지난 13일(현지 시각) 미국 라스베이거스 시만텍 비전 2007 행사장. 시만텍은 이 행사에서 시만텍 솔루션을 적용해 비즈니스와 인프라 정보를 성공적으로 보호한 기업에 ‘2007 비저너리 어워드’를 수상했다. GE를 비롯해 셰브론·하니웰·ING·네덜란드 국방부·위프로 등 7개 기업이 수상했는데 미국 2위의 에너지 기업인 셰브론은 정보위험관리팀을 운용해 주목받았다.
글로벌 기업이 내부의 정보 보호만이 아니라 정보 위험을 종합적으로 관리하는 체제를 갖춰가고 있는 것이다. 정보의 폭발적인 증가로 보안뿐만 아니라 가용성과 컴플라이언스에 관한 위험도 함께 증가하고 있기 때문이다. 글로벌 기업은 IT보안과 함께 각종 애플리케이션, 시스템을 분리해서 생각하지 않고 조직 전반의 위험을 관리하는 체제를 갖춰가고 있다.
우리나라는 최근 NHN이 포털 업계 최초로 최고보안책임자(CSO:Chief Security Officer) 제도를 도입하는 등 이제서야 정보기술적인 보안을 책임지는 CSO를 신설하는 초기 단계인데 미국 등 선진국은 CSO를 넘어 최고위험책임자(CRO:Chief Risk Officer) 시대로 접어들고 있는 것이다. CSO도 제대로 없는 기업이 허다한 국내 기업과 너무 비교되는 현실이다.
얼마 전 전국 법원 전산망이 신종 바이러스에 감염돼 사건 접수 등 창구 민원 업무가 중단되는 초유의 사태가 일어났다. 웜·바이러스는 기초적인 보안 솔루션과 윈도 패치, 보안 정책이 수립된 네트워크라면 충분히 방어할 수 있는 보안 위협이다. 정부나 기업 내 CSO가 있으면 이런 상황이 발생했을 때 좀 더 빠르고 체계적으로 문제를 해결할 수 있다.
단순히 CSO나 CRO라는 직함이나 자리를 만들라는 것이 아니다. 국내 기업은 보안 사고가 터지면 사고를 덮는 데만 급급하다. 이제는 단기 처방이 아니라 기업 내 보안 위협과 이로 인해 발생하는 위험을 체계적으로 관리할 수 있는 장기적인 시각이 필요하다.
라스베이거스(미국)=김인순기자@전자신문, insoon@