직원 전체가 개인정보 유출사고에 대한 책임의식 가져야

[보안뉴스 김지언] 몇달 전 한 이동통신사의 보안팀장이 불구속 입건되면서 보안종사자들 사이에서 한바탕 파란이 일었다. 개인정보 유출범에 대한 법적 처벌은 미비한 반면, 보안인력에 대한 법적 책임이 강화되고 있다는 인식 때문이다. 이에 보안담당자들 사이에서도 보안사고에 대한 법적 책임 문제를 놓고 의견이 분분하다.

이와 관련한 설문조사 결과 개인정보 유출사고 발생시 기업에서 법적 책임을 져야 하는 사람으로 CEO를 가장 많이 꼽은 것으로 집계됐다.

이는 공공기관과 기업의 보안담당자 911명을 대상으로 한 결과로 ‘개인정보 유출사고 발생시 기업에서의 법적 책임을 져야할 사람은 누구라고 생각하십니까’라는 질문에 324명이 CEO라고 답했다.

이와 관련 KAIST 김용대 교수는 “어떤 부분이 문제가 있어 개인정보가 유출됐는지에 따라 차이는 있겠지만 법적인 책임은 최종 의사결정권자인 CEO가 져야 한다고 생각한다. 보통 보안인력들이 예산, 인력 등이 필요해 요청하지만 이러한 요청이 받아들여지지 않는 경우 대부분”이라며 “CEO가 요구사항을 거절했을 경우는 요구 무시에 대한 책임을 져야 하며, 보안인력의 업무 미숙으로 인해 생긴 문제라 할지라도 기술적으로 능력이 부족한 인력을 채용하고 배치한 것에 대한 책임을 져야 한다”고 밝혔다.

보안컨설턴트 이모 씨는 “최근 사회적 분위기가 보안전문가가 책임을 져야 한다는 방향으로 흘러가고 있으나 현 시점에서는 실제 보안전문가가 업무를 제대로 할 수 있는 환경이 마련됐는가를 먼저 점검할 필요가 있다”고 답했다.

이모 씨는 “IT 보안 특성상 보안업무는 일반 직원들의 근무시간 이후에 해야 하는 것이 많다. 해킹사고의 경우도 주로 담당자가 자리를 비운 업무외 시간대에 발생하고, 보안점검 및 유지보수 업무도 일반 직원들이 퇴근하고 홈페이지 유입시간이 적은 시간대에 수행해야 한다. 그렇기에 대부분의 회사에서는 업무시간에 보안담당자들에게 추가업무가 주어지고, 이로 인해 보안인력이 보안업무에 집중할 수 있는 시간은 줄어든다”고 비판했다. 즉 보안인력이 본연의 업무에 집중할 수 있는 환경이 마련되지 않았거나 인력과 예산이 제대로 투자되지 않았다면 CEO가 최종 책임을 지는 것이 맞다는 얘기다.

보안컨설턴트 홍성권 씨 역시 “보안관련 임원들은 CEO의 권한을 위임한 것이지, 책임에 대한 위임은 아니기 때문에 CEO가 책임을 지는 게 맞다”고 답했다.

A기업의 CISO인 오모 씨는 “거의 대부분의 보안인력들은 모든 법적 책임을 떠안을 만큼 그에 상응하는 권한이 주어지지 않았다. 유출사고 시 보안담당자가 회사 내에서 감봉 등의 중징계를 받을 수는 있지만, 직접 정보를 유출시킨 것이 아닐 경우 법적인 책임까지는 너무 가혹하다”고 언급했다.

이어 두 번째로는 ‘CPO/CSO/CISO 등 보안관련 임원급에서 책임져야 한다’는 답변이 23%를 차지했다. 개인정보보호 및 보안업무를 미숙하게 처리해 발생한 사고일 경우 해당 분야의 책임자가 최종 책임을 져야한다는 입장에서다. 그러나 금융권의 한 보안전문가는 이러한 점을 악용해 퇴직을 앞둔 인력을 CSO, CISO 등으로 임명하고 사고가 발생하면 모든 책임을 떠넘기기도 해 우려스럽다고 덧붙였다. 

