"보안은 어디까지나 CEO의 이슈"

[김국배기자] '보안은 어디까지나 최고경영자(CEO)의 이슈.'

기업 보안 강화을 위해선 CEO의 책임 확대가 필요하다는 지적이 제기됐다. 기업의 보안을 보안팀에게만 맡겨둘 것이 아니라 CEO가 직접 보안 관리와 운영에 대해 신경을 기울이고 책임을 져야 한다는 것이다.

지난 17일 서울 종로구 SK서린빌딩에서 열린 'IT현안설명회'에서 인포섹 보안SW사업담당 윤명훈 상무는 "보안은 보안팀의 이슈라기보다는 CEO의 이슈"라며 "보안팀이 여전히 기업의 업무 지원 부서 역할에 머물고 있다면 결정 권한이 약해 적절한 대응이 힘들다"고 꼬집었다.

기업 CEO는 사고 발생 이후 직접 고개 숙여 사과를 하는 것만으론 책임을 다했다 보기 어렵고 직접 보안의 중요성을 인지하고 최소한의 지식을 갖춰 기업의 보안 정책에 변화를 줄 수 있어야 한다는 지적이다.

윤 상무는 "개인정보 유출 사고를 겪은 한 캐피털 회사의 경우 보안팀을 확대 개편하고 CEO가 직접 보안정책을 수립하면서 사고 이전과 비교할 수 없을 정도로 보안 수준이 높아졌다"며 보안 문제에 있어 CEO의 중요성을 강조했다.

최근 초심자가 아닌 프로들의 공격이 늘어나면서 보안의 패러다임도 '방어할 수 있다'에서 '뚫릴 수 있다'로 변화하고 위협 역시 커지면서 기업의 대응 방향과 형태 모두 달라져야 한다는 것.

규제의 한계도 문제로 지적됐다. 자칫 기업들이 법·제도나 정부의 가이드라인을 최소한의 보안으로 인식하지 않고 최대치로 받아들여 법망을 피할 만큼의 보안 수준만 갖추면 오히려 역효과가 날 수 있다는 우려에서다.

윤 상무는 "고도화되고 정밀화된 규제일수록 기업은 '그것만 지키면 된다'고 여기는 경향이 있다"며 "규제 일변도가 아닌 높은 보안 수준을 갖추는 것이 기업 평가에 긍정적으로 반영될 수 있는 인센티브 방식의 정책이 동반돼야 한다"고 말했다.

주요 기업들의 개인정보 유출 사건 등을 계기로 정부는 지난 2008년부터 법과 제도 등 국가적 차원의 개인정보보호 강화 시책을 강력 추진중이며 현재 신용정보법과 전자금융거래법, 정보통신망법, 개인정보보호법 등이 주요 정보보호 관련 법률로 마련돼 있다.