진짜 우등생은 없는 우리 기업 현실
큰 해킹사고가 발생하면 으레 정보유출 사고가 발생한 기업을 대상으로 한 정부와 국민들의 질타가 있기 마련이다. 대규모 침해사고가 났으니 이곳저곳에서 호되게 질타를 당하는 것은 당연한 일이다. 특히 고객들의 개인정보가 유출한 경우는 더욱 심한 질타가 이어진다. 남의 귀중한 재산(개인정보)을 맡아(위탁받아) 관리하는 처지에 관리소홀로 도둑을 맞았으니 말이다. 이때 단골처럼 등장하는 질타 메뉴가 있다. 정보보안 예산을 충분히 집행하고 있는지, 정보보안 인력을 충분히 보유하고 있는지와 같은 것들이 그것이다.
마치 보안예산이 충분하고 보안인력이 많으면 유출사고가 발생하지 않았을 것처럼 들 말한다. 하지만 그것은 실제로는 절반만 맞는 말이다. 보안예산이 많고 보안인력이 많아도 사고는 발생할 수 있기 때문이다. 정작 보안 침해사고가 많이 발생하는 이유는 예산이나 인력보다는 해킹기술의 진화속도 그리고 기업의 보안성숙도와 밀접한 관련이 있다. 이 중에서 기업이 신경 써야 할 것이 보안성숙도이다. 보안이 얼마만큼 기업 내부에 녹아들어 내재화(문화화) 되었는지에 따라 외부의 IT침해공격에 대한 대응력(면역력)이 달라지기 때문이다.
보안전문가에 따라 기업 보안성숙도에 대한 견해가 다를 수 있지만, 지금까지 겪어온 경험을 토대로 정리해 보면 대체로 기업 정보보안의 진화 단계는 4단계로 구분할 수 있다.
첫 번째 단계는 이제 막 기업이 출발하는 단계로 정보보안 역시 터를 잡지 못하고 있는 상황이다. 스타트업이나 소기업 등이 이 단계에 해당한다. 보안담당자도 지정되어 있지 않고, 보안제품의 도입 역시 부실해 대체로 PC용 무료 소프트웨어를 사용하는 정도에 그치는 경우도 허다하다. 보안의 수준을 평하기에는 많이 부족한, 취약한 단계이다.
두 번째 단계는 바야흐로 보안담당자가 지정되고 보안 조직의 구성이 이루어지는 단계다. 보안조직의 주도로 정보보호 수준이 향상되기 시작하는 단계라고 볼 수 있다. 각종 보안 인증을 획득하고, 필요한 보안인력을 확충하며, 여러 보안제품을 구매ㆍ적용하기 시작한다. 현재 국내 대다수의 기업들의 보안 수준이 바로 이 단계에 속한다. 이 단계에 해당하는 기업 들 중 상당수는 외부기관의 평가 결과를 토대로 95점 이상의 우수한 수준이라고 대외적으로 홍보하고 있기도 하다. 하지만 실상은 누구나 달성하고 있는 보통의 수준에 불과하다.
세 번째는 변화관리 단계로 보안을 기업의 문화 속에 녹여내기 위한 활동이 본격적으로 이루어진다. 정보보호가 임직원의 기업문화에 녹아들어 회사 생활에서 자연스럽게 이루어진다. 각종 보안활동들이 보안조직이 애써 홍보하고 독려하지 않아도 당연히 해야 하는 일로 임직원들에게 받아들여지는 것이다. 변화관리 단계에 도달하기 위해서는 지속적인 교육을 통해 인식의 변화를 추구함과 동시에 기업이 사용하는 각종 IT시스템의 절차마다 보안절차가 녹아들어 있어 임직원들이 싫든 좋든 보안절차에 자연스럽게 익숙해질 수 있어야만 한다. 익숙해지고 익숙해져서 불편하지 않고 당연히 해야 하는 일로 인지하게 만드는 단계이다.
네 번째 단계는 경영과 보안이 일체화되는 수준이 해당된다. 이 단계에 도달하면 기업의 영속성 달성을 위한 최고경영진의 경영전략에 보안이 내재화된다. 기업 최고경영진에 보안책임자가 속해 있어 중요한 의사결정에 보안조직의 의사가 함께 반영되어 결정된다. 회사 경영전략이 먼저 나오고 보안 조직이 나중에 보안의 필요성을 검토하는 등의 별도의 활동이 필요 없다. 최고경영진의 업무평가에 보안이 포함되어 있어 반드시 보안을 챙겨야만 한다.
현재 국내 기업들의 수준은 대부분 1단계 또는 2단계에 해당한다. 각종 보안평가를 통해 95점 이상의 수준을 달성한 '우등생'이라고 대외홍보를 하고 있는 기업이라고 해도 이는 전적으로 보안조직만의 활동에 의해 만들어진 점수에 불과하다. 대외적으로 드러난 행적들로 추산컨대 국내 기업 중 아주 소수의 몇몇 기업들만이 3단계에 도달했다고 보여진다. 3단계부터는 기업의 자발적ㆍ능동적 활동과 최고경영진의 정보보안에 대한 지극한 관심 없이는 달성하기 어렵기 때문이다.
실제 현장의 현실이 이러하니 4단계에 도달하는 기업이 나타나는 시점이 언제일지는 감히 가늠하기 어렵다.