“수습이 먼저라고 생각한다. 책임져야 할 일이 있으면 책임지겠다.”

2014년 새해 벽두에 발생한 카드사 개인정보유출 사고에 대해 열린 사장단 기자회견에서 어느 CEO가 한 말이다. 하지만 사태가 수습되기도 전에 그는 사퇴를 선언해야 했다. 국민들은 CEO 사퇴가 책임지는 방법인지에 의문을 제기하면서 자신의 개인정보가 안전하게 보호받지 못했음에 분노하고, 이런 분노를 집단소송으로 표출하고 있다. 만약 집단소송에서 패소한다면 카드사들은 막대한 보상금을 지불하면서 큰 타격을 입게 된다.

CEO들은 고성과를 창출하기 위해 잘 짜인 비즈니스 어젠다를 가지고 밤낮없이 노력했을 것이다. 그런데 왜 국민들 앞에서 죄인의 모습으로 머리를 숙여 사과해야 했을까? 그들은 스스로를 책임자라기보다는 고객정보를 도난당한 피해자라고 생각하지는 않았을까? 혹시 국민들 중 그들을 보고 참으로 운이 없는 분들이라고 생각하는 사람은 없었을까?

사실 대부분 금융사들은 보안을 위해 많은 노력을 기울이고 있다. 금융감독원을 비롯한 여러 정부기관의 엄격한 규제들을 준수하기 위해 노력하고 있으며 매년 보안 부문에 많은 예산을 할당한다. 또한 대부분의 CEO는 정보보안책임자로부터 ‘우리 회사의 보안에는 특별한 문제가 없습니다’ 내지는 ‘우리 회사의 보안에는 어떤 문제가 있지만 언제까지는 해결될 예정입니다’라고 정기적인 보고를 받는다.

이번 사고를 당한 카드사 CEO들도 ‘다른 회사는 몰라도 적어도 우리 회사는, 나는 괜찮겠지’라고 생각했을지 모른다. 하지만 불행히도 CEO는 몰랐더라도 사고는 이미 예견된 일이었다.

“CEO의 비즈니스 어젠다에 보안이 있을까?”

최근 몇 년간 심각한 보안사고가 연이어 발생하면서 “우리 회사는 완벽한 보안 체계를 갖췄다”고 드러내놓고 말하는 CEO는 거의 없어졌다. 더구나 구체적으로 들어가면 그들에게 보안이라는 단어는 결코 친숙하지도, 달갑지도 않다. 전문적인 IT 용어가 더해진 경우에는 더더욱 그렇다. 보안에 관심이 많다고 자신 있게 표명하는 CEO 중에도 막상 어젠다의 우선순위나 중요성에 있어서 보안이 비즈니스를 앞서거나 동등한 수준에서 다뤄져야 한다고 생각하는 이는 많지 않을 것이다.

현실적으로 대부분의 금융사에서 경영에 대해 경영자가 져야 할 무거운 책임을 대신해주는 보안관리자의 위상은 매우 낮다. 현재까지 많은 조직의 CISO(Chief Information Security Officer, 최고 정보보호 책임자)나 CPO(Chief Privacy Officer, 최고 개인정보 책임자)에게 임원의 자격과 역할을 기대하기 어렵다. 현장에서 컨설팅을 하다 보면 조직 내 소위 ‘현업’이라고 불리는 힘 있는 핵심 부서에서 비즈니스 성과를 앞세워 보안정책에 대한 예외를 주장하는 사례를 종종 목격한다. 보안관리자가 이런 요청을 거부하기는 매우 어렵다. 뿐만 아니라 금융감독원에서 도입한 ‘5·5·7 모범규준’(금융사는 전체 직원의 5% 이상을 IT 부서에 배치하고, IT 직원의 5% 이상을 보안인원으로 보유해야 하며, 전체 예산의 7% 이상을 IT 예산에 할당해야 함)을 외관상으로는 따르고 있지만 애사심이나 충성도가 낮을 수밖에 없는 외주직원을 포함해 형식적 요건만 충족하는 사례도 많다. 이들이 조직 내에서 실행하는 보안정책에 ‘현업’의 반응은 냉소적이며 이런 여건에서 보안관리자들의 자신감과 사기는 땅에 떨어질 수밖에 없다.