다음으로는 ‘회사 전체(18.2%)’가 책임져야 한다는 의견이 뒤를 이었다. 서울 소재의 한 병원에서 근무하고 있는 조모 씨는 “개인정보 유출 등의 보안사고는 다양한 원인이 있는데 임직원 모두가 보안의식을 가져야 사고를 예방할 수 있기에 이 같은 답변을 선택했다”고 밝혔다. 이어 그는 “의료계나 금융권 등 일반 기업을 보면 보안 담당자가 아닌 일반직원들도 개인정보나 중요 파일들을 열람하고 관리하는 경우를 볼 수 있는데, 이 과정에서 생긴 유출사고의 경우 회사 전체의 보안의식에 문제가 있는 것으므로 임직원 전체가 정보유출에 대한 책임을 져야 한다”고 전했다. 

디지털포렌식 업체에서 근무하는 이준형 씨 역시 “보안이라는 것이 한 사람만 잘 한다고 해서 되는 것이 아니”라며, “실무자들이 아무리 노력하고 실력이 좋아도 돈을 움직이는 C레벨 이상의 임원들과 일반 임직원들의 보안의식이 제대로 갖춰지지 않는다면 언제든 개인정보 유출사고가 발생할 수 있다”고 답변했다.

보안담당자를 대상으로 조사한 것임에도 불구하고 ‘보안팀장’이나 ‘보안담당직원’이 책임져야 한다는 목소리도 각각 7.7%와 6.3%로 꽤 높은 수치를 차지했다. 이와 관련 응답자들은 만약 보안담당자가 사고의 원인을 사전에 파악하고 있었음에도 불구하고 문책이 두려워 보고하지 않았거나 직무 소홀 및 미숙으로 사고가 발생한 것이라면 보안담당자에게 가장 큰 책임이 있어 이 같은 답변을 선택했다고 입을 모았다.

이외에도 ‘기타’라고 답변한 응답자는 5.6%로 ‘개인정보보호·보안팀 전체(3.6)’라고 답변한 응답자보다 많았다.

보안전문가 문종현 씨는 “1차적인 책임소재는 개인정보관리책임자에게 있을 것이나 단편적으로 누가 책임져야 된다고 하기에는 변수가 많은 것 같다. 먼저 책임자에 대한 조직환경이 매우 열악하거나, 보안 이외의 업무에 투입된 시간이 많은 경우에 사고에 대한 책임을 전적으로 지는 것은 부당하다. 또 웹사이트 기획단계에서 기획자가 불필요한 개인정보 수집을 검토하고 제거해야 함에도 불구하고 이를 제대로 수행하지 않아 발생한 사고의 경우 기획자의 책임도 크다고 할 수 있다. 또 기업 내 고객정보를 열람할 수 있는 일반 직원들의 레벨에서 개인정보가 유출된 것이라면 개인정보를 유출한 직원이 가장 큰 책임이 있기에 이런 다양한 상황을 종합적으로 고려해 책임을 물어야 한다”고 답변했다.

보안담당자들을 대상으로 한 이번 조사에서 대부분의 보안담당자들은 개인정보 유출사고 시 보안담당자에게도 일정부분 책임이 있다는 답변을 했다. 그러나 모든 개인정보 유출사고의 책임을 모두 보안담당자에게 전가하는 것이 아니라, 기업 직원들의 보안수준 미달로 발생한 것인지, 기획단계에서 문제가 발생한 것인지, 보안투자가 부족했는지 등을 면밀히 분석하고 문제가 있는 그룹에 책임을 분산시켜야 한다는게 다수의 의견이었다.

최근 보안담당자들은 권한은 없고 책임만 높아지는 현 세태에 대해 압박감을 느끼고 있었다. 보안은 어느 한 사람만 잘한다고 해서 사고의 위협을 줄일 수 있는 것이 아니다. 회사 전체 임직원은 물론 기획과 개발에 참여한 외주직원들까지 모두가 보안의식과 책임감을 가져야 이를 예방할 수 있는 만큼 보안문화 정착을 위한 다방면의 노력이 필요할 것으로 보인다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>