[고견을 듣는다] “디지털리스크 시대… ESG 패러다임도 진화해야 한다”

“지금은 사회 전반이 디지털화, 인공지능(AI)화 하면서 그에 따른 위험이 본격화되는 ‘디지털리스크’의 시대입니다. 이에 따라 ESG(환경·사회·지배구조) 패러다임도 변화해야 합니다.”

16일 서울 서대문구 디지털타임스 회의실에서 만난 권헌영 고려대학교 정보보호대학원 교수는 최근 이동통신사의 해킹과 국가망 마비 사태에서 보듯 디지털리스크가 급부상함에 따라 ESG도 거기에 맞게 변화해야 한다며 해법으로 ‘디지털 ESG’를 제시했다. 디지털 ESG는 기업이나 정부, 공공기관 등이 디지털 기술을 접목해 환경(E), 사회(S), 지배구조(G) 성과를 측정하고 개선하는 활동을 말한다.그는 국가 전산망 사고가 발생된지 20일이 넘었는데도 아직 절반도 복구하지 못한 것은 ESG 관점에서 정부가 시스템의 안전성과 안정성을 확보하지 못해서라고 지적했다.

권 교수는 그동안 우리가 디지털 환경의 구축과 활용에만 급급, 리스크 관리엔 소홀한 측면이 있다며 ‘시스템 리질리언스(복원력)’에 관심을 가져야 사회적으로 ‘디지털 신뢰’를 구축할 수 있다고 했다. 이를 위해선 서비스 설계 단계부터 리스크를 감안해야 하며, 최고경영자(CEO)나 기관의 장이 관련 책임자를 모두 참여시켜 ‘소통 구조’ 만들어야 전략 보안경영이 가능하다고 강조했다. 디지털리스크 관리를 기술자 출신이 대부분인 보안 최고책임자에만 맡겨선 안된다는 것이다.

이어 AI 시대 데이터 유출 방지를 위해선 먼저 데이터의 중요도에 따른 등급 분류가 선행돼야 한다며, 그래야 무슨 데이터는 지키고 어떤 데이터는 민간에 운영을 개방할지 데이터 거버넌스 체계의 구축이 가능하다고 전했다. 또 디지털화 과정에서 데이터 오류로 인한 피해 가능성을 줄이기 위해선 우리 독자적인 파운데이션 모델 구축시 관련 기관 간 협력 체제가 필요하다고 말했다.

권 교수는 디지털리스크 시대 끊임없이 보안 위험을 점검하고 이에 대비하는 ‘제로 트러스트’는 운명이라며 특히 CEO가 전략경영 관점에서 리스크를 직접 관리하는 구조를 구축하고 이에 걸맞는 조직문화를 만들어야 한다고 전했다.

권 교수는 서울 배명고를 나와 연세대에서 법학 학사·석사·박사 학위를 취득했다. 정보통신정책연구원, 한국정보화진흥원(현 한국지능정보사회진흥원), 광운대 법대 교수를 거쳐 2015년부터 고려대 정보보호대학원 교수로 재직중이다. 총리 소속 공공데이터 법제도분야 전문위원회 위원장, 디지털정부혁신위원장 등을 역임했으며 현재 한국정보보호학회 부회장, 디지털플랫폼정부위원회 정보보호분과 위원장, 개인정보보호위 자율규제위원회 위원장, SK그룹 정보보호혁신특위 자문위원장, 네이버 자율규제위원회 위원장 등을 맡고 있다. IT 법·제도, 디지털정부, 공공데이터 · 개인정보보호 분야의 전문가로 꼽힌다. 저서(공저)로 ‘웹 3.0 넥스트 이코노미’, ‘AI와 미래행정’ ,‘디지털 포용사회와 비대면 교육’, ‘비트전: 사이버전의 혁신’ 등이 있다.

- 최근 통신사와 금융사에서 해킹 사고가 빈번해지면서 ‘디지털리스크’에 대응해 기업이 내 데이터를 잘 보호하고 관리할 것이라는 ‘디지털 신뢰’(digital trust)의 중요성이 커져 가고 있습니다. ‘디지털리스크’는 어떻게 정의할 수 있을까요?