규모가 작은 금융사일 경우 형식적으로 ‘5·5·7 모범규준’에 맞춰 보안인력을 배치하고는 있지만 실제 보안업무에 전문성을 가진 전담 직원은 한두 명밖에 없는 곳이 적지 않다. 이들도 역시 실질적인 보안 리스크를 관리하기보다는 외부 상위기관의 감사에 대응하는 것을 주 역할로 한다.

CEO에게 보안현황과 문제를 보고하는 체계를 갖췄다고 해도 보고 내용이 사실이 아니거나 구색을 맞추기 위한 보고에 지나지 않는 경우도 많다. 비즈니스로 바쁜 CEO가 경영보고를 받을 때 보안에 많은 시간을 할애하거나 보안에 문제가 있다고 보고받는 것을 원하지 않기 때문일지도 모른다. 보안은 우선순위에서 항상 뒤로 밀린다.

이런 현실에 어느 누가 금융회사의 복잡하고 광범위한 비즈니스 프로세스에 보안이 포함돼 있고 개별 비즈니스 프로세스마다 존재하는 보안 리스크를 통제하고 관리할 수 있다고 자신 있게 말할 수 있겠는가?

“비즈니스 전반에서 CEO 중심의 정보보안 내부통제가 설계되고 작동돼야 한다.”

과거에는 정보보안이라고 할 때 그 범위가 IT에 국한됐던 적도 있지만 개인 정보 이슈가 나오면서 그 범위는 전체 비즈니스로 확대됐다. 물론 보안이 비즈니스보다 우선되기는 힘들겠지만 개인정보의 주체인 고객만큼은 결코 비즈니스보다 비중이 낮다고 치부될 수는 없을 것이다. 이런 관점에서 본다면 보안은 CEO의 비즈니스 어젠다 중심에 자리잡아야 한다.

그렇다면 CEO가 보안 사고를 책임진다는 것은 무엇을 의미할까. 이는 CEO가 비즈니스를 통한 수익을 책임지듯 전체 비즈니스 안에 산재된 보안 리스크를 정확히 알고 실질적으로 통제하고 책임질 수 있어야 한다는 의미다. 즉, CEO 중심의 정보보안 내부통제 시스템이 적절히 설계되고 효과적으로 작동돼야 한다.

CEO 중심의 정보보안 내부통제 시스템을 위해서는 다음과 같은 구체적인 활동이 필요하다.

첫째, CEO 스스로 정보보안에 확신을 갖고 의지를 표명해야 한다. CEO는 다음 항목에 스스로 자문해볼 필요가 있다.

- 보안이 비즈니스를 방해하거나 불편하게 하는 요인이므로 가능한 최소화해야 한다고 생각하지 않는가?

- 보안에 대한 투자를 비용이라고 생각하지 않는가?

- 감독기관에서 요구하는 최소한의 요건만 형식적으로 갖추면 해야 할 일을 다한 것으로 생각하지 않는가?

- 보안은 우수한 핵심 인원이 아닌 계약직 인원으로 대신해도 된다고 생각하지 않는가?

- 보안은 어차피 CEO가 직접 관리감독하기에 어려운 분야고 보안 사고는 운의 문제라고 생각하지 않는가?

보안은 직원이 스스로 알아서 잘 해줄 것으로 기대할 수 있는 분야가 아니다. CEO가 먼저 보안에 대한 인식을 전환하고 정보보안을 비즈니스와 함께해야 하는 핵심 업무의 하나로 선포해야 한다. 그리고 조직의 보안 역량을 끌어올리기 위해 적극 노력해야 한다. CEO는 자신과 임직원들, 많은 이해관계자들을 위해 보안에 대한 일체의 책임을 스스로 가져가야 한다는 의지를 가져야 할 것이다.

