“보안은 보안전문가에게”는 이제 옛말..전체 구성원이 함께 생각해야

[보안뉴스 김정완] 국정 관리 체계를 일컫는 거버넌스는 기업 거버넌스, IT 거버넌스를 생성한 이후 IT 거버넌스의 부분이라고 여겼던 정보보호 분야를 특화한 정보보호 거버넌스로까지 확대 생산해냈다.

거버넌스는 해당 분야에만 국한 한 것이 아니라 여러 업무를 포괄적으로 관리하기 위한 프로세스라는 점에서 무엇보다 최고 윗단에서부터 최하단에 이르기까지 전체적으로 관리하는 프로세스라는 점에서 주목할 필요가 있다.

즉 정보보호 거버넌스는 정보보호책임자나 담당부서에서만 정보보호를 책임지는 것이 아니라 전사적으로의 책임은 물론 이를 관리해야 한다는 움직임인 것이다.

정보보호 거버넌스는 글로벌하게는 이미 10여년 전부터 대두되기 시작했지만 국내에서는 이제 막 소개가 되기 시작됐다고 한다. 최근 이에 대한 주제로 열린 세미나가 열려 참관하게 되는 기회가 있었다.

이 자리에서 한 참석자는 “좋은 건 알겠는데 기업이 ‘정보보호 거버넌스’를 도입해야 하는 근거나 이유가 부족한 것 같다”는 의견을 제시했다.

여전히 정보보호는 수익과는 무관한 투자로만 인식하고 있는 우리 사회의 단면을 보여주고 있는 것 같아 아쉬웠다. 정보를 활용하는 기업은 이를 보호하는 것이 여전히 위험 감수(Risk Taking)를 위한 것으로만 인식하고 있는 것이다.

정보보호 거버넌스가 우리 사회에 말하는 것은 정보보호를 위험 감수 마인드로만 생각할 것이 아니라 이를 벗어나 위험 관리(Risk Management) 마인드를 가지라는 것이다.

보안은 지금까지 비용, 즉 돈만 쓰는 대상이라는 관념이 지배적이었다. 하지만 근래에 들어서 정보보호 거버넌스가 대두되기 시작한 것과 마찬가지로 향후에는 보안을 배제하고는 기업의 지속경영을 할 수 없다.

이제 보안은 더 이상 보안전문가에게 맡기기만 해서는 안 되며 보안 투자를 하거나 보안에 대한 의사결정을 보안담당자들에게 위임하는 것이 아닌 고위경영진이나 이사회에서 직접 지배하고자 하는 사회변화가 필요하다.

이미 우리 사회는 이러한 변화를 요구하는 개인정보 유출사건, DDoS대란 등과 같은 많은 사건들을 겪었다. 하지만 이러한 보안사고 이슈는 시간이 경과함에 따라 차츰 잊혀진 기억으로만 치부되고 있는 것만 같아 안타깝다.

작은 실수나 위험 징후가 큰 실패로 연결되는 매커니즘을 설명하고 있는 ‘하인리히 법칙’을  잊지 말아야 한다. 대형사고 한 건이 발생하기 이전에는 이와 관련 있는 소형사고가 29회 발생하고 소형사고 전에는 같은 원인에서 비롯된 사소한 증상들이 300번 발생한다는 하인리히 법칙.

대량의 개인정보 유출사건, DDoS대란 등의 보안사고는 단순히 순간적으로 발생한 것이 아니라 이들 사건을 발생시킨 원인이 내재돼 있었기 때문이다. 지금 이 순간에도 제2의 개인정보 유출사건과 DDoS대란, 혹은 전혀 예기치 못한 새로운 유형의 보안사고의 내재된 문제들이 진행되고 있다.

뒤늦은 후회를 하지 않기 위해서 기업은 물론 우리 사회는 ‘보안’에 대한 깊은 성찰을 통해 이를 내재화하기 위한 노력을 기울여야 하겠다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>