[넋두리] 12. 빛과 그림자
진짜 우등생은 없는 우리 기업 현실
우리나라 정보보안의 가장 큰 특징이라면, 법에서 요구하는 규정이 꽤 상세하고 많다는 점을 빼놓을 수 없다. 일반기업부터 공공기관, 금융회사, 병원, 대학들까지 법에서 요구하는 정보보안 요구사항을 준수해야만 한다. 게다가 정보보안 인증을 받아야 하는 대상까지 상당히 구체적으로 규정하고 있다. 법에서 요구하는 내용인 만큼 각자 알아서 선별 수용하는 것이 아니라 강제사항이다. 무조건 해야만 하는 것으로 지키지 않으면 그 순간 불법이 된다.
정부부처는 이러한 상황을 두고 "정보보호가 되지 않고 있는 기업이 아직도 많기 때문"이라고 얘기하고 있다. 자발적인 정보보호 활동이 되지 않으니 이렇게 법으로라도 강제해야 한다는 것이다. 그리고 그 이면에는 기존에 법으로 강제했던 정보보호 안전진단이나 ISMS 의무 대상 지정을 통해 기업 및 기관들의 정보보호 수준이 실제로 향상되는 효과를 보았기에, 범위 확대를 통해 전반적인 보안 수준을 끌어올려 보겠다는 기대도 읽을 수 있다.
이러한 정부의 의도에 일부 동의하면서도 한편으로는 씁쓸한 감을 지울 수 없다. 타의에 의해, 그것도 법이라는 선택의 여지없는 강수에 의해 강제로 향상된 정보보호에는 한계가 있기 때문이다. 많은 기업/기관들의 경우 법이 요구하는 기준을 만족해 점수가 향상되었다고 확인되면 이에 만족하고 안주하고 마는 것이 그 부작용이다. 실제 기업들의 정보보호는 최근 몇 년간 제자리에 머물고 있는 것이 사실이다.
전문가에 따라 의견이 다를 수 있지만, 대체로 정보보안의 진화는 3단계에 걸쳐 진행된다.
첫 번째는 보안 조직이 주도하는 "수준 향상" 단계로 보안 인증 획득, 보안인력 확보, 보안제품의 구매ㆍ적용으로 가능한 단계다. 현재 국내 대부분의 기업들이 도달한 단계라고 할 수 있다. 많은 금융회사와 대기업의 경우 95점 이상의 우수한 수준으로 대외적으로 홍보하고 있는데, 실상은 첫 번째 단계인 "수준 향상"의 단계에 해당한다.
두 번째 단계는 "변화관리" 단계로 정보보호가 임직원의 기업문화에 녹아들어 회사 생활에서 자연스럽게 이루어지는 단계다. 2단계에 도달하기 위해서는 지속적인 교육을 통해 직원들의 인식 변화를 추구하고, 임직원이 정보보호활동에 참여하도록 유도함으로써 보안이 업무 과정에 녹아들도록 해야 한다. 직원들의 업무에 반영되어 문화로 정착되도록 노력하는 단계다. 문화가 된다는 것은 그것을 당연스럽게 여기는 것이다. 보안이 당연한 것으로 여겨지도록 지속적으로 반복하고 노출시키는 것이 중요하다.
세 번째 단계는 "경영 일체화" 단계이다. 이 단계에 도달하면 기업의 영속성 달성을 위한 최고경영진의 경영전략에 보안이 내재화된다. 경영전략을 책임지는 최고 정보책임자(CIOㆍChief Information Officer)와 정보보안을 책임지는 정보보호 최고책임자(CISOㆍChief Information Security Officer)를 굳이 분리하지 않아도 된다. 회사 경영전략 도출 시 보안조직이 함께 참여하여 검토함으로써 지금처럼 보안조직이 별도로 보안의 필요성을 검토하여 보고할 필요가 없다. 최고경영진의 활동범위 전반에 정보보안이 포함되어 있기 때문이다.
많은 국내 기업들의 경우 대부분 1단계에 머물러 있는 것이 현실이다. 보안 수준 95점 이상의 '우등생'이라고 홍보를 해도 실상은 보안 조직의 주도하에 만들어진 점수에 불과하다. 그 점수 어디에도 임직원의 참여나 최고 경영진의 참여는 반영되어 있지 않다. 실제는 보안조직만 열심인 반쪽도 되지 않는 점수인 것이다.
개인적으로 2단계의 수준에 도달한 것으로 인정하는 기업은 국내에서는 모 포털사 등 극소수 기업만이 해당된다. 그만큼 2단계부터는 보안조직의 노력이나 희생, 보안솔루션 구매만으로는 도달이 불가능하다. 임직원들과 최고 경영진의 자발적ㆍ능동적 참여가 뒷받침되지 않으면 이루기 힘든 단계이다.
우리 기업 현실은 어떠한가. 돈 버는 일은 경영진 포함 모든 임직원이 함께 참여하는 것이 당연하다고 생각하면서도 보안은 보안조직이 할 일이라고 생각한다. 보안하는 사람이 따로 정해져 있는 것이 현재 우리 기업들의 문화 수준이다. 기업들이 2단계에 도달할 시점이 언제일지 가늠하기 어렵다. 3단계? 글쎄다.