둘째, CEO의 정보 보안에 대한 의지가 전사적으로 전파돼 전사적 보안 컨센서스가 이뤄져야 한다. 이를 위해서는 수직적 또는 수평적 커뮤니케이션이 완전하게 이뤄지는 것이 매우 중요하다.

- 위로부터 아래로의 커뮤니케이션을 위해 CEO의 보안에 대한 의지를 임직원에게 지속적으로 전달할 수 있도록 CEO 메시지 전달, 보안정책 공지, 홍보, 캠페인, 교육 등의 활동을 적극적으로 해야 한다.

- 아래로부터 위로의 커뮤니케이션을 위해 전사적 보안 이슈가 형식적이 아닌 실질적으로 CEO에게 보고될 수 있어야 한다. 특히 보안사고와 관련된 핫라인(Hot-Line) 운영은 위기에 신속하게 대응하기 위해 마련돼야 할 필수 장치다.

- 수평적 측면의 커뮤니케이션을 위해 보안 주관부서(CISO, CPO 조직)와 IT, 인사, 총무, 시설 등의 유관 부서, 그리고 현업 간의 원활한 의사소통체계와 협업체계가 구축돼야 한다. 이를 위해서는 부서 간 명확한 R&R(Role and Responsibilities)을 정립하고 실무자 협의체는 물론 의사결정을 위한 부서장들의 정보보안위원회를 운영해야 한다.

- 해외지사, 협력사도 예외일 수 없으며 동일한 컨센서스를 위해 커뮤니케이션 채널을 확대해야 한다.

CEO는 이 같은 전사적 보안 관련 커뮤니케이션이 상시적으로 운영될 수 있는 장을 마련하는 데 적극적이어야 한다. 일부 금융사가 정보보안 포털시스템 등의 형태로 보안과 관련한 모든 정보를 하나로 통합해 전사적으로 공유하고 커뮤니케이션 채널을 단일화해서 컨센서스를 강화함으로써 현업을 포함한 전사 업무에 보안이 내재될 수 있도록 노력한 사례를 참고해볼 수 있다.

셋째, CEO 주도 아래 전체 비즈니스상에서 보안 활동을 실질적으로 통제할 수 있어야 한다. 보안과 관련된 프로세스는 비즈니스 성과에 직접 영향을 주지 않는다. 그렇다 보니 통제가 잠시라도 소홀해지면 그런 활동을 생략하거나 우회하는 경우가 허다하다. CEO는 정보보안 활동들의 불편을 최소화하고 반드시 준수될 수 있도록 프로세스를 자동화해 강제해야 한다. 비슷한 예로 회계관리, 재고관리, 공급관리, 구매관리 등 레거시 업무를 전사적으로 하나의 시스템으로 자동화해서 경영진 시각에서 내부통제가 가능해진 ERP(Enterprise Resource Planning)를 들 수 있다. ERP와 같은 시스템을 정보보안 영역에서도 구상해 볼 수 있을 것이다. 즉 몇몇 금융사의 사례에서 볼 수 있듯 개인정보영향평가를 포함한 보안성 검토 업무, 취약점 관리 및 위험 관리 업무, 개인정보 수탁사에 대한 관리감독 업무 등 전체 보안 업무를 시스템으로 자동화해서 반드시 준수하도록 하는 것이다. 일례로 H사는 시스템이 신규 구축될 때뿐만 아니라 변경될 때에도 자동적으로 보안성 검토를 수행하는 시스템을 구축해서 추가 인력 없이 획기적인 실적을 거둘 수 있었다.

