“수습이 먼저라고 생각한다. 책임져야 할 일이 있으면 책임지겠다.”

2014년 새해 벽두에 발생한 카드사 개인정보유출 사고에 대해 열린 사장단 기자회견에서 어느 CEO가 한 말이다. 하지만 사태가 수습되기도 전에 그는 사퇴를 선언해야 했다. 국민들은 CEO 사퇴가 책임지는 방법인지에 의문을 제기하면서 자신의 개인정보가 안전하게 보호받지 못했음에 분노하고, 이런 분노를 집단소송으로 표출하고 있다. 만약 집단소송에서 패소한다면 카드사들은 막대한 보상금을 지불하면서 큰 타격을 입게 된다.

CEO들은 고성과를 창출하기 위해 잘 짜인 비즈니스 어젠다를 가지고 밤낮없이 노력했을 것이다. 그런데 왜 국민들 앞에서 죄인의 모습으로 머리를 숙여 사과해야 했을까? 그들은 스스로를 책임자라기보다는 고객정보를 도난당한 피해자라고 생각하지는 않았을까? 혹시 국민들 중 그들을 보고 참으로 운이 없는 분들이라고 생각하는 사람은 없었을까?

사실 대부분 금융사들은 보안을 위해 많은 노력을 기울이고 있다. 금융감독원을 비롯한 여러 정부기관의 엄격한 규제들을 준수하기 위해 노력하고 있으며 매년 보안 부문에 많은 예산을 할당한다. 또한 대부분의 CEO는 정보보안책임자로부터 ‘우리 회사의 보안에는 특별한 문제가 없습니다’ 내지는 ‘우리 회사의 보안에는 어떤 문제가 있지만 언제까지는 해결될 예정입니다’라고 정기적인 보고를 받는다.

이번 사고를 당한 카드사 CEO들도 ‘다른 회사는 몰라도 적어도 우리 회사는, 나는 괜찮겠지’라고 생각했을지 모른다. 하지만 불행히도 CEO는 몰랐더라도 사고는 이미 예견된 일이었다.

“CEO의 비즈니스 어젠다에 보안이 있을까?”

최근 몇 년간 심각한 보안사고가 연이어 발생하면서 “우리 회사는 완벽한 보안 체계를 갖췄다”고 드러내놓고 말하는 CEO는 거의 없어졌다. 더구나 구체적으로 들어가면 그들에게 보안이라는 단어는 결코 친숙하지도, 달갑지도 않다. 전문적인 IT 용어가 더해진 경우에는 더더욱 그렇다. 보안에 관심이 많다고 자신 있게 표명하는 CEO 중에도 막상 어젠다의 우선순위나 중요성에 있어서 보안이 비즈니스를 앞서거나 동등한 수준에서 다뤄져야 한다고 생각하는 이는 많지 않을 것이다.

현실적으로 대부분의 금융사에서 경영에 대해 경영자가 져야 할 무거운 책임을 대신해주는 보안관리자의 위상은 매우 낮다. 현재까지 많은 조직의 CISO(Chief Information Security Officer, 최고 정보보호 책임자)나 CPO(Chief Privacy Officer, 최고 개인정보 책임자)에게 임원의 자격과 역할을 기대하기 어렵다. 현장에서 컨설팅을 하다 보면 조직 내 소위 ‘현업’이라고 불리는 힘 있는 핵심 부서에서 비즈니스 성과를 앞세워 보안정책에 대한 예외를 주장하는 사례를 종종 목격한다. 보안관리자가 이런 요청을 거부하기는 매우 어렵다. 뿐만 아니라 금융감독원에서 도입한 ‘5·5·7 모범규준’(금융사는 전체 직원의 5% 이상을 IT 부서에 배치하고, IT 직원의 5% 이상을 보안인원으로 보유해야 하며, 전체 예산의 7% 이상을 IT 예산에 할당해야 함)을 외관상으로는 따르고 있지만 애사심이나 충성도가 낮을 수밖에 없는 외주직원을 포함해 형식적 요건만 충족하는 사례도 많다. 이들이 조직 내에서 실행하는 보안정책에 ‘현업’의 반응은 냉소적이며 이런 여건에서 보안관리자들의 자신감과 사기는 땅에 떨어질 수밖에 없다.

규모가 작은 금융사일 경우 형식적으로 ‘5·5·7 모범규준’에 맞춰 보안인력을 배치하고는 있지만 실제 보안업무에 전문성을 가진 전담 직원은 한두 명밖에 없는 곳이 적지 않다. 이들도 역시 실질적인 보안 리스크를 관리하기보다는 외부 상위기관의 감사에 대응하는 것을 주 역할로 한다.

CEO에게 보안현황과 문제를 보고하는 체계를 갖췄다고 해도 보고 내용이 사실이 아니거나 구색을 맞추기 위한 보고에 지나지 않는 경우도 많다. 비즈니스로 바쁜 CEO가 경영보고를 받을 때 보안에 많은 시간을 할애하거나 보안에 문제가 있다고 보고받는 것을 원하지 않기 때문일지도 모른다. 보안은 우선순위에서 항상 뒤로 밀린다.

이런 현실에 어느 누가 금융회사의 복잡하고 광범위한 비즈니스 프로세스에 보안이 포함돼 있고 개별 비즈니스 프로세스마다 존재하는 보안 리스크를 통제하고 관리할 수 있다고 자신 있게 말할 수 있겠는가?

“비즈니스 전반에서 CEO 중심의 정보보안 내부통제가 설계되고 작동돼야 한다.”

