기업 감사보고서의 가장 첫머리에는 재무제표에 대한 기업 경영진의 책임이 명시돼있다. 재무제표를 올바르게 작성하고 공정하게 표시할 책임이 재무팀장이나 경리과장 등 실무진이 아니라 최고 경영진에 있음을 명확히 규정하고 있는 것이다. 그렇다면 기업에서 보안, 즉 정보보호의 책임자는 과연 누구일까.
일반인들에게는 생소할지 모르나 기업에는 ‘CISO’라 불리는 정보보호최고책임자가 있다. 최근 금융권에서 크고 작은 고객정보 유출 사고와 사이버 테러 등이 발생하면서 보안과 CISO에 대한 관심이 커지고 있다. 그런데 문제는 금융업을 포함한 산업 전반에 걸쳐 일반적으로 보안은 정보보호책임자와 그가 담당하고 있는 보안 전담 부서만의 역할로 인식한다는 점이다. 기업에 보안 사고가 발생하면 대부분 사고 발생 원인에 대해서는 제대로 따져보지도 않고 정보보호책임자와 보안 전담 부서 직원들에 대한 처벌부터 우선적으로 해놓고 본다는 사실이 이를 잘 대변해준다. 그러나 보안 문제를 소수의 보안 인력만의 업무이자 책임으로 간주해서는 보안 리스크만 가중시켜 기업 존속에까지 중대한 위협이 될 수도 있다.
어떤 금융회사에서 보안 사고가 발생했다고 가정해보자. 최고경영자(CEO)는 CISO를 불러 사고 원인에 대한 설명을 듣는다. 하지만 대개의 경우 CEO가 전문용어와 기술적 사고방식을 동반한 정보보호책임자의 설명을 이해하기란 쉽지 않다. CEO 스스로 평소 기업에 직접적 이익을 가져다줄 것 같지 않은 보안에 대한 관심이 부족하기 때문이다. 이러한 상황에서 보안 담당 부서와 정보기술(IT) 부서, 사고가 발생한 부서에서는 서로 책임을 회피하기 위해 사고 원인을 찾기보다 사고 원인이 자신들에게 없음을 규명하기 위해 더욱 노력할 것이다. 핑퐁게임이 진행되는 사이 조직 내부의 동료는 어느새 적이 돼 있고 결국 고객의 피해는 점점 불어나고 기업 가치는 폭락할 수밖에 없다.
보안은 기술적·관리적·물리적 요건을 충족시켜야 한다. 실제로 정보를 다루는 사람들에 대한 관리가 소홀히 이뤄진다면 아무리 기술적·물리적으로 완벽한 보안 시스템을 구축하고 있다 하더라도 무용지물이 되고 만다. 그간 발생한 보안 사고 중에는 외부 침입에 의한 것도 일부 있었지만 내부 사람의 고의·과실에 의한 정보 유출 사고가 더 많았음을 상기할 필요가 있다. 보안에 대한 역할과 책임이 기존의 CISO와 보안 전담 부서에서 나아가 실제로 정보를 다루고 있는 이사회, 최고 경영진, 영업 부서, 내부 지원 부서 등 기업 전체로 확대돼야 하는 이유가 여기에 있다.
전자금융이 발전해나갈수록 보안의 중요성이 더욱 높아질 것이라는 점에는 이론이 없다. 기업은 이제 보안을 비용이자 특정 부서만의 책임으로 바라보는 관점에서 벗어나 본원적 경쟁력이라는 점을 명심해야 한다. 이를 위해서는 경영진의 인식 변화와 실천이 필수적이다.허창언 금융보안원장
