굳이 수익을 낼 수 있는 일도 아닌데 비용을 지출해야한다는 점에 대해 거부감이 큰 편이었다고 말했다.

그렇지만 이 회사는 대형 보안사고 이후 CEO가 직접 보안을 챙기기 시작했다. 심지어 협력사를 대상으로 보안사항 이행여부를 점검하겠다고 하자 그렇게 해서 되겠냐며 CEO가 직접 협력사 사장들을 불러놓고, 정보보안의 중요성에 대해 강연을 할 정도로 인식이 바뀌었다고 말했다.

아직까지는 국내 기업의 보안담당자들이 정보보안의 중요성을 강조해도, 예산이 없고 CEO의 추진력이 받쳐주지 않으면 임직원들 스스로 보안의식을 갖기 힘들다고 그는 설명했다.

더구나 기업 내 보안담당자들은 부수적인 부분으로 대하는 경우가 많다. 보안업계 관계자들은 모 금융회사의 부장급 직원이 임원급인 CSO로 인사발령이 나자 나보고 나가라는 것이냐며 화를 내고 사직서까지 제출했다는 일화를 소개했다. 그만큼 보안담당자들을 대하는 외부의 시선이 밝지 않다는 지적이다.

윤 소장 역시 사고가 터지면 담당자가 책임을 지고 문책 당하는 경우가 많다며 사고는 항상 발생할 수밖에 없는 것인데 CEO가 투자를 하지도 않던 보안을 문제가 발생한다고 책임자만 나가라고 하는 것은 어불성설”이라고 말했다.

■개인정보보호법 도입 효과 기대해 보자...

지난 3월부터 인포섹 보안기술연구소를 맡게 된 윤 소장은 2003년부터 보안컨설팅 업무를 시작했다. 당시만 해도 기업들이 우리가 왜 보안을 챙겨야 하는지 모르겠다는 인식이 대부분이라 컨설팅 업무에도 어려움을 겪었다고 밝혔다. 이를 두고 그는 기업들에게 개인정보 점검이 영업에 큰 도움이 되지는 않지만 마이너스를 얼마나 줄일 것인가를 봐달라고 설득했다고 한다.

국내에서 보안조직이 생겨나기 시작한 것은 지난 1999년, 2000년대 IT붐이 일어나면서부터다. 윤 소장은 현 시점에서 보안이 부수적인 조직으로 인식되는 것이 이 때 첫 단추를 잘못 끼웠기 때문이라고 지적했다. 기존에는 총무부서에서 출입통제관리, CCTV와 같은 물리보안을 했었는데 IT붐이 일면서 작은 보안업무 담당자가 여기 통합됐다고 설명했다. IT부서 담당자들이 보안까지 겸임하거나 별도로 1명의 보안인력을 두는 경우가 대부분이라 보안의 중요성에 대해 힘이 실리지 않은 채 지금까지 흘러왔다는 것이다.

이러한 현실에서 개인정보보호법이 지난 3월부터 시행된 것이 보안 인식에 전환점이 될 것이라고 윤 소장은 설명했다. 법적으로 제도화가 되면서 중장기적 관점에서 실효성 있는 보안 대책이 마련될 것으로 기대된다.

윤 소장은 지난 2005년 강도 높은 개인정보보호법을 지정해 관리하고 있는 일본의 경우, 법 도입 초기 대학 입시 합격자 명단조차도 공고하면 이 법에 위반될 만큼 엄격하게 지켜졌다고 말했다.