2025년은 정보보안 산업계에 있어서 참으로 다사다난하다는 표현이 어울리는 한 해다.

더불어 중요한 한 해로 앞으로 수년간은 두고두고 회자되며 기억될 듯하다. 연초부터 하루가 멀다 하고 각종 침해사고들이 여러 기업들에서 우후죽순 격으로 터져 나오고 있기 때문이다.

침해사고를 둘러싼 각종 소리들이 무성하다.

보안조직이 권한도 없고 인원도 없어서 취약하다, 보안예산을 충분하게 배정하지 않아서 그렇다, 보안설루션 도입이 부실하다, 보안운영이 제대로 되지 않았다는 등의 각종 잡음들이 여기저기서 터져 나오고 있다.

사실 하나하나 따져보면 다 맞는 얘기들이고 그것이 우리나라 보안이 처한 실제 현실임을 인정할 수밖에 없다. 그리고 한 걸음 더 나아가 왜 이렇게 될 수밖에 없었는가를 근본적으로 짚어가다 보면 결국 한 가지 결론에 귀결되게 된다. 경영자의 보안에 대한 무관심.

그렇다. 이 모든 침해사고들의 원인에는 보안에 대한 경영자의 무관심과 오만이 저변에 깔려있다. 경영자의 성과 달성과 그를 통한 인센티브 획득에 전혀 도움이 되지 않는다고 보는 경영자의 안일한 판단이 작금의 수많은 침해사고들이 생겨나게 만드는 단초를 제공하고 있다.

어느 기업도 최고경영자의 성과목표에 보안을 첨가하도록 요구하고 있지 않다.  침해사고가 발생해 기업에 손해가 발생하면 그 반대급부로 성과를 낮추겠다는 곳은 아마도 있을 것이다.

그러나 그 이유가 경영진의 보안에 대한 투자 미흡과 무관심 때문임을 확인하는 기업은 없다. 더해 보안에 대한 관심과 투자확대를 통해 침해사고가 발생하지 않고 안전한 서비스가 제공되면 그 보상으로 추가 인센티브를 주겠다는 기업도 없다.

그래서 경영자들은 보안에 대해 관심을 끊는다. '설마 우리 회사에 문제가 생기겠어'라는 그저 운이 좋기만을 기대하는 오만한 희망을 가지고 오직 매출확대에만 전념한다. 보안에 대해 관심과 투자를 확대해 봐야 그들에게 아무런 이익이 돌아오지 않는다는 것을 오랜 학습을 통해 알기 때문이다.

기업 최고경영진들이 보안에 무관심한 이유는 그래도 되기 때문이다. 아무도 그들에게 요구하지 않기 때문이다. 관심을 가지고 신경 써봐야 그들에게 아무런 이익이 되지 않기 때문이다. 

침해사고라는 문제가 생기면 처벌을 묻는 지금의 방식은 변화를 가져오지 못한다. 아무 침해사고도 발생하지 않으면 성과를 주는 방식으로의 전환이 필요하다. 그래야 경영진이 변할 수 있다. 그들은 이익이 보장되어야 움직이는 사람들이기 때문이다.