오래전부터 필자는 기업이나 기관에서 최고경영자(Chief Executive Officer;CEO), 정보보호책임자(Chief Security Officer;CSO) 및 실무자 그리고 일반 직원에게 있어 정보보호는 과연 동일한 의미를 갖는지에 대한 의문을 갖고 있었다.

그 이유는 기업과 기관에서 정보보호에 대한 관심이 많아져 정보보호 교육이 많아졌지만 교육내용이 정보보호의 필요성, 위협의 변화, 기술적?관리적 대책 등 천편일률적인 경우가 대부분이었기 때문이다. 또 이러한 교육은 일반 직원들만 받아야 하는 것인지, 정보보호 책임자나 실무자, 특히 최고경영자는 정보보호 교육이 필요하지 않은 것인가 하는 의문이 들었기 때문이다.

정보보호와 관련하여 CEO와 CSO 그리고 일반 직원이 알아야 하는 내용과 또 해야 하는 일과 책임이 각기 다르다고 생각한다. 첫째, CEO는 기업 또는 기관의 정보보호 목표와 정책을 결정하고 그 기업 또는 기관의 모든 구성원에게 이를 알리고 준수토록 해야 한다. 그리고 정기적으로 CSO 등의 보고를 받고 정보보호 정책이 잘 준수되고 있는지 확인할 필요가 있다.

둘째, CSO는 기업 또는 기관의 정보보호 목표와 정책에 따라 그 기업 또는 기관의 각 부서와 직원들이 지켜야 할 내부지침과 매뉴얼을 마련, 제공하며 수시로 그 적용을 확인해야 한다. 이 때 필요한 정보보호 시스템 및 기술의 도입 및 적용은 CSO의 책임이다.

셋째, 일반 직원은 기업 또는 기관의 정보보호 목표와 정책을 이해하고 또 내부지침과 매뉴얼을 따라야 한다. 따라서 일반 직원은 스스로 정보보호 시스템 및 기술을 도입 및 적용해야 할 책임은 없다.

최근 발생한 주요 정보침해 사고에 비추어 볼 때 기업 또는 기관은 정보보호에 관해 다음과 같은 점들을 개선해야 한다.

첫째, 기업 또는 기관에서 고객 등에게 이해가 큰 정보침해 사고가 발생한 경우 이는 명백히 그 기업 또는 기관의 CEO의 책임이다. 우리의 경우 정보보호와 관련하여서는 CSO를 두고 있으므로 CSO가 대내뿐 아니라 대외적으로도 책임지는 관행이 있다. 그러나 기업 또는 기관을 대외적으로 대표하는 사람은 CEO이며 따라서 CEO가 대외적인 책임을 져야한다.

둘째, CSO는 정보시스템과 정보가 있는 모든 곳이 정보보호 업무영역으로 생각하고 필요한 역할을 해야 한다. 현재는 CSO가 정보보호 정책 수립, 정보보호 시스템 및 기술의 도입과 적용, 보안점검 등 좁은 의미의 정보보호 업무만을 수행하는 것이 일반적이다.

그러나 CSO는 기업 또는 기관에서 대내적으로 정보보호를 총괄하는 사람으로 정보시스템 및 정보보호와 관련하여 관여할 자격이 마땅히 있다.

셋째, 일반 직원에게 해당 업무와 관련한 정보보호 요구사항, 즉 구체적인 지침과 매뉴얼을 제공하고 필요한 수단을 제공해야 한다. 현재는 대개의 경우 일반적인 정보보호 수칙을 알려주고 따로 필요한 수단을 제공하지 않는 경우가 많다. 그러나 업무에 맞는 정보보호 지침과 매뉴얼 그리고 정보보호 수단을 일반 직원이 스스로 마련하기는 불가능에 가깝다. 따라서 이는 CSO가 책임져야 한다.

최근 발생한 정보침해 사고로 다시 우리 사회의 정보보호 의식이 크게 제고될 계기가 되고 있다. 그러나 의식은 실천이 따를 때만 그 결실을 맺을 수 있다. 그리고 그 실천은 기업 또는 기관의 CEO, CSO 그리고 직원들이 각기 자신의 역할과 책임을 제대로 하는 것이다.

[글 _ 박영우 한국인터넷진흥원 전문위원실]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>