CEO가 알아야 할 보안 상식은 과연 무엇일까? 회사 실적 챙기기도 바쁘고 급변하는 IT환경에서 쏟아져 나오는 신규 용어도 이해하기 힘든데 과연 CEO가 보안에 대해서 얼마나 알아야 할까? ‘보안은 회사를 지키는 것’이라는 것에 대해서는 누구도 이의를 제기하지는 않을 것이다. 그럼 CEO 입장에서 회사의 보안을 위해 무엇을, 누가, 어떻게 지킬 것인가에 대해서 확인하고 지시하는 것은 당연한 일일 것이다. 보안은 시설보안, 산업보안, 정보보안, 융합보안 등 여러 분야가 있으며 CEO는 회사와 관련된 모든 분야에 대해 관심을 가져야 한다. 이번호에서는 정보보안에 중점을 두고 얘기하고자 한다. 

보호해야 할 정보자산이 무엇인가?

몇 년전에 어느 그룹의 보안컨설팅을 수행하면서 각 계열사 별로 보안 수준을 측정하고 보고하는 자리에 참석할 기회가 있었다. 회사의 순위가 공개되자 꼴찌를 한 회사의 임원은 무척 당혹해 했다. 당시 컨설팅을 수행할 때 그 회사의 보안담당자는 “우리는 1등 회사가 아니어서 중요 정보도 별로 없고 우리 정보는 다른 어느 회사에서나 알고 있는 정보다”라고 얘기한 것이 떠올랐다.

보안의 첫 번째는 지켜야 할 중요한 정보자산이 무엇인지를 확인하는 것이다. 복잡하고 전문적인 위험평가 방법을 동원하지 않더라도 각 팀별 및 부서별로 중요한 업무가 무엇인지, 보호해야 할 정보가 무엇인지 확인하고 간단히 문서로 정리하는 것만으로도 충분히 파악할 수 있을 것이다.

또한 이러한 과정을 통해서 CEO의 보안 의지를 전 직원에게 쉽게 전파할 수 있으며 각 조직들이 자신의 업무에 대한 중요성을 살펴 볼 수 있는 계기가 될 수 있다. 보호할 정보, 자산이 없는 조직은 회사에 존재할 가치가 없는 조직일 것이다.

누가 보호할 것인가?

회사에서 보호해야 할 정보자산이 파악됐다면 누가 그것을 지킬 것인가에 대해 임무를 부여해야 한다. 우선 전 직원이 자신이 다루는 중요 정보자산에 대해 보호해야 할 임무가 있는 것은 당연하다. 이런 인식이 소홀하지 않도록 전사적인 교육 및 홍보활동 등이 수반될 수 있게 CEO는 관련 부서에게 역할을 할당하고 지원해야 한다. 실제 보안 사고의 발생 비율을 살펴보면 해킹 등에 의한 외부 침입보다는 내부자에 의한 사고가 70% 이상 발생하고 있다. 특히 연구소, 정보시스템 처리 부서, 고객정보를 취급하는 CRM, 마케팅 부서 등에서 이러한 사고의 발생확률이 높은 것으로 나타나고 있다.

따라서 각 업무 부서별로 보안 활동을 수행할 수 있는 담당자를 지정하고 부서별 보안 활동을 수행할 수 있도록 해야 할 것이다. 부서별 보안 담당자가 반드시 전담자가 될 필요는 없다. 하지만 부서의 보안에 대한 책임을 주지 않는다면 아무도 보안에 대해 관리하지 않을 것이다. 어느 누구도 문제가 발생하면 책임지는 것을 원치 않는다.

보안 활동은 때때로 업무와 충돌이 날 수 있다. 마케팅 부서에서는 제품의 홍보를 위해서 기존에 수집된 고객정보를 활용하고 싶어 하며 IT부서는 빠른 시스템 구축을 위해 보안 검토를 생략하길 원한다. 하지만 수집된 고객정보를 다른 용도로 활용하기 위해서는 고객의 동의가 필요하고 해킹사고를 당해서 몇 천만건의 고객정보가 유출되는 피해를 입지 않기 위해서는 취약점 점검, 모의해킹 등의 보안 검토가 반드시 필요하다.

보안은 요구되는 수준에 맞게 적용해야 하며 인사, 교육, IT 부서 등 복합적인 요소가 결합된 활동이다. 이러한 활동을 조율하고 효과적으로 적용할 수 있도록 전사 보안 조직이 구성돼야 한다. CEO는 오케스트라의 지휘자처럼 보안과 업무가 조화를 이룰 수 있도록 전사 보안 조직을 통해 보다 안전하고 효율적으로 회사를 보호할 수 있을 것이다.

어떻게 보호할 것인가?

CEO는 회사가 지켜야 할 법규가 어떠한 것이 있는지에 대해서 알아야 하며 이에 대한 준수는 당연한 것이다. 보안과 관련된 법규도 마찬가지다.

지난 4월 행정안전부에서 100개의 준용 사업자를 대상으로 관련 법령 준수에 대한 실태 조사를 실시한 결과 78개 업체가 법규를 위반했다. 특히 고객 동의 없이 개인정보를 수집한 22개 업체에 대해서는 형사고발을 했다(2010년 6월 22일 행정안전부 발표). 많은 비용이 드는 보안 솔루션 투자는 당장 시행하기 어렵더라도 개인정보 수집 시 동의를 받는 행위는 조금만 주의하면 즉시 시정 가능한 일이다.

물론 CEO나 개인정보책임자 등이 법규를 지키지 말라고 하지는 않았을 것이다. 하지만 법규 준수에 대한 의지를 보이지 않는다면 실무자는 이를 소홀히 취급할 것이며 이러한 문제가 결국은 회사의 이미지 실추와 금전적 피해로 직결될 수 있다. 또한 법규 미 준수로 인해 개인정보 유출 등의 사고가 발생하면 해당 임원 및 CEO까지도 형사처벌 대상이 될 수 있는 만큼 주의가 필요하다.

현장에서 보안 관련 업무를 수행하다 보면 보안 담당자로 지정됐지만 법규에 대한 이해와 지식이 부족한 인원이 형식적으로 업무를 맡는 경우를 볼 수 있다. 내부 법무 담당자와 외부 자문 변호사를 두고 계약, 소송 등에 대비하는 것처럼 보안도 담당자에게 충분한 교육을 제공하고 전문가의 도움을 받아 법규를 준수하는 것이 필요하다. 이제 보안도 외국의 사례처럼 회사의 존립을 위태롭게 할 수 있는 이슈로 부상하고 있으므로 보안과 관련된 법규에 대해서는 더욱더 CEO의 관심과 의지가 필요하다.

끝으로 임원 및 책임자들에게서 발생할 수 있는 몇 가지 보안 실수에 대해서 제시하고자 한다. CEO가 모든 보안 문제를 알고 지시하는 것도 중요하지만 실수를 하지 않도록 하는 것도 중요하다.

<글 : 김동우 롯데정보통신 ISC부문 보안정책실 팀장(dwkim@lotte.net)>

[월간 정보보호21c 통권 제120호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>