유통/제조 대기업과 정보보안
최근 개최되고 있는 각종 IT 관련 세미나나 전시회의 주요 주제는 4차 산업혁명과 연관된 주제가 주류를 이루고 있다. 매일 같이 쏟아져 들어오는 행사(온라인 세미나 포함) 참석 요청 메일들의 대다수가 클라우드, 엣지서비스 등과 같은 유행의 트렌드를 따르는 용어로 도배가 되어 있다시피 할 정도이다.
그러나 이런 시대적인 추세에도 느리게 변화하는 기업들은 존재한다. 대표적인 기업들이 오프라인(매장) 위주의 사업을 수행해 온 유통/제조 분야의 기업들이라고 할 수 있다. 물론 이런 기업들이라고 해서 모두가 신기술의 도입에 소극적이라는 의미는 아니다. 다만, IT기술을 기반으로 시작하는 스타트업이나 마이데이터 사업자와 같은 최근 생겨나고 있는 기업들에 비해서는 전반적으로 상당히 늦은 도입 속도를 보이는 것은 사실이다.
정보보안을 평생의 업으로 삼고 있는 사람으로서 IT 신기술의 도입이 늦어진다는 것은 작게는 정보보안의 발전 추세에 따른 기술 도입 역시 늦어짐을 의미하고, 크게는 기업이 시대적 변화의 추세를 따라가지 못하고 있다는 말과 다르지 않다고 생각하고 있다. 그런 전차로 도입이 지체되는 원인이 무엇인지, 이런 현상이 정보보안에 있어 어떤 영향이 있을지 진지하게 고민해 보고 10개의 특징들을 정리해 보았다.
1. 전통적 유통기업(특히 대기업일수록)의 경우 이미 익숙한 기존의 업무 방식을 고집하는 경향이 강하다. 수십 년 이상 사용해 온 업무 방식은 이미 처리의 안전성과 효율성이 검증된 상태이다. 그리고 익숙하다. 따라서, 비싼 비용이 들어가는 새로운 IT기술 도입이 필요하다고 경영진을 설득하기란 여간해서는 쉽지 않다. 그 결과 IT 기술 도입이 지체되고 더불어 정보보안의 변화도 함께 지체된다.
2. 많은 전통적 기업들도 이커머스 사업(온라인 쇼핑몰)을 이미 시작했거나 시작하고 있다. 그중 일부는 현재 매출액이 성장하고 있는 나름 긍정적인 결과를 보이기도 한다. 그러나, 매장을 기반으로 하는 기존 오프라인 사업의 매출 비중이 여전히 전체 매출의 상당수를 차지하며, 앞으로도 상당기간 지금의 상태를 유지할 가능성이 높다. 따라서, 굳이 당장 신기술에 무리한 투자를 감행해야 할 위기감을 느끼지 못한다. 오프라인 기반의 사업이 대세인 만큼 IT부문의 투자 및 성장이 느리고, 더불어 정보보안조직의 성장도 느리다.
3. IT 전문기업 혹은 IT기반 기업과는 달리 직원들의 IT기술에 대한 친숙도 및 지식이 낮다. 즉, 기업 전체의 디지털 역량 수준이 낮은 경향이 강하다. 기업의 디지털 역량이 낮은 경우 정보보안조직과 전산팀, IT지원팀의 경계가 명확하지 않고 허물어지게 된다. 그 후유증은 정보보안인력이 PC OS를 설치하고 있거나, 문제가 발생한 IT장비의 수리 처리를 하는 등의 상황으로 이어지는 참담한 결과를 만든다. 기업의 낮은 디지털 역량은 정보보안조직의 보안활동에 가장 큰 어려움이자 걸림돌이다.
4. IT 전문기업에 비해 상대적으로 IT침해로 인한 피해건수 및 피해규모가 작은 편이다. 이는 기업의 디지털 역량이 낮아 생기는 모순으로, IT 투자 규모가 작은 만큼 해커의 공격 대상이 되는 공격 표면 역시 작아 생기는 현상이다. IT침해가 적은 것은 경영진의 정보보안 투자 무관심을 유발해 악순환을 반복시킨다.
5. 많은 경우 타사 동종업체의 도입 및 성공사례가 있어야만 도입을 검토할 정도로 최신 기술의 도입에 소극적, 수동적이다. 선발주자로서의 위험을 감수하고 싶어 하지 않는다.
6. 오랫동안 사업을 영위해 온 기업의 경우, 자본력을 갖춘 경우가 많아 의외로 많은 보안설루션이 도입되어 있다. 각종 정보보안 관련 법령들에서 요구하는 대부분의 설루션이 도입되어 있다. 정보보안조직의 입장에서는 보안설루션을 구매해야 하는 부담은 적다. 이는 법 요구사항에 충실함을 보여주는 현상이면서 모순되게도 법 요구사항에만 충실함을 보여주는 반증이기도 하다. 즉, 법에서 요구하지 않는 보안기술의 도입은 쉽지 않다. 이런 분위기를 가진 기업들의 경우 보안설루션 도입 등 보안활동을 위한 예산 신청 시 관련 법령을 함께 기재해야만 하는 현상이 생겨난다.
7. 대체로 기업의 규모(매출 규모 및 인력 규모)에 비해 정보보안조직의 규모와 예산이 작다. 한정된 인력과 투자 부족으로 인해 설루션 간의 로그 연동을 통한 위험 사전 예측 등을 위한 보안체계 고도화가 이루어지지 못하고 침해사고 사후 대응에 초점이 맞추어져 있다.
8. 유통기업들의 이커머스 사업 진출이 늘어나면서 새로운 해커들의 표적으로 노출되고 있어 정보보안조직의 위험 증가로 작용하고 있다. 진짜 문제는 보안에 대한 충분한 검토를 거치지 않고 급하게 이커머스 시장에 진출하고 있다는 점이다. 검토되지 않은 이커머스 서비스는 해커들에겐 즐거운 공격 메뉴의 추가와도 같다. 최근의 추세는 주로 DDoS 및 랜섬DDoS 공격의 대상으로 노출되고 있는 상태로 이커머스 사업을 영위하는 기업들이 당면한 가장 큰 보안 위협이라고 해도 과언이 아니다.
9. 전통의 유통강자 기업들의 경우 대기업이어도 CDO, CIO, CTO, CISO, CPO와 같은 IT분야 전문임원을 임명한 경우가 의외로 적다. 일부 임명되어 있더라도 IT 및 정보보안 분야 전문가 출신이 아닌 경우도 허다하다. 이는 IT에 대한 관심의 부족으로 이어져 관련 투자가 이루어지기 어려운 환경을 만들고, IT 투자 부족은 자연스럽게 정보보안 투자 부족으로 이어지는 악순환을 만들게 된다.
10. 상황의 반전과 개선은 오직 최고 경영진의 결단에 의해서만 가능하다. 돌려 말하면 최고 경영진이 결단하지 않으면 개선은 없다. 디지털 역량이 낮은 기업의 경우 일반적으로 나이가 많으신 최고 경영진들의 디지털 역량은 젊은 직원들에 비해 더욱 낮기 마련이며, IT기술에 대한 이해와 관심 역시 낮다. 직접 위험이 눈앞에 직면하지 않는 한 인식의 변화는 요원하며, IT기업으로의 체질개선은 어렵다. 즉, 발등에 불이 떨어져야 비로소 변화가 시작된다.