“우리 생활은 디지털로 전환이 이뤄지고 있는 상태입니다. 사물인터넷(IoT), 자율주행 자동차, 모바일 뱅킹에 공부도 다 디지털로 이뤄지고 있습니다. 특히 코로나 팬데믹 이후 디지털화는 가속화됐는데 이로부터 생활과 생존 자체를 위협하는 새로운 위험들이 생겨나고 있습니다. 이처럼 디지털리스크란 기업과 사회의 디지털화 과정에서 나타나는 위험이라 볼 수 있어요. 디지털리스크는 초기 부가적인 형태의 위험을 넘어 이제는 본질적인 위험으로 전개되는 과정에 있습니다. 최근 굴지의 통신사와 정부 기관의 해킹과 국가망 화재사고는 디지털 위험에 노출되는 순간 생활이 얼마나 불편을 겪고 또는 어려워지는 것인지를 단적으로 보여주고 있습니다. 이제 이런 디지털리스크를 살펴봐야 될 지점이라고 생각합니다.”

- 인공지능(AI) 시대를 맞아 디지털 전환이 가속화되고 있는데 새로운 형태의 디지털리스크는 없나요?

“디지털리스크라고 하면 대표적으로 해킹 범죄를 꼽을 수 있습니다. 하지만 그것 뿐만 아니고 데이터 오류로 잘못된 결과를 가져올 수도 있고, 또 AI 같은 경우에는 데이터 편향, 예를 들어 특정 지역 출신이거나 특정 질병을 갖고 있거나 또는 인종이 다르거나 이런 것에 대해 기계가 잘못된 판단을 내리는 리스크를 생각할 수 있습니다. 기계가 잘못된 의사 결정을 했는데 사람이 구제받을 길이 없게 되면 고통을 받게 되는 거죠. 대출을 받아야 되는데 안 해준다거나 또는 서비스를 받아야 되는데 서비스 자체가 원천적으로 봉쇄되어 있거나 이러면 생활 자체가 타격을 받게 됩니다. 또 인프라 자체가 셧다운돼 발생하는 문제들도 있습니다. 마감 시간이 다가오는데 은행에 돈을 못 보낸다거니 원서 접수 시한이 임박했는데 접수할 수 있는 방법이 없다거나 여러 상황들이 나타날 수 있어요. 그래서 인프라 자체가 건전하고 건강하게 운용될 수 있는지 또 문제가 생기면 빨리 회복할 수 있는지 이를 회복력, 리질리언스(Resilience)라고 말하는데 디지털리스크를 완화하거나 예방할 수 있도록 하고, 문제가 생기면 빨리 복구할 수 있도록 하는 준비가 잘 되어 있어야 합니다. 그런데 우리는 디지털 환경을 구축하고 쓰는 데에만 급급한 나머지 이 리스크를 관리하는 방안을 사전에 기획하지 않고 준비에 소홀했기 때문에 리스크가 현실화될 경우 큰 혼란을 겪게 되는 거죠. 사실 디지털리스크가 가장 부각될 때는 적국의 침해를 받았을 때입니다. 북한이나 중국, 글로벌 테러 집단들의 공격을 막기 위한 대비태세가 잘 되어 있는지를 디지털리스크를 이야기할 때 반드시 봐야 되는데 특정한 사건에 매몰되는 경향이 있습니다. 이런 점에 관심을 가질 필요가 있습니다.”

- 디지털리스크 관리에 있어 ‘디지털 ESG’가 해법으로 거론되고 있는데 효과적인 해결책이 될 수 있을까요?

“어려운 질문인데요. 디지털 ESG란 ESG 경영이나 관리에 디지털 기술을 접목해 기업이나 공공기관의 환경(Environment), 사회(Social), 지배구조(Governance) 성과를 측정하고 개선하는 것을 의미합니다. 디지털 환경에서의 사회적 책임 예를 들면 공공기관은 국민 서비스 또는 안정적인 사회환경 관리, 또는 기업의 경우 고객 정보를 잘 관리하거나 고객들에게 약속한 서비스를 제때 잘 공급하는 것 등이 디지털리스크에 의해 훼손되거나 원래 목표를 달성할 수 없게 되면 디지털 ESG를 잘했다고 볼 수 없습니다. 디지털 환경에선 모든 것이 연결돼 있습니다. 이 연결성을 전제로 두고 내가 실패했을 때의 문제, 또 다른 사람이 실패했을 때 내가 조금 더 그 실패를 커버할 수 있는 정도의 노력 이런 것이 사회 전반으로 갖춰지지 않으면 디지털 ESG가 구현되기 어렵습니다. 디지털리스크 시대 ESG는 자기 것만 신경 써서는 안됩니다. 기후 환경에 대응하고, 지속가능성도 보고, 사회적 책임을 다해야 하며, 거버넌스도 모든 이해관계자들을 참여시킨 상태에서 해야 된다는 소통 구조는 디지털리스크가 만연해 있는 디지털 환경에서 더 크리티컬합니다. 내가 빠지면 전체 구조가 붕괴하는 이런 상황에 있기 때문에 더 적극적으로 연결망과 서비스의 연결체계, 그리고 내가 하는 것과 다른 사람이 하는 것을 연합해 시너지를 낼지를 기업 경영이나 기관 운영의 주요 목표로 삼지 않으면 디지털리스크에 대응하는 디지털 ESG는 불가능하다고 봐야 됩니다.”

