“정보보호는 보안 담당 직원이 하는 게 아니라 기업의 이사회부터 고위 경영진, 말단 직원까지 모든 직원이 해야 하는 것입니다.”(성재모 금융보안연구원 정보보안본부장)
“장기적으로 정보보안을 하나의 문화로, 생활로 자연스럽게 정착시킬 수 있는 사회적 합의를 이뤄내야 합니다.”(윤석진 EY한영회계법인 파트너)
26일 ‘동아 인포섹 2014-정보보호 콘퍼런스’에서 주제 발표자로 나선 국내외 전문가들은 개인정보 유출사태 재발을 막고 무너진 신용사회에 대한 신뢰를 바로 세우기 위한 다양한 방안을 쏟아냈다. 이들은 한목소리로 “최고경영자(CEO)의 관심과 의지가 ‘정보보안 강국’으로 가는 첫걸음”이라고 강조했다. 또 정보유출 사고를 예방하는 것 못지않게 예기치 못한 사고를 당한 뒤 신속히 업무를 정상화할 수 있도록 ‘회복 능력’을 키우는 게 중요하다고 조언했다.
○ “CEO 의지가 첫걸음”
전문가들은 CEO가 앞장서서 정보보호를 비용이 아닌 ‘핵심 투자’로 인식하고 보안에 대한 의지를 전사적으로 천명해야 한다고 입을 모았다. 그래야만 자연스럽게 직원들의 보안의식이 길러지고 기업문화에 보안이 내재화된다는 것이다.
윤 파트너는 “일부 CEO는 개인정보 유출 사고를 당한 뒤 ‘내 권한과 상관이 없다’ ‘우리도 피해자다’라는 말을 하곤 한다”면서 “이들의 경영전략에 보안이 포함돼 있는지 의심스럽다”고 꼬집었다. 그러면서 그는 “CEO는 보안 점검 결과를 사장단 회의에서 발표하고 선제적으로 보안 관련 조직과 투자를 늘려야 한다”고 말했다. 성 본부장도 “CEO가 나서서 ‘정보보호 선언’을 하고 매달 한 차례 정보보안 관련 회의를 주재하면서 직원들에게 보안의 중요성을 일깨워줘야 한다”고 지적했다.
직원들의 보안의식을 높이기 위해서는 주기적으로 보안 관련 교육과 모의훈련을 실시하는 한편으로 직원들의 보안사항 준수 여부를 불시에 점검하고 인사고과에 반영하는 체계를 갖춰야 한다는 조언도 나왔다. ‘정보보안 감사 의무공시 제도’를 도입해야 한다는 지적도 있었다. 윤 파트너는 “회사 존폐가 달린 보안 활동을 주주들에게 알리는 것은 매우 중요한 경영활동”이라고 설명했다.
○ “자율적 보안체계 강화해야”
정보보호와 관련해 중복된 규제와 감독 체계를 조속히 개편해야 한다는 지적도 쏟아졌다. 현재 정보보호 관련 법률은 개인정보보호법 신용정보법 전자금융거래법 정보통신망법 등으로 산재돼 있고 담당부처도 안전행정부 미래창조과학부 방송통신위원회 금융위원회 등으로 나뉘어 있다.
성 본부장은 “다른 법끼리 상반된 내용을 담고 있는 일도 있다”면서 “충돌되는 부분을 정리해야 혼란을 없앨 수 있다”고 말했다. 또 유 파트너는 “컨트롤타워 역할을 할 수 있는 개인정보보호 전담기구를 만들어야 한다”고 지적했다.
전문가들은 정부가 시시콜콜한 지침을 만들기보다 기업 스스로 보안 수준을 결정하도록 자율적인 규제를 유도하되 사고가 발생하면 엄중하게 처벌하는 방식이 효과적이라고 강조했다. 정부가 일일이 규정을 만들어 제재하면 기업들은 사고가 터졌을 때 “시키는 대로 다 했는데 문제가 생겼다”는 생각을 하게 된다는 것이다.
성 본부장은 “규제 중심의 보안 체계에서는 기술 진보에 따른 신규 보안위협에 신속하게 대응하기 어렵다”며 “정부는 원칙만 제시해주고 민간이 자율적으로 보안체계를 강화할 수 있도록 해야 한다”고 강조했다.
○ “협력업체 보안 평가 체계도 도입”
정보보안 사고 이후 기업이 신속하게 업무를 재개할 수 있는 회복 능력을 갖춰야 한다는 지적도 나왔다. 마이크 트로바토 언스트앤영(EY) 아시아태평양 정보보안 리더(파트너)는 “정보보안을 위해 CEO의 리더십, 전 부서의 협력, 성숙한 보안 문화가 확립되면 사고가 나더라도 신속한 대응과 회복이 가능하다”고 말했다.
이날 주제 발표에서는 국내 기업들이 벤치마킹할 수 있는 해외 기업 사례도 소개됐다.
JP모건체이스은행은 자사 고객 4000만 명의 카드 정보가 유출되자 비상근무 체제를 선포하고 피해 고객이 신청하지 않아도 자발적으로 모든 카드를 재발급해줬다. 카드 교체에 들인 비용만 2억 달러를 넘었다.
제너럴일렉트릭(GE)은 협력업체 관리가 돋보였다. 업무 내용에 따라 3단계로 협력업체의 정보 접근 권한을 분류하고 이에 맞는 보안 규정을 준수하도록 하고 있다.
윤 파트너는 “국내 기업들도 협력업체 보안 수준을 감사하는 평가 체계를 도입하고 협력업체 대표이사와 보안 담당 직원들을 대상으로 직접 보안교육을 해야 한다”고 말했다.
댓글 0