2011년 4월 금융기업 두 곳이 정보보안 사고로 엄청난 피해를 입었다. 4월7일 전문적인 해커들에 의해 현대캐피탈의 전산시스템이 해킹을 당해 175만 고객들의 개인정보가 유출됐다. 금융감독원의 조사에 따르면 이번 사건은 서버에 접근할 수 있는 계정에 대한 관리가 소홀했고 고객의 비밀번호를 암호화해 저장하지 않는 등 정보보안 관리의 소홀과 정보보안에 대한 투자미흡이 주된 원인으로 밝혀졌다.
또한 4월12일에 발생한 농협의 전산장애 사건은 농협의 인터넷뱅킹, 폰뱅킹, 모바일뱅킹, 현금인출기 등을 수일간 마비시켰다. 이에 따라 고객들은 필요한 현금을 인출하지 못해 카드대금, 계약금 등을 제때에 납부하지 못하는 등 수많은 고객들에게 2차 피해가 발생했다. 최근 수사 결과에 따르면 이 사건은 북한의 고의적인 사이버테러로 추정되고 있다. 5월에도 한국전자금융, 리딩투자증권에서도 비슷한 개인정보 유출 사고가 연이어 발생했다.
사고 직후 언론은 금융기관들의 정보보안 문제의 심각성을 지적하고 그 대책으로 철저한 기술적 방비와 끊임없는 점검, 정보보호에 대한 투자 확대 등을 주문했다. 이는 새로운 것이 아니며 정보보안 전문가들이 항상 지적했던 점이다. 그런데도 왜 정보보안 사고가 끊이지 않는 것일까. 이를 경영의 문제가 아닌, 기술의 문제로만 다뤄왔기 때문에 많은 기업들이 정보보호의 실패를 경험하고 있는 것이다. 끊임없는 점검은 지속적인 관리와 이를 뒷받침할 수 있는 관리체계가 있어야 가능하다. 최고경영자의 의지와 지원이 없으면 성공하기 힘들다. 투자 확대 또한 경영의 중요한 의사결정 사항이다. 따라서 최고경영자가 정보보안에서 어떤 역할을 해야 하는지를 살펴보고 각 기업의 상황에 맞는 대책을 마련하는 일이 정보보안 사고 예방을 위해 필수적이다.
기업 정보보호 체계의 한계
정보보안 사고와 피해 규모는 날로 심각해지고 있다. 조직 내부에 정보보안 체계가 확립돼 있지 않다면 해당 조직은 물론 전체 산업, 금융시스템에 심각한 피해를 줄 수 있다. 그런데도 조직의 핵심 간부들은 일이 터진 뒤에나 사안의 심각성을 인식한다. 제품 생산과 판매, 자금 확보 등의 현안에 매달리다보니 중장기적 측면에서 준비해야 하는 정보보안에 관한 문제를 깊이 생각할 겨를이 없다. 정보보안에 관심을 갖는 CEO는 매우 드물다. 이는 기업 내 정보보호 체계가 갖고 있는 근본적인 한계 때문이다.
1. CIO 중심 시스템의 문제
기업 내에서 정보보안 역할이 주어지는 직책은 정보기술(IT) 담당 중역, 즉 최고정보책임자(Chief Information Officer·CIO)일 가능성이 크다. 정보보안은 정보를 보호하는 IT 부서의 일이므로 이 부서를 책임지는 CIO가 이 문제를 다뤄야 한다고 생각할 수 있기 때문이다. 그러나 조직의 운영 메커니즘을 살펴보면 이런 생각이 얼마나 안일한 것인지 알 수 있다. IT 부서의 성과평가는 정보시스템에 얼마나 신속하게 접근할 수 있는지, 편리하고 효율적으로 활용할 수 있는지와 같이 생산성 요소를 중시한다. 반면에 정보보안을 위한 제반 통제 사항들의 도입은 단기적으로는 업무 수행의 효율성 저하를 어느 정도 일으킬 수 있다. 이에 따라 정보보안은 업무의 단기적인 효율성 추구를 목적으로 하고 있는 IT 부서의 이해와 충돌하고 다양한 갈등을 일으킬 수 있다. 예를 들어 농협 사건이 발생한 후 언론은 다음과 같은 요지의 수사 결과를 보도했다.
‘농협의 전산망에서 프로그램 삭제 명령을 내린 노트북의 주인은 협력업체인 IBM 직원이었고, 이 직원은 이 노트북을 들고 농협 내부와 외부로 수시로 드나든 것으로 밝혀졌다.’
