한때 기업의 정보보호 최고책임자라는 자리를 비꼬는 말로 OTP라는 용어가 보안업계에 유행하던 때가 있었다. 보안용어인 OTP(One Time Password)에 빗대어서 만들어진 용어로 One Time Prisoner 즉 유출사고 한방에 감방에 가는 직업이라는 말로 겉만 번드르르한 CISO라는 자리의 허망함을 에둘러 표현한 것이다.
정말 그랬다. 보안을 직업으로 선택한 사람들에게 CISO는 직장에서 올라갈 수 있는 가장 높은 자리이자 선망하는 자리이면서도 언제 어떻게 될지 모르는 불안정하고 위험한 자리라는 인식이 일반적이었다. 다행히 지금은 침해사고의 책임을 CISO에게 물어 처벌하는 법도 많이 개정되어 예전보다는 나아졌다지만 아직도 CISO라는 자리는 불안한 자리다. 기업의 유출사고로 인해 CISO(와 CPO)가 교체되었다는 소식이 여전히 들려오는 것이 현실이기 때문이다.
사람의 일을 다하고 하늘의 뜻을 기다리라고 했다. 기업도 마찬가지다. 기업에 속한 구성원 전체가 최선을 다한 뒤 그 결과를 차분히 받아들이는 모습이 필요하다. 일 년의 성과를 평가하는 매출이 대표적이다. 매출이 목표에 도달하지 못했다면 구성원들이 최선을 다하지 않았거나, 최선을 다했음에도 주변 환경이 좋지 않아 하늘의 뜻을 얻지 못했음을 뜻한다. 운이 없었다는 말이다.
기업의 보안도 같다. 무엇보다 기업에 속한 임직원 모두가 보안에 최선을 다하고, 발생된 침해사고에도 함께 대응한다는 자세가 필요하다. 그 맨 앞에서 CISO와 정보보안조직이 쳐들어오는 해커들의 공격에 맞서 선봉장을 서고 있다. 어느 기업을 공격할지 어떻게 공격할지는 오로지 해커의 맘에 달려있다. 기업이 대응할 수 있는 건 공격을 잘 막아내고자 노력하는 것과 공격으로 인한 피해를 최소화하는 것 두 가지이다.
공격을 잘 막아내는 것은 투자이다. 뛰어난 보안인력을 CISO와 보안담당자로 뽑아 기업 최전선에 선봉장으로 세우는 일이고, 보안조직이 들고 싸울 무기인 보안설루션을 구매해 필요한 기업 곳곳에 배치하는 일이기 때문이다. 돈이 아깝다거나 남주기 아깝다고 비전문가를 임명하거나 꼭 필요한 보안설루션 구매를 예산을 핑계로 하지 않는 것은 투자하지 않는 것이고, 무기 없이 싸우라는 것이며, 푼돈을 아끼고자 장차 발생할지 모를 태풍에 대비한 제방을 쌓지 않는 것과 같다.
공격으로 인한 피해를 최소화하려면 전사적인 합의와 지원이 필요하다. 경영진 포함 모든 조직이 피해 최소화를 위해 한 마음 한 뜻으로 움직여야 하기 때문이다. 빠른 의사결정과 일사불란한 처리는 침해사고대응에 있어 가장 중요하다. 일각이 여삼추인 상황에서 사고책임에 대한 논란이 불거지거나 CISO(또는 CPO)가 경질되는 등의 상황은 대응의 동력을 상실하게 만들어 상황을 악화시킬 뿐이다. 기업 소속원 어느 누구도 회사가 침해사고를 당하기를 원하지 않는다. 안타깝게도 해커가 우리 기업을 노렸을 뿐. 도둑이 어느 집 털러 간다고 예고하고 오지 않듯이 말이다.
두 가지 경우 모두 기업의 적극적 투자, 구성원 전체의 지원과 합의가 필요하다. 공격에 대한 방어와 공격으로 인한 피해를 전담해야 하는 CISO(및 CPO)가 걱정과 불안 없이 처리에 전념할 수 있도록 말이다. 뒤에서 회사 전체가 함께하고 있다는 믿음은 선봉에 선 CISO와 정보보호조직에게 없던 힘도 생기게 만든다. 흔히 말하는 든든한 배경이다. 직원들이 임원진이 경영진이 뒤에서 함께하며 공격에 맞서 싸워준다면 이 보다 더 CISO와 정보보호조직에게 힘이 되는 것은 없을 것이다.
돌아봐도 아무도 없고 CISO와 정보보호조직만이 외롭게 해커들의 공격에 맞서 싸우는 모습, 싸움의 결과로 인한 피해를 떠안고 가는 모습을 떠올려보자. 얼마나 힘들고 참담하고 외로울지를. 그 흔하다는 뒷배도 없이 오로지 혼자서 고군분투하는 모습을 말이다. 이 모습이 현재 기업의 정보보안조직들이 처한 상황이다.