[프리즘]계약직 주치의

개인정보 유출사건이 도를 넘었다. 사고를 낸 회사 대표는 고객에 머리를 숙이며 재발 방지를 약속했다. 고객 정보를 목숨처럼 여기겠다는 선언도 나왔다. 개인정보 유출사건이 날 때마다 보는 기업의 대처법이다.

사고가 터진 후 기업은 부랴부랴 고객정보보호 특별 작업반을 만들고 관련 직원을 뽑는다. 사고 후 대책은 마련했지만 언제나 땜질 처방이다. 직원 모집 공고를 잘 들여다보면 왜 정보보호가 안 되는지 금방 알 수 있다.

며칠 전 서울시가 개인정보 유출 사고를 사전에 차단한다며 ‘화이트해커’ 채용 공고를 냈다. 임기제 계약직 공무원이다. 개인정보유출을 사전에 차단하는 막중한 책임을 맡을 직원인데 계약직이다. 2년 후 일자리가 없어질지 모르는 불안감 속에서 일을 해야 한다. 과연 이런 자리에 유능한 화이트해커가 지원할지 의문이다.

2년 전 고객 정보를 유출했던 KT는 똑같은 일을 반복했다. 사고 직후 보안 인력을 확충하고 대책을 마련했지만 사고를 막기엔 역부족이었다. 이번 사고는 단순히 보안담당자에게 책임을 떠넘길 문제가 아니다. 보안담당자를 문책하려면 책임에 부합한 권한과 예산을 줬는지 따져야 한다. 실질적인 감사 능력과 견제를 할 수 있는 건강한 조직 구조였는지도 의문이다.

개인정보보호를 비롯해 보안은 소수에 맡겨 단시간에 끝나는 프로젝트가 아니다. 평생 건강을 지키려 애쓰는 사람과 같다. 규칙적으로 운동하며 건강을 자부하는 사람도 갑자기 확산하는 치명적인 바이러스에 노출된다.

정보보호 담당자는 기업 시스템과 네트워크를 매일 살피는 주치의다. 주치의는 환자의 의료를 담당하는 총책임자다. 주체적으로 진단하고 치료하며 의료팀에 지시할 수 있어야 한다. 환자를 가장 잘 알아 신속하게 진단하고 치료 한다. 환자가 병에 걸리지 않게 예방책을 제시한다. 과연 주치의 중 계약직이 있는지 반문한다.

우리 사회에 정보보호는 비용이란 인식이 팽배하다. 정보보호책임자는 단순히 고객정보유출이나 해커의 침입을 막는 사람이 아니다. 기업의 사회적 책임을 다하고 지속가능성을 보여주는 자리다. 기업 대표 중 상당수가 자기 몸을 챙길 주치의를 둔다. 본인의 몸을 돌보듯 기업 건강을 유지할 제대로 된 ‘주치의=정보보호책임자’가 절실하다.

김인순기자 insoon@etnews.com