[시론] `소극적 보안 투자`가 리스크다

박춘식 서울여대 정보보호학과 교수


정보보호 법칙 가운데 "조직의 보안은 각 분야의 유기적인 협조와 노력에 의해 지켜질 수 있으며, 한 분야의 취약점은 조직 전체의 보안수준을 저하시킬 수 있다"라는 리비히의 최소율의 법칙 또는 나무 물통의 법칙이 있다. 종합적인 정보보호 관리의 필요성을 말하고 있는 것이기도 하지만 조직의 보안 수준은 가장 높은 곳이 아니라 가장 취약한 곳이 그 조직의 보안 수준이 된다는 의미를 나타내고 있다.

마찬가지로, 한 국가의 정보보호 수준도 크게 정부 공공, 기업 그리고 개인으로 대략 나눠 정보보호 관리 관점에서 정책과 제도를 추진해야만, 한 나라의 보안 수준이 그나마 유지될 수 있다는 의미이기도 하다. 최근 우리나라는 정부나 공공기관 관점에서의 정보보호는 나름대로 법제도 제정 그리고 대책 마련에 대한 약간(?)의 투자, 훈련 및 점검 관리 등을 통하여 다소 개선이 이뤄지고 있지만, 기업이나 개인에 대한 정보 보호 정책이나 대책 등은 아직도 미흡하거나 전무한 실정이 현실이다.

우리나라 기업들은 정보보호를 투자가 아닌 비용으로 인식하고 있으며 여전히 투자에 소극적이다. 특히 2015년도 우리나라 기업 정보보호 실태 조사(미래창조과학부, 2016.1)에 의하면, 우리나라 전체 기업 가운데 81.4%의 기업은 단 1원도 정보보호에 투자하지 않으며, 단 1원이라도 투자하는 18.6%의 기업 가운데에서도 11.8%의 기업은 정보화 대비 정보보호예산이 1% 미만이며, 5% 이상인 기업은 겨우 1.4%에 불과할 정도로 너무도 경미할 정도로 보안에 대한 투자 수준이 미흡하다. 이는 미국 40%와 영국 46%인 것과 비교하면 우리나라의 1.4%는 IT 강국이라는 단어가 너무도 무색하다.

기업들의 특히 CEO의 보안에 대한 인식 또한, CEO의 임기 중에 보안 사고가 터지지 않으면 다행인 것을, 생기지도 않는 사고를 염려하여 막대한(?) 예산을 낭비하느냐고 하는 인식이 팽배해 있다. 만일 사고가 나더라도 과징금을 내는 것이 나으며, 그나마 과징금조차도 불가항력 등의 이유를 들면서 빠져나가면 된다고 생각하기도 한다. 게다가, 법이나 제도 등에 의한 규제로 인한 타성에 젖어 있어, 자율적으로 스스로 문제점을 찾아서 지속적으로 보안 역량을 강화하려는 의지가 너무도 부족하다.

보안이 잘되고 있는 선진국이나 선진 기업들의 보안 인식은, 탑 다운(Top Down)식의 보안 인식이 강하다. 즉 CEO가 능동적으로 먼저 보안 정책을 제시하고 구성원들이 이를 준수할 것을 요구하면서 항상 문제점이 무엇인 지 모니터링과 대책을 보완하면서 추진하는 반면, 우리나라의 경우는 힘없는 보안 담당자(?)가 보안 정책까지도 직접 만들고, 정부 정책이나 법 제도 때문에 어쩔 수 없이 해야 하며, 보안 예산도 항상 뒤로 밀리며, 보안 사고라도 생겨야만 왜 보안을 이렇게 했느냐고 보안에 겨우 CEO가 관심을 갖게 되는 바텀 업(Bottom Up)식의 보안을 갖추고 있는 것이 우리나라의 현실이다.

따라서, 우리나라 기업 보안 역량 강화는, CEO가 보안을 기업의 리스크 관리 관점에서 보느냐, CEO가 보안을 비용으로 보지 않고 투자로 보느냐, CEO가 평상시 직접 보안 정책을 수립하고 CISO나 보안담당자와 함께 합력해 추진해 나가느냐 하는 등에 의해 좌우될 수 있다.

기업 보안을 위한 정부의 노력도 필요하다. 일본 정부는, 기업 보안을 위해 <사이버 시큐리티 경영 가이드라인(2015)>, <기업 경영을 위한 사이버 시큐리티 고려 방안(2016)>을 각각 발표했다.

이를 통해 사이버 시큐리티 대책은 '경영 책임'이며, '사회 법상의 의무'라고 일본 정부는 선언하면서 기업 보안의 역량 제고를 독려하고 있다.

우리나라도, 이제는 기업 보안을 향상시켜 국가 전체의 보안 수준을 높일 수 있도록, 기업 보안에 대해 보다 많은 관심을 가져야 할 때인 것 같다. 최소한 바쁜 기업 경영자들에게 도움이 될 수 있는 경영자를 위한 사이버보안 경영 가이드 라인(가칭)이라도 제정해 경영자들의 사이버 보안 인식을 조금이라도 제고하는 첫 걸음이라도 내디뎠으면 한다.