[보안뉴스=박태완 선임심사원] 당신과 함께 100명의 장병이 다같이 구보를 시작한다고 가정하자. 모든 장병들은 정해진 시간 내에 목적지를 통과해야만 한다.

그러나 시간이 흐를수록 잘 뛰는 장병(10%)과 그렇지 못한 장병(10%) 사이의 간격은 점점 벌어진다.

그렇다면 당신은 중간 그룹(80%)인 잘 뛰는 장병에게 맞출 것인가? 아니면 못 뛰는 장병에게 맞출 것인가?

정부기관이 만든 다양한 정책·제도를 보면, 정부가 기대하는 만큼 관련 대상기관들이 잘 따라주지 않아 이를 독려하기 위해 간혹 최소한의 요구사항을 명시하는 경우가 있다. 예를 들면 정보보호 예산을 몇 퍼센트 이상 확보해야 한다는 내용 등이 그것이다.  

이처럼 최소한의 요구사항을 정책·제도에 반영한 정부의 의도를 보면 못 뛰는 10%를 위해 만든 것으로, 이를 통해 정부는 잘 뛰는 사람에게는 그 이상을 기대한다.

그러나 현장에서는 의도한대로 잘 이루어지고 있을까? 예를 들어 2개의 동종업계 금융기관이 있다. 그 중 한 기관은 동종 업종에서 선두를 달리고 있는 곳으로 경영층에서 정보보호에 대한 투자 의지가 높고, 다른 한 기관은 동종 업종에서 하위 그룹에 속한 곳이다.

이렇게 2개 기관의 정보보호담당 부서장이 연간 사업계획서를 수립한다. 하위그룹의 정보보호 담당부서장은 최소 요구사항 만큼만의 보호조치로 예산확보가 비교적 쉬울 수 있다. 그러나 선두 기관의 정보보호 담당 부서장은 최소 요구사항보다 더 많은 예산을 할당 받아야 하기 때문에 쉽지만은 않다.

이는 결국 잘 뛰는 장병과 중간 그룹까지 모두 못 뛰는 10%에 맞춰 뛰게 하는 결과를 초래할 수도 있다.

[글_박 태 완 한국 뷰로베리타스 선임심사원(taewan.park@gmail.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>