- 구체적으로 ESG의 세 가지 핵심요소가 각각 어떻게 디지털리스크와 연결되는 겁니까?

“AI로 대표되는 디지털 시대 데이터센터 하나를 지으려면 소형 원자로가 필요할 정도로 에너지가 많이 요구됩니다. 컴퓨팅 자원도 너무 많이 들어 이로 인한 탄소 배출이 직접적으로 환경에 영향을 미칩니다. 디지털 서비스의 설계를 환경에 적합하거나 또는 재생에너지 중심으로 운영할 수 있도록 할 수 있는가를 많이 연구 중입니다. 더 중요한 것은 AI 기술을 적정하게 활용하는 것을 넘어 과잉 사용하는 것을 자제하는 것입니다. 혁신 서비스를 만들어낼 때 자원을 많이 쓸 가치가 있는 곳에 집중 투입하는 전략들이 필요합니다. ‘AI 3대 강국’으로 가기 위해 분야별 혁신에 집중하고 있는데 이를 환경과 연결해 과잉 서비스나 기술보다 적정 기술을 활용해 환경을 보호하는 형태의 작업이 요구됩니다. 사회와 지속가능성 분야에서는 디지털리스크에 대비해 공급망을 연속성 있게 운영할 수 있도록 설계하는 것이 필요합니다. 거버넌스에선 데이터의 주체, 데이터를 활용해 서비스를 공급하는 사람, 서비스를 이용하는 사람 등 이해당사자들이 의사결정 구조에 들어올 수 있도록 해야 합니다. 디지털 ESG에서 핵심 요소는 모든 분야에서 (관련 당사자들 간) 소통 구조를 혁신하는 것입니다. 그래야 미처 예상하지 못한 디지털리스크에 효과적으로 대응할 수 있습니다.”

- 최근 KT의 ‘유령 기지국’ 사고, 롯데카드의 대규모 개인정보 유출 등이 사회적으로 큰 파장을 불러일으켰습니다. 이런 일이 벌어지는 근본 이유는 무엇이라고 생각하십니까?

“여러 진단이 있을 수 있는데 저는 기본적인 소통 구조에 문제가 있다고 봅니다. 소통 구조에 문제가 있으니 디지털리스크를 사전에 예방하거나 리스크 현실화시 신속히 복구할 수 있는 체제를 갖추지 못하고 있는 겁니다. 전문가가 있고, 전문가에게 일을 맡기는 사람이 있고, 전문 서비스를 이용하는 사람들이 있는데 이들 간 소통 구조가 전혀 없습니다. 예를 들어 국가정보자원관리원 화재로 수백개 시스템이 다운돼 국민들이 불편을 겪고 있습니다. 미국에서 9·11 테러 발생 후 백업을 한 회사는 살고 그렇지 못한 회사는 망했습니다. 그걸 보고 우리도 정부 시스템을 제대로 백업해야 되겠다고 데이터센터를 만들려 했는데 땅이 없고 건물도 없었습니다. 세종 등에 지어놓은 네이버 클라우드센터는 엄청나게 좋아요. 전원 공급 장치도 완벽하게 돼 있고 이격거리도 잘 돼 있으며, 건물도 항원 항습이 뛰어납니다. 위치도 군사 공격을 받아도 안전하도록 산 밑으로 정했습니다. 그런데 국가망은 20여년 전 대전 연구단지에 KT가 연구원으로 쓰던 건물을 사서 거기다가 구축해놨어요. 민간보다도 훨씬 못한 상태로 지금까지 내버려둔 거죠. 왜 이렇게 됐을까요? 정부 관계자들 간 소통이 안된 겁니다. 전산직이 이거 이거가 필요하다고 위에 보고하는데 기재부는 시급한 일이 아니라며 예산을 주지 않습니다. 그러니 사용 연한이 지난 장비도 억지로 쓰게 됩니다. 전략적 관점에서 예산 투입을 결정하는 사람이 없죠. 기업도 마찬가지입니다. 보안 투자 결정은 CFO(최고재무책임자)가 하는데 다른 데 더 급한 일이 있으면 안 합니다. 기본을 지키기 위한 소통 구조가 깨져 있기 때문에 경영진들도 서로 책임을 못 지는 상태인 겁니다. 제가 SK텔레콤 사고가 터진 후 외부 자문위원장을 맡아 문화를 바꾸는 작업을 하고 있습니다. 보안 책임은 CISO(정보보안 최고책임자)에만 있지 않습니다. CISO 혼자 절대 문제를 해결 못 해요. C 레벨(최고 레벨)에 CFO도 있고 CHRO(최고 인사책임자)도 있고 CISO도 있습니다. CEO(최고경영자)가 이들을 모두 참여시켜 공동 논의의 책임으로 만들어야만 보안이 전략경영이 될 수 있습니다. 한 가지 더 지적할 건 데이터를 제대로 분류해 가지고 있는 데가 없다는 점입니다. 그러니 무슨 데이터를 지키고 있는지도 아는 사람이 별로 없습니다. 몇천만 원짜리 입출입 통제시스템을 세우고 몇 억짜리 금고를 설치했는데 금고 안에는 달랑 500원이 있다면 황당한거죠. 원활한 소통구조를 통해 무엇을 누구를 지켜야 하는지, 누가 지키고 어떻게 지키는지를 명확하게 정리해야 하는 작업이 필요합니다. 사고가 나는 가장 큰 이유는 조직내 역할에 대한 정의가 없고, 역할이 제대로 수행됐는지 확인하는 절차가 없고, 문제가 생겼을 때 복구하는 힘도 없다는 겁니다. 전문 분야라고 기술직에 맡겨버리고 아무도 돌아보지 않는 상태가 돼서는 안됩니다.”

