지난 컬럼에서 기업의 정보보안이 바로 서기 위해서는 보안을 경영진의 책임범위로 끌어들어야 함을 피력했다. 이번에는 그와 동일한 맥락으로 기업 정보보안에서 꼭 짚고 넘어가야 할 문제로 고양이에게 생선을 맡기는 현실을 얘기하고자 한다. 

국내에서 일정 규모 이상의 기업이라면 매년 보안컨설팅을 받아 기업의 정보보호 수준을 측정하고, 그 결과에 따라 취약한 부분에 대한 보호방안을 마련하고 있다. 측정결과는 경영진에게 보고되며 대부분의 경우 최고경영자까지 보고된다. 이때 모든 내용을 경영진이나 최고경영자에게 보고할 수는 없으므로(대부분의 경영진은 그 내용을 이해하지 못한다) 요약된 결과가 보고되는 것이 일반적이다.

임홍철 사이버팀장

이 과정에서 문제가 발생하는데, 대부분의 경우 보안컨설팅을 발주하는 부서가 정보보호 수준 측정의 대상 또는 책임을 지는 부서라는 것이다. 즉, 자신의 업무수행능력을 측정하는 사업을 발주해 측정 받고, 그 결과를 경영진과 최고경영자에게 보고하게 되는 것이다. 만약, 측정결과가 좋지 않은 경우에는 결과 조작의 달콤한 유혹에 빠지기 쉬운 환경이다. 왜 아니겠는가? 경영진과 최고경영자에게 보고될 그 중요한 보고서를. 보안컨설팅 수행전문가와의 소모적인 논쟁 과정을 거쳐 갑의 지위를 십분 활용해 측정 결과를 상향조정해 보고한 뒤 무사히 마무리가 된다.

진짜 문제는 이제부터 발생하게 된다. 고양이에게 생선을 맡긴 결과로 인해 악순환의 고리가 생성되는 것이다. 다음해가 되면 적어도 작년보다는 1점이라도 올라야 하는데 현실은 그렇지 못한 상황에 직면하게 되고, 다시금 결과 조작의 유혹에 빠지게 되는 것이다. 이 과정에서 경영진과 최고경영자는 기업의 정보보호 수준이 아주 양호하다고 오판을 하는 잘못된 판단을 내리게 되고, 이는 자연스럽게 정보보안에 대한 투자축소로 이어지게 된다. 그리고 어느 순간 IT침해사고가 발생하면 이렇게 외친다. “매년 예산을 들여 보안컨설팅을 받았고, 보안수준도 양호한 우리 회사가 왜 이런 사고가 발생합니까?”라고 말이다.

이 이야기를 하는 이유는 스스로를 측정 받아야 하는 발주부서를 비난하기 위함이 아니다. 이 글을 읽는 여러분에게 물어보고 싶은 것이다. 이것이 과연 생선을 맡은 고양이의 잘못인지 아니면 고양이에게 생선을 맡긴 경영진과 최고경영자의 잘못인지를 말이다. 여러분은 어떻게 생각하는가?

키워드

#N
저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지