하루가 멀다 하고 보안 침해사고가 발생하고 있다. 

사고 기업은 이름만 대면 누구나 알만한 경우가 대부분이다. 규모도 있고 매출도 나오는 기업이다.

그런데도 해커의 침해에 속수무책으로 당한다. 의문점이 생길 수밖에 없다.

"보안에 신경 쓴다고 그렇게 홍보하더니 실제로는 전혀 하지 않는 것인가?"

매출액이 조단위를 넘는 곳도 있어 의문은 더욱 커진다.

사고가 발생한 기업이 보안에 전혀 투자를 하지 않는 것은 아니다. 정부가 권고하는 보안제품도 적용하고, 보안인증도 열심히 받고 있다. 작지만 보안조직도 꾸려 운영하는 경우가 대부분이다. 그럼에도 사고는 계속되고 있다.

질문에 대한 답은 보안을 책임져 본 경험이 있는 사람이 아니면 쉽게 답하기 어렵다. 밖에서는 알기 어려운 기업의 독특한 문화적 특징이 내부에 존재해 작용하고 있기 때문이다. 

큰 조직일수록 보안에 책임지는 사람은 없다. 흔히 대기업이면 정보보호 최고책임자가 지정돼 운영되는 것으로 알고 있다. CISO라고 불리는 보안책임자가 지정돼 있는 경우가 많아진 것은 사실이다.

하지만 CISO가 충분한 권한을 가지고 있을까. 진정한 전문가인지 따져보면 상황은 달라진다.

대체로 권한없는 천덕꾸러기 신세인 경우가 많다. 보안전문가 출신이 아닌 경우도 허다한 것이 현실이다. 

CISO가 권한을 가지고 보안책임을 진다는 것도 아니다. 사고가 발생하면 책임을 오롯이 짊어질 얼굴마담이 지정돼 있다는 정도에 불과하다.

보안이슈는 뜨거운 감자처럼 최고 경영진까지 에스컬레이션이 안된다. 보안에 문제가 있다는 것은 기업 내부구조가 외부 공격에 취약하다는 것을 말한다. 그리고 이는 몇 가지 문제점을 일으킨다.

무엇보다도 최고경영자에게 그동안 일을 어떻게 한 것이냐는 추궁을 받을 수 있는 문제다.

취약점을 해결하기 위해 추가적 예산이 투입돼야 한다는 돈의 문제다.

따라서 보안책임자가 대표이사에게 직접 보고를 하는 경우가 아니라면 대부분 중간에서 다른 상위임원까지만 보고되고 마무리되는 경우가 허다하다.

보안은 임직원들이 참여하고 싶어 하지 않는 일이다. 무언가 문제를 발견, 보안이슈를 제기하는 순간 주변으로부터 고립되기 십상이다. 성과평가에 도움이 되지도 않는 문제를 제기했기 때문이다.

따라서 공식적으로 이슈화가 되는 순간, 문제를 제기한 직원이 책임을 가지고 문제해결을 전담해야만 한다. 물론 보안조직과 함께 말이다. 

본업 외에 추가로 책임져야 할 업무가 생겨난 꼴이다. 그러니 기업의 조직에서는 설사 문제점을 눈으로 확인했다고 해도 보안사고가 나기 전까지는 다들 쉬쉬하고 은폐하기 바쁘다.

기업문화는 하루아침에 변화되기 어렵다. 관심을 가지고 꾸준히 개선하고자 노력해야만 변화가 가능하다.

기업 보안문화를 변화시키고자 하는 노력의 시작은 보안책임자에게 충분한 권한을 배정해야 한다. 직접 최고경영자와 이사회에 보고하도록 해야 한다.

보안에 대한 임직원의 문제 제기에 관심을 갖고 최소한의 보상이 사고를 막는 시작이다.