- 고객 개인정보 보호와 같은 사회(S) 영역의 리스크를 해결하기 위한 정보보호 및 데이터 거버넌스 체계는 어떻게 구축해야 합니까?

“그동안 기술 혁신으로 이 문제를 해결할 수 있다고 믿었습니다. 하지만 지금의 방식으론 문제가 있습니다. 예를 들어 신문사의 데이터는 취재 기사, 보도 자료, 취재원 리스트, 광고 여러 가지가 있을 겁니다.관련 부서도 여러 곳이죠. 이런 데이터는 내 PC에 있을 수 있고 클라우드 서버에 있을 수도 있습니다. 이걸 전산이나 데이터 담당자가 관리하는 데 등급을 분류하지 못합니다. 아무도 분류를 안하니 통으로 막는 거예요. 게다가 데이터는 30% 이상 중복으로 갖고 있습니다. 특히 국민 관련 데이터는 그렇죠. 원본 데이터를 하나를 나눠 쓰면 관리도 더 쉽고 안전하기도 합니다. 그런데 분류를 누가 하느냐의 문제예요. 이게 소통 구조의 본질입니다. 이렇게 분류 체계를 정리하고 시스템에 어떻게 쓸지를 구축한 곳은 전 세계에 없습니다. 이 작업을 국가, 기업, 개별 기관에서 시작해야 됩니다. 그래야 데이터 거버넌스 디지털리스크 관리가 가능합니다.”

- 국가정보자원관리원 화재로 국가망이 훼손된지 벌써 20일이 넘었습니다. 정부 또한 ESG에 소홀했던 게 이런 사태를 초래한 것 아닐까요?

