[시론] 기업 경영, ‘사이버 보안’의 눈을 떠라

읽기모드
음성지원
다크모드
폰트크기
- 가
- 가
- 가
- 가
- 가
- 가
북마크
공유하기
프린트
기사반응

얼마전 한 대기업 CISO(정보보호최고책임자)로부터 "1년 동안 임원 회의에서 정보보호 관련된 논의 및 보고 건수는 단 한 건도 없었다"라는 놀라운(?) 이야기를 들은 적이 있다. 그리고 보안 담당자들로부터는 조직에 중요한 문제가 얼마나 많은 데 정보보호가 경영진에게까지 보고 되겠느냐는 자조 섞인 이야기도 들은 적이 있다. 아마도 경영자는 아주 바쁜 직책이라서 대부분의 정보보호 관련된 사항은 CISO나 정보보호담당자가 전결처리하고 주요한 것만 CISO가 경영자에게 직접 구두 보고했을 것으로 생각된다.

최근 일본의 한 협회에서, 기업에 있어서 경영층이 정보보호에 어떻게 관여하고 있는 가라는 설문 조사에서, 경영 회의에서 정보보호에 대해서 심의·보고하는 기업은 약 30%에 불과하며, '경영 간부가 적극적으로 정보 보호에 관여하고 있는가라고 하면 사실은 그렇지 않다'라고 지적하고 있다. 이러한 조사 결과에서 알 수 있듯이 우리나라 정부 부처, 기업, 기관 등의 경영자들도 정보보호에 대한 인식은 그다지 다르지 않을 것으로 추정해본다.

아직도 대부분의 경영자들은 "보안? 개인정보보호? 그것 보안 시스템만 있으면 되는 것 아냐!"라고 생각하는 분들도 의의로 많은 것 같다. 그리고 보안은 정보보호담당자가 알아서 책임지고 다하는 것 아냐? 사고가 나지 않으면 되지. 왜 나지도 않을 사고를 미리 호들갑을 떨면서 많은 비용을 들여야 하는지 모르겠다고 투덜대는 경영자들도 여전히 많은 것 같다. 경영자가 걱정해야 할 조직의 리스크가 어디 보안뿐이냐라고 하면서 정보보호를 투자로 보기보다는 비용으로 보거나 심지어 규제로 바라보는 경향도 아직도 많은 것 같다.

사실 보안의 필수 요소 가운데 경영자의 관심과 리더십은 아주 중요하다. 경영자의 보안 관심이 높은 조직일수록 반드시 그 조직의 보안 역량은 뛰어나며, 조직의 보안 역량이 뛰어난 배경에는 반드시 경영자의 보안 인식과 리더십이 자리 잡고 있음을, 많은 보안 전문가들은 이구동성으로 주장하고 있다. 경영자가, 조직 운영상 정보보호 투자에 대한 여력이 다소 부족해도, 정보보호에 대한 관심과 리더십이 뛰어나다면 그 조직의 보안 수준과 역량은 크게 개선될 수 있다.

평소에는 아무런 관심조차 없다가 보안 사고가 발생하면, 보안 실무자들을 추궁하고 직접 진두 지휘하는 군대식 사고 수습을 하는 경영자들을 언론을 통해서 쉽게 볼 수 있다. 이러한 경영자의 모습은 열심히 보안을 하고 있는 것처럼 보일 수 있을지 모르지만, 오히려 사고가 발생하면 경영자는 보안 담당자들을 안정시키고 언론 대응이나 사고 대처 등 외부 기관으로부터의 업무 부담을 분산시켜주면서, 사고 책임자가 바로 경영자 자신임을 주지시키면서 조속한 사고 파악과 업무 연속성을 위한 사고 복구에 전념할 수 있도록 리더십을 발휘하는 것이 바람직하다고 생각한다. 그리고 보안은 평소에 적극적으로 예방 활동을 하며, 보안 담당자들에 대한 관심과 격려 또는 조직의 보안 문화 개선에 PDCA(Plan Do Check Act)관점에서 지속적으로 추진해야만 조직의 보안 역량이 강화될 수 있다는 점을 이해했으면 한다.

정보보호에 대한 투자만이 아닌, 이러한 자그마한 경영자의 관심(?)이 평상시 CISO와 대화하도록 할 것이며 정보보호담당자들을 격려하고 지원하게 할 것이며 조직 구성원에게 정보보호 인식의 중요성을 강조하게 할 것이라고 생각한다. 정보보호는 돈으로만 해결할 수 있는 것이 아니라 경영자의 이러한 관심과 리더십이 더해 진다면, 조직의 정보보호 역량은 크게 강화될 수 있음을 인식하였으면 한다.

최근 바쁜 경영자들에게 도움이 되는 경영자를 위한 사이버 보안 가이드라인이 일본 경제산업성에서 제정됐다. 경영자들이 사이버 보안과 관련해 꼭 주지했으면 하는 내용으로, 사이버 공격으로 기업을 지키는 관점에서 경영자가 인식할 필요가 있는 '3원칙', 경영자가 정보보호대책을 실시하는 데 있어서의 책임자가 되는 CISO 등에게 지시해야만 하는 '중요 10 항목'을 정리한 내용이다. 우리나라도 경영자를 위한 사이버 보안 가이드 라인이 제정돼 바쁜 경영자들에게 도움이 되었으면 한다. 조직의 개인정보보호, 사이버 보안의 대응 역량 강화는 물론이고 국가의 사이버 보안 역량 강화에도 크게 도움이 될 것이라 생각한다.

박춘식 서울여대 정보보호학과 교수