대부분의 금융기관에서는 내부 정보가 인터넷을 통해 유출되는 것을 막기 위하여 내부망과 인터넷을 분리하고 있다. 그런데 앞서 지적한 대로 업무가 관행적으로 이뤄지면 노트북을 통해 내부 자료가 외부로 유출될 수 있고, 외부에서 감염된 악성코드가 내부로 들어올 수도 있다. 결국 망을 분리하는 정보보안 대책은 무용지물이 되고 만다. 그렇다면 어떻게 이런 일이 일어날까. 앞서 설명한 대로 전산망을 관리하는 CIO의 관점에서는 협력업체 직원이 좀 더 쉽게, 좀 더 빨리 IT 관련 프로젝트를 완성할 수 있도록 지원하고자 한다. 그래서 이런 식의 업무 관행이 오히려 효과적이라고 생각할 수 있다. 기업의 정보보안을 CIO가 책임지고 있다면, 그는 이러한 업무 관행을 통제해야 한다는 생각을 하기 힘들다. 이 때문에 CIO가 정보보안을 책임지는 것은 매우 위험한 일이 될 수 있다.
2. CSO 역할의 한계
다음에 떠올릴 수 있는 사람은 기업의 정보보안을 담당하는 중역, 즉 최고보안책임자(Chief Security Officer·CSO)다. 최근 정부에서는 각 기업에 정보보안 담당 부서를 두고 이를 담당하는 중역인 CSO를 임명하도록 권고하고 있다. 특히 금융회사의 경우 CSO를 두면 경영평가에서 가점을 받을 수 있다. 그리고 실제로 여러 기업에서 CSO를 두고 있다. 그렇다면 CSO를 임명하는 것만으로 IT 부서와 정보보안 부서의 이해상충을 해결할 수 있을까. 현실은 이상과 다르다. 대부분의 기업에서 정보보안 부서는 IT 부서로부터 독립돼 있지 않다. 정보보안 부서도 IT 부서보다 규모가 매우 작다. 이 때문에 CSO의 위상과 권한은 CIO와 비교할 바가 못 된다. 이런 상황에서 업무의 단기적인 효율성을 중시하는 CIO의 업무 추진 방식을 CSO가 정보보안의 관점에서 통제하거나 바꾸기는 어렵다.
3. CEO의 인식 부족
‘이런 일이 생긴 것은 내가 알고 어떻게 할 수 있는 게 아니다.’
‘(나는) 비상임이어서 업무를 잘 모르고, 내가 한 것도 없으니까 책임질 것도 없어요.’
‘도의적인 차원에서는 잘못이 있겠지. 어제 사과도 했고…. 그런데 이런 사고는 내 권한이랑 아무 상관이 없어요.’
농협 사건이 터진 후 농협중앙회장이 일간지와의 인터뷰에서 사건을 언급한 내용을 살펴보면 회장은 정보보안 문제를 깊이 생각해보지 못한 것으로 보인다. 그런데 이런 현상이 비단 농협만의 문제는 아니다. CEO는 기업의 영업이익을 늘리기 위해 마케팅, 파이낸싱, 생산관리, 전략수립 등 기업의 본연의 업무를 이끌고 기업의 모든 자원들을 동원해 문제를 해결해나갈 책임이 있다. 막중한 책임을 맡은 CEO가 기업 내부에서 일어나는 모든 분야의 내용을 항상 상세하게 파악하고 있을 수는 없다. 이런 이유로 대부분의 기업 CEO들은 정보보안 문제를 깊이 생각해볼 기회를 갖지 못한다.
문제는 CEO가 정보보안을 챙기지 않으면 업무가 겉돌 수밖에 없다는 점이다. 기업이 정보보안에 실패하는 원인 중 하나가 CEO가 이런 점을 충분히 인식하고 대처하지 않고 있기 때문이다. 일반적으로 마케팅, 재무, 생산관리, 전략수립 등 기업이 수행해야 하는 대부분의 중요 업무들은 소관부서에서 주로 수행한다. 그러나 정보보안은 정보보안 부서에서만 수행해야 하는 업무가 아니고, 기업의 모든 부문과 직원들이 다 참여해야 하는 업무다. 기업의 정보보안 문제를 CIO나 CSO에게만 맡겨 놓아서는 정보보안이 제대로 추진될 수 없다. 기업의 모든 부서들이 정보보안에 참여하도록 하려면 CEO가 일정한 역할을 해야만 한다.
특히 전문경영인 중심의 조직에서는 보안에 대한 관심이 소홀해질 수 있다. CEO에 대한 평가가 대부분 당해연도 영업이익을 기준으로 이뤄진다. 이러다 보니 CEO에게는 당해연도의 매출을 올리고 비용을 줄이는 게 무엇보다도 중요하다. 반면 보안 사고는 매달 일어나는 게 아니다. 당해연도에만 보안 사고가 나지 않으면 정보보안 투자를 줄여서 비용을 절감하고 영업이익을 늘릴 수 있다. 특히 단기 실적의 압박을 받는 전문경영인일수록 이런 유혹에 더 쉽게 빠진다. 하지만 대형 정보보안 사고가 터지고 정보보안 책임자나 CEO가 물러난다고 해서 사태가 해결되고 고객 피해까지 사라지는 것은 아니다. 기업이나 조직의 신뢰에 돌이킬 수 없는 피해를 입을 수도 있다.
