“현명한 사람은 다른 사람의 경험을 통해 배우고 바보는 자신의 경험을 통해 배운다.”
―‘리질리언트 엔터프라이즈’(요시 셰피 MIT 교수·전국경제인연합회 FKI미디어·2007년)
최근 방송사와 금융권을 강타한 해킹사건을 바라보는 의견이 분분하다. 한 가지 분명한 건 이번 사태를 위기관리 체계 전반을 되짚어보는 계기로 삼아야 한다는 점이다.
성벽을 아무리 높게 쌓아도 적을 완벽하게 막을 수는 없다. 전문가들은 점점 더 고도화되는 사이버공격을 막아내는 방패는 없다고 한다. 리스크 관리와 보안 분야의 세계적 석학 미 매사추세츠공대(MIT) 요시 셰피 교수는 저서에서 이에 대한 대응책을 명확하게 제시한다. 이는 바로 ‘사람부터 조직, 프로세스, 기술까지 다층적 균형 방어체계(Layered and Balanced Defense)를 구축하라’는 것이다.
다층적 방어체계와 함께 균형도 필요하다. 정문 단속에 신경 쓰다 뒷문이 뚫리면 보안은 무용지물이 된다. 기업생태계의 범위가 넓어지면서 기업은 계열사나 관계사, 아웃소싱업체, 협력업체와 더욱 긴밀하게 연결되어 있다. 각 요소의 가장 취약한 부분이 생태계 전체에 위험 요인이 될 수 있다는 걸 인식해야 한다.
기업은 이를 막기 위해 최고보안책임자(CSO·Chief Security Officer)의 역할과 기능을 확대해야 한다. 또 다층적 균형 방어의 원칙을 바탕으로 기업생태계에서 발생할 수 있는 정보 보안 사고나 의도적인 공격에 대한 대처 능력을 길러야 한다. 이와 함께 여러 기업과 노하우를 교환하는 벤치마킹을 통해 다른 기업의 경험에서 배워야 한다. 사고에 대한 대비와 대응을 위해 취하는 일련의 조치는 전적으로 해당 기업의 몫이다. 아무도 이를 대신해주지 않는다는 것을 명심해야 한다.
유종기 한국IBM 글로벌테크놀로지서비스 실장