“정부로선 면목이 없는 상황입니다. 그동안 민간에서 사고 났을 때 정부가 했던 걸 생각해 보세요. 지난 2022년 카카오 데이터센터 화재로 망이 마비됐을 때 엄청나게 야단치며 이중화하라고 몰아붙였습니다. 근데 정작 정부는 안 하고 있었던 것 아닙니까. ESG의 관념이 정부에는 없었다는 거죠. 국가 전산망 안에는 국민 데이터가 있고 정부 운영 핵심 데이터도 있으니 리질리언스를 확보해야 되는 것은 너무 당연한데 그 작업을 안한 겁니다. (제대로 된 설비를 갖출 수 없도록 한) 예산 당국하고 정치권의 책임이 제일 크다고 봅니다. 지역구를 겨냥한 생색 내기용 예산은 물쓰듯 하면서도 정작 중요한 국가의 기본시스템 운영하는 데는 돈을 투입하지 안 한 거잖아요. 그렇게 해놓고 또 야단을 칩니다. 원래 대전, 대구, 광주 등 1센터, 2센터, 3센터에 삼각 실시간 백업을 해야 하는데 그것도 원칙대로 안했습니다. 백업 센터를 공주에 만든다고 또 해놓고 제대로 운영도 못했죠. 안전성과 서비스 안정성 두 관점에서 모두 낙제입니다. 우크라이나 전쟁 발발시 러시아가 제일 먼저 사이버전을 걸었는데 우크라이나가 의외로 대비를 잘했습니다. 국내가 아닌 우방국에 서버를 갖다 놓기까지 했죠. 그래서 전쟁이 러시아의 뜻대로 안됐습니다. 디지털 ESG를 위해선 우방국, 동맹국과의 데이터 스와프(교환)도 해 안전성을 확보해야 합니다. 또 국가적으로 데이터 거버넌스를 잘 정비하면 데이터 중 꼭 우리가 직접 해야 될 것과 바깥을 써도 되는 것을 구분할 수 있습니다. 그러면 민간 서비스나 해외 유수 서비스도 활용할 수가 있게 됩니다. 데이터를 분류할 수 있도록 의사결정을 하려면 대통령실부터 각 부처 그리고 각 도메인별 규제 권한이 있는 곳, 민간 전문가들이 함께 노력을 해야 합니다. 디지털 ESG로 튼튼한 대한민국을 건설하기 위한 소통 구조가 시급히 만들어지고 작동돼야 하는 겁니다. 그런데 지금은 기술 전문가, 국방, 치안, 교육 등 각 분야별로만 진행돼 연동이 안 되고 있습니다. 데이터를 중심으로 거버넌스를 재정립하지 않으면 정부 정책도 성공하기 어렵다고 봅니다.”

- 디지털 전환 과정에서 데이터 편향성 외에 기술 격차와 같은 문제도 발생할 수 있습니다. 이런 문제에 대응하기 위한 방안은 뭘까요?

“AI기술 자체는 예측 가능하지 않은 결과가 나올 수 있습니다. 따라서 AI 학습 데이터의 문제가 가장 중요합니다. AI를 학습시킬 때 편향된 정보가 들어가면 편향된 결과물이 나올 수밖에 없어요. 우리가 자체의 파운데이션 모델을 가져야 되는 이유이기도 합니다. 파운데이션 모델에서 글로벌 1등을 해야 된다는 건 다음 문제이고, 그보다 먼저 우리가 스스로를 지키기 위해 서로 협업이 이뤄지는 구조로 만들어야 합니다. AI로 인한 부작용에 대해선 책임을 어떻게 지울까 하는 문제와 관련해 유럽과 우리나라에서 유일하게 법이 제정된 상태입니다. 편향되거나 오류가 있는 결과물이 그대로 소비자에게 전해지는 리스크를 관리하는 게 중요합니다. 그런 작업을 위한 표준화도 하고 안전 규제도 하고 기능 검증도 해야 합니다. 전문가들은 이를 설명 가능성, 투명성, 그리고 검증이라고 하는데 결과물에 오류가 발생하면 빨리 대응할 수 있는 체계를 갖춰 놓는 겁니다.”

- 디지털 리스크 대응을 위해 거버넌스(G) 영역에서 이사회와 경영진은 어떤 역할을 수행해야 합니까?