넷째, CEO의 감독하에 정보보안 리스크 및 성과를 모니터링하고 평가할 수 있어야 한다. 이때 모니터링하는 내용은 단순 정보보안 사고탐지뿐만 아니라 개인정보의 라이프사이클(생성, 보관, 이용, 파기)상에서 오남용 현황 등 내부통제 영역까지 포함될 수 있다. 이는 단편적 이벤트만 모니터링하던 기존 관제시스템과는 큰 차이가 있다. 비즈니스의 큰 틀에서 반드시 관리해야 하는 정보보안 리스크를 CEO 관점에서 실질적으로 모니터링하는 것을 의미한다. 이를 위해서는 여러 이상 징후들을 종합적으로 분석해야 하는데 최근 트렌드가 되고 있는 빅데이터 분석 시스템을 이용하면 훨씬 효과적으로 접근할 수 있다.

나아가 디지털 포렌식(digital forensic) 기술을 활용해 정보감사 체계를 구축할 수 있다. 금융사별 임직원들이 보유하고 있는 개인정보 현황을 파악하고 제대로 관리하고 있는지, 내부 보안 체계의 점검 및 수탁업체 관리체계가 잘 구성돼 있는지 등 체계적인 정보감사가 절실하다. 또 정보감사를 통해 운영체계 이력을 확인하고 하드디스크의 교체는 없었는지, 허가되지 않은 불법 이동형저장장치(USB)를 사용하지는 않았는지, 안티포렌식 행위는 없었는지 등을 모니터링해서 정보유출 리스크를 감소시킬 수 있을 것이다. 한국인터넷진흥원(KISA) 주관 정보감사 방법론과 구체적인 적용방안을 기대해도 좋을 것이다.

CEO는 이런 모니터링 체계를 이용해서 보안 투자 시 의사결정에 확신을 가질 수 있으며 종합적인 정보보안 리스크 관리를 통해 대재앙을 예방할 수 있다.

다섯째, 고객정보 수탁사를 제대로 관리하는 시스템을 구축해야 한다. 카드사들은 인쇄사, 채권추심사, 배송업체, 심지어 꽃배달 서비스사 등 수많은 수탁사를 보유한다. 그중 일부는 소규모의 열악한 업체들이다. 이런 다양한 수탁사를 동일한 수준으로 통제하고 발생한 사고에 대해 동일하게 책임을 가지기 위해서는 섬세한 보안체계를 구축해야 한다.

- 수탁사 및 개인정보 제공 현황을 상시적으로 관리, 통제할 수 있어야 한다. 즉 경영이 열악한 업체는 없는지, 신뢰할 수 없는 직원은 없는지, 불필요하거나 과도한 개인정보가 제공되지 않는지 등을 수시로 평가하고 지속적으로 개선할 수 있어야 한다. 무엇보다도 개인정보를 직접적으로 제공하는 것은 원천적으로 최소화하고, 접근권한을 철저하게 통제하는 시스템을 통해 개인정보가 최소한으로 이용되도록 하는 것이 중요하다.

- 수탁사와의 계약 시 개인정보보호 수준에 대한 협약(SLA)을 체결하고 실질적인 정보보안 수준에 대한 관리 감독이 가능하도록 시스템화해야 한다.

반면 고객정보 수탁사는 고객정보 제공사의 관리감독에 적극적으로 대응해서 신뢰를 확보해야 한다. 개인정보 수탁사의 대부분은 동시에 수많은 개인정보제공사의 수탁사인 경우가 많다. 이번 사고 이후, 갑작스럽게 여러 금융회사들이 동시에 보안점검을 실시하면서 소규모 수탁사에서 업무 마비가 발생하는 해프닝도 있었다고 한다.

이런 수탁사를 위해 개인정보보호인증제(PiPL·Personal Information Protection Level)를 각 수탁사 규모에 맞게 선택해 적용한다면 소상공인과 중소·대기업, 공공기관까지도 최소한의 개인정보 관리체계와 보호체계를 확보할 수 있을 것이다.

마지막으로 CEO는 사고 발생 시 위기관리와 소송에 대비한 준비체계를 가동해야 한다. 보안 사고를 100% 예방하는 것은 불가능하며 보안 사고는 언제라도 발생할 수 있다는 기본인식이 필요하다. 이때 가동할 수 있는 세부적인 위기관리 매뉴얼을 준비하고 CEO가 참여하는 모의훈련과 임원 워크숍을 반드시 실시할 것을 권고하고 싶다.