과거에는 정보보안이라고 할 때 그 범위가 IT에 국한됐던 적도 있지만 개인 정보 이슈가 나오면서 그 범위는 전체 비즈니스로 확대됐다. 물론 보안이 비즈니스보다 우선되기는 힘들겠지만 개인정보의 주체인 고객만큼은 결코 비즈니스보다 비중이 낮다고 치부될 수는 없을 것이다. 이런 관점에서 본다면 보안은 CEO의 비즈니스 어젠다 중심에 자리잡아야 한다.

그렇다면 CEO가 보안 사고를 책임진다는 것은 무엇을 의미할까. 이는 CEO가 비즈니스를 통한 수익을 책임지듯 전체 비즈니스 안에 산재된 보안 리스크를 정확히 알고 실질적으로 통제하고 책임질 수 있어야 한다는 의미다. 즉, CEO 중심의 정보보안 내부통제 시스템이 적절히 설계되고 효과적으로 작동돼야 한다.

CEO 중심의 정보보안 내부통제 시스템을 위해서는 다음과 같은 구체적인 활동이 필요하다.

첫째, CEO 스스로 정보보안에 확신을 갖고 의지를 표명해야 한다. CEO는 다음 항목에 스스로 자문해볼 필요가 있다.

- 보안이 비즈니스를 방해하거나 불편하게 하는 요인이므로 가능한 최소화해야 한다고 생각하지 않는가?

- 보안에 대한 투자를 비용이라고 생각하지 않는가?

- 감독기관에서 요구하는 최소한의 요건만 형식적으로 갖추면 해야 할 일을 다한 것으로 생각하지 않는가?

- 보안은 우수한 핵심 인원이 아닌 계약직 인원으로 대신해도 된다고 생각하지 않는가?

- 보안은 어차피 CEO가 직접 관리감독하기에 어려운 분야고 보안 사고는 운의 문제라고 생각하지 않는가?

보안은 직원이 스스로 알아서 잘 해줄 것으로 기대할 수 있는 분야가 아니다. CEO가 먼저 보안에 대한 인식을 전환하고 정보보안을 비즈니스와 함께해야 하는 핵심 업무의 하나로 선포해야 한다. 그리고 조직의 보안 역량을 끌어올리기 위해 적극 노력해야 한다. CEO는 자신과 임직원들, 많은 이해관계자들을 위해 보안에 대한 일체의 책임을 스스로 가져가야 한다는 의지를 가져야 할 것이다.

둘째, CEO의 정보 보안에 대한 의지가 전사적으로 전파돼 전사적 보안 컨센서스가 이뤄져야 한다. 이를 위해서는 수직적 또는 수평적 커뮤니케이션이 완전하게 이뤄지는 것이 매우 중요하다.

- 위로부터 아래로의 커뮤니케이션을 위해 CEO의 보안에 대한 의지를 임직원에게 지속적으로 전달할 수 있도록 CEO 메시지 전달, 보안정책 공지, 홍보, 캠페인, 교육 등의 활동을 적극적으로 해야 한다.

- 아래로부터 위로의 커뮤니케이션을 위해 전사적 보안 이슈가 형식적이 아닌 실질적으로 CEO에게 보고될 수 있어야 한다. 특히 보안사고와 관련된 핫라인(Hot-Line) 운영은 위기에 신속하게 대응하기 위해 마련돼야 할 필수 장치다.

- 수평적 측면의 커뮤니케이션을 위해 보안 주관부서(CISO, CPO 조직)와 IT, 인사, 총무, 시설 등의 유관 부서, 그리고 현업 간의 원활한 의사소통체계와 협업체계가 구축돼야 한다. 이를 위해서는 부서 간 명확한 R&R(Role and Responsibilities)을 정립하고 실무자 협의체는 물론 의사결정을 위한 부서장들의 정보보안위원회를 운영해야 한다.

- 해외지사, 협력사도 예외일 수 없으며 동일한 컨센서스를 위해 커뮤니케이션 채널을 확대해야 한다.

CEO는 이 같은 전사적 보안 관련 커뮤니케이션이 상시적으로 운영될 수 있는 장을 마련하는 데 적극적이어야 한다. 일부 금융사가 정보보안 포털시스템 등의 형태로 보안과 관련한 모든 정보를 하나로 통합해 전사적으로 공유하고 커뮤니케이션 채널을 단일화해서 컨센서스를 강화함으로써 현업을 포함한 전사 업무에 보안이 내재될 수 있도록 노력한 사례를 참고해볼 수 있다.

셋째, CEO 주도 아래 전체 비즈니스상에서 보안 활동을 실질적으로 통제할 수 있어야 한다. 보안과 관련된 프로세스는 비즈니스 성과에 직접 영향을 주지 않는다. 그렇다 보니 통제가 잠시라도 소홀해지면 그런 활동을 생략하거나 우회하는 경우가 허다하다. CEO는 정보보안 활동들의 불편을 최소화하고 반드시 준수될 수 있도록 프로세스를 자동화해 강제해야 한다. 비슷한 예로 회계관리, 재고관리, 공급관리, 구매관리 등 레거시 업무를 전사적으로 하나의 시스템으로 자동화해서 경영진 시각에서 내부통제가 가능해진 ERP(Enterprise Resource Planning)를 들 수 있다. ERP와 같은 시스템을 정보보안 영역에서도 구상해 볼 수 있을 것이다. 즉 몇몇 금융사의 사례에서 볼 수 있듯 개인정보영향평가를 포함한 보안성 검토 업무, 취약점 관리 및 위험 관리 업무, 개인정보 수탁사에 대한 관리감독 업무 등 전체 보안 업무를 시스템으로 자동화해서 반드시 준수하도록 하는 것이다. 일례로 H사는 시스템이 신규 구축될 때뿐만 아니라 변경될 때에도 자동적으로 보안성 검토를 수행하는 시스템을 구축해서 추가 인력 없이 획기적인 실적을 거둘 수 있었다.