“1960년대쯤 전문 경영인 시대가 열렸습니다. 자본가보다 회사를 운영하는 전문 기술이 있는 사람이 대기업 조직이나 대규모 공장을 운영하는 데 훨씬 더 적합하다고 해서 오너와 전문 경영인이 분리된 거죠. 그후 자본 조달이 중요하니 CFO, 더 우수한 인재가 필요하니 CHO 등이 생겨났죠. 이제 기업들은 디지털 리스크가 제일 과제인 상황에 와 있어요. 개인정보가 유출될 경우 몇 천억원의 과징금을 부과받거나 주가가 폭락하고 회사가 망할 상태가 됩니다. C 레벨의 시큐리티 오피서가 중요해진거죠. 그래서 CISO와 CPO(최고 프라이버시 책임자)가 출현했지만 대체적으로 정보기술 전문가들로 구성돼 있습니다. 기술 전문성은 높지만 기업 경영과 소통 훈련은 받지 않은 사람들이죠. 그래서 전략경영 측면의 보안을 감안하면 리더십 공백이 생깁니다. 이를 CEO가 메워주거나, CISO를 그런 사람으로 키워야 합니다. 이런 차원에서 CEO의 역할은 굉장히 중요합니다. 한 달에 한 번 이상씩 CEO가 주재하는 보안경영 전략회의를 열어 CISO와 CFO, CHRO의 역할 분담을 분명하게 해 전략 목표가 달성될 수 있도록 하는 겁니다. CISO에게 회사의 보유자원이 무엇이고, 전략 목표가 무엇인지 가르치고 책임 있는 의사결정 구조에 참여할 수 있게 만들어야 합니다. 이게 우리 사회가 부족한 부분입니다. CISO나 CPO에 일을 맡겨놓고 사고가 나면 책임만 지우는 거예요. CISO는 기술 전문가가, CPO는 법률 전문가들이 많이 합니다. 개인정보 보호 이슈가 시큐리티는 기술 문제지만 정보가 유출되면 법률 문제로 바뀌어요. CEO가 전략경영 관점에서 디지털 리스크 관리를 직접 하는 구조로 가야 합니다. 중대 재해에 대해선 CEO들의 인식이 많이 돼 있는데 디지털리스크 부분에 대해서는 아직 덜 느끼고 있습니다. 이를 디지털 ESG의 기본 사항으로 넣어야 합니다. 윤리 경영이 문제됐을 때 CEO가 반드시 도장 찍게 하고 나서는 정착이 됐습니다. CEO가 디지털리스크의 최종 책임자라는 것을 인식하는 게 우선입니다. 그걸 돕기 위해 전문성 있는 CISO를 제도적으로 둔 겁니다.”

- ESG 관점에서 디지털리스크 관리를 위한 기술적 솔루션으로는 무엇이 있을까요?

“외부에서 들어오는 해킹 침입 솔루션들은 대부분 갖춰져 있고, 더 값싸고 성능 좋은 걸로 혁신이 되고 있습니다. 다만 AI 같은 형태의 새로운 리스크를 막기 위해 망 분리만 하는 것은 대책이 되지 못합니다. 데이터가 원활하게 들락날락하면서 학습이 이뤄지고 데이터 융합이 일어나야 좋은 결과물이 나올 수 있기 때문입니다. 따라서 새로운 방식으로 바뀌어야 되는데 그게 ‘제로 트러스트’(Zero Trust)입니다. ‘제로 트러스트’는 네트워크 경계와 관계없이 그 누구도, 그리고 어떠한 활동이든 기본적으로 ‘신뢰하지 않는’ 것에 바탕을 둔 보안 개념이죠. 인증을 한번만 받으면 모든 데이터를 활용할 수 있는 것에서 벗어나 모든 트랜잭션이 일어날 때마다 인증을 다시 하도록 하는 겁니다. 인증시스템이 알고리즘을 빠른 속도로 처리할 수 있어야 합니다. 디지털리스크에서는 기술의 최첨단성을 지속적으로 유지하는 게 운명입니다.”

- 통신사 해킹 사고와 관련해 기업들이 관련 정보를 늑장 공개한 게 문제가 됐습니다. ESG 공시와 관련, 디지털 리스크 관련 정보를 투명하게 공개하게 만들 방안은 없겠습니까?

“과기정통부에서는 처벌을 강화하겠다고 발표했죠. 문제는 어느 정도의 경우에 리포트를 해야 되는지 판단하는 게 쉽지 않아요. 현실적으로 유출 사고가 났는데 얼마나 유출됐는지, 언제 유출됐는지, 유출된 상황이 어떻게 됐는지를 잘 파악하는 회사도 많지 않습니다. 지금은 이같은 상황이 발생하면 모든 걸 리포트하도록 돼 있는데 이를 세분화하는 게 필요합니다. 또 무조건 과징금 처분이나 정부가 개입하는 것보다 어떤 경우는 손해배상의 영역으로 넘겨 기업이 리스크 테이킹한 만큼 손해를 배상하게 만드는 것도 요구됩니다.”

- 디지털리스크 예방과 관련, 기업 CEO가 가져야 할 가장 중요한 인식과 자세는 무엇이라고 생각하십니까?

“CEO는 디지털리스크를 대응하는 전략경영 구조를 만들어야 합니다. 그리고 그 매뉴얼에 따라 맞게 하고 있는지 점검하는 작업을 해야 합니다. 또 하나는 디지털리스크 관리가 CEO의 핵심 어젠다라는 것을 이해하고 조직문화로 바꿔야 합니다. 새로운 문화를 학습 조직화해 회사 생활에 녹아들게 만드는 것은 CEO만 할 수 있습니다.”

강현철 논설실장 hckang@dt.co.kr