소송대응은 증거 싸움이라는 말이 있다. 선관주의에 입각해 법 준수를 위한 ‘감독책임’을 충분히 이행했다는 사실을 입증할 수 있는 상시적인 준비체계가 미흡하면 소송에서 패할 수 있다. 뒤늦게 증거를 준비하려면 보안관리자의 모든 업무가 중단돼야 할 것이다. 따라서 CEO는 소송을 대비한 준비체계가 평상시 보안 프로세스상에 내재되도록 설계하고 소송에 유리한 증거를 일상 업무에서 만들어가야 한다. 이를 위해서 다음 사항들이 고려돼야 한다.

- 전사적으로 컴플라이언스 준수현황을 모니터링하고 민·형사 소송에 따른 비즈니스 영향을 평가해 관리할 수 있도록 시스템화해야 한다.

- 정책, 조직, 프로세스, 기술을 포괄하는 전체 비즈니스 프로세스상에서 법적 소송 대응을 위한 증거자료 확보 체계를 수립해서 운영해야 한다.

이 같은 소송 준비체계가 갖춰지면 소송이 발생하더라도 큰 혼란 없이 미리 준비된 증거자료를 활용해서 적극적으로 대응하는 것이 가능하다.

“CEO의 자신감 회복이 먼저다.”

“Security is not Product but Process.” 그렇다. 솔루션과 하드웨어를 한 차례 도입하는 것만으로 보안 준비가 끝났다고 생각하는 CEO, 작년에 보안 투자했는데 올해 또 돈을 써야 하냐며 보안관리자를 주눅 들게 만드는 CEO, 어차피 발생할 사고라며 내게 불운이 발생하지 않기를 벼랑 끝에서 무턱대고 기도만 하는 CEO가 없기를 바란다. 보안은 살아 있는 생물과 같아서 항상 끊임없이 변화하고 있음을 명심해야 한다. 앞에서 제언한 여섯 가지를 각사 환경에 맞게 적용하는 노력이 필요하다.

마지막으로 정부와 감독기관에도 개선의 여지가 많다. 모든 것을 국가가 대신 해줄 것처럼 처신하면 안 된다. 포괄적인 원칙을 만들어주고 각 기업에 부합하는 룰을 만들어 운영하되 책임을 강하게 지도록 감독 방향을 바꿔야 한다. 세부적인 지침까지 시키는 대로 다했다면 감독기관이 사고까지 책임질 것인가? 또 다양한 민간전문가 집단을 활용해 보길 권한다. 궁극적으로는 사기업들이 스스로 자율적인 감독 생태계를 만들어 가는 환경조성이 필요하다.

무엇보다 CEO의 자신감 회복이 절실하다. 본인조차 이해 못하는 사고 앞에서 머리 숙이고 사퇴하는 모습보다는 적어도 경영진으로서 최선을 다했음을 설명하고 사고에 적극적으로 대처하며 개선할 수 있음을 증명해 보이는 자신감 넘치는 CEO가 필요한 때다. 그런 CEO가 많이 나올 수 있도록 정부와 국민 모두가 지원해줘야 한다.쫑표(2010).ai

윤석진 EY한영 파트너(상무이사) Suk-Jin.Yun@kr.ey.com

필자는 고려대 행정학과와 서강대 경영대학원을 거쳐 (구)대한생명 IT 부문에서 11년간 실무 경험을 하고 2001년부터 EY한영에서 IT감사, KSOX(내부회계관리제도), AML(자금세탁방지)과 IFRS하에서 연결컨설팅을 제공하고 있다. 6년 전부터는 개인정보 및 보안컨설팅팀을 이끌고 있다. 한국정보시스템감사통제협회장을 지냈고 현재 한국클라우드보안협회장을 맡고 있다.