[이강태의 IT경영 한수]<18>최고경영자(CEO)의 보안의식

회사의 IT는 결국 데이터를 처리해 정보를 얻기 위해 존재한다. 정보는 양날의 칼이다. 잘 활용하면 회사에 큰 이익을 주지만, 잘못 관리하면 치명적인 손해를 끼친다. 정보 유출이 전 국민적 관심사가 되고 사회적 이슈가 되었으니 더욱더 중요해졌다.

개인정보는 개인에 관한 정보 가운데 직간접적으로 개인을 식별할 수 있는 정보를 가리킨다. 한마디로 그 정보를 통해 누군지 알아볼 수 있으면 개인정보에 해당한다. 정보보안은 정보를 지키는 것이다. 정보를 잘 지켜야 정보를 활용할 여유가 생긴다. 잘 지키지 못하면서 멋지게 활용하려고 하는 것은 우리 골문은 열어 놓고 모두 공격에 나선 것과 같다.

어떻게 하면 잘 지킬 것인가.

첫째, 도둑을 안 맞으려면 집에 귀중품이 없으면 된다. 도둑이 우리 집을 선택하는 것은 도둑의 결정 사항이지만 도둑맞을 만한 물건을 집에 놔두지 않는 것은 내가 결정하면 된다. 정보보안의 첫걸음은 지켜야 할 정보가 뭐가 있는지, 그런 정보가 회사 어디에 있는지, 누가 생성하고 누가 관리하고 있는지, 만약 유출된다면 어떤 정보가 더 치명적인지 하는 정보에 관한 디렉터리를 만드는 것이다. 치명적인 정보는 대표적으로 주민번호, 카드번호, 카드 유효기간, CVC값, 은행 계좌번호, 은행 계좌 비밀번호 등이다. 이런 치명적인 번호들은 대개 금융실명제에 의한 본인식별을 위해 필요하기 때문에 첫 거래에서 주로 필요할 뿐이다. 그 뒤에는 고객서비스를 위해 본인 확인을 할 때 필요하지만 꼭 이러한 민감한 번호로 개인을 식별해야 할 필요는 없다. 그래서 처음에만 등록해 놓고 각 기관, 기업별로 별도의 식별번호를 만들어 활용하면 된다. 민감한 개인정보를 시스템에 넣어 두고 밤잠 못 자는 것보다 공전소나 백업센터에 넣어 두고 일상 업무는 다른 개인식별 번호를 갖고 처리하면 밤에 푹 잘 잘 수 있다.

둘째, 개인정보에 접속할 수 있는 직원 수를 최소화해야 한다. 업무를 하다 보면 너도나도 개인정보에 접속해야 한다고 신청을 하게 된다. 이것을 잘못 관리하면 순식간에 전 직원의 60~70%가 개인정보 취급인가자가 된다. 인가자가 늘어나면 관리도 어려워지고 자연히 위험도 늘어나게 된다. 정말 매일 필요한 건지, 어쩌다 필요한 건지 아니면 팀장이니까 당연히 필요하다고 하는 건지 실질적인 활용과 효용 측면에서 엄격히 들여다볼 필요가 있다. 접속 로그를 분석해 1개월 이상 사용하지 않은 인가자는 과감하게 권한을 회수해야 한다.

셋째, DB접속에 대해 실시간 로그를 분석해야 한다. 그리고 그때 접속해서 어떤 일에 정보를 활용했는지 수시로 본인에게 직접 물어봐야 한다. 개인정보 유출은 인가 받은 내부 담당자에 의한 때가 80%라고 한다. 많은 CEO들이 정보보안을 외부 해킹이나 DDoS 공격을 막으면 되는 줄 알지만 실질적으로는 내부 인가자들의 관리가 선행돼야 한다. 정보를 유출한 직원들을 면담해 보면 회사에서 자기가 유출한 것을 모를 줄 알았다고 한다. 하긴 도둑이 분명히 잡히고 처벌 받는다고 하면 누가 도둑질 하겠는가. 하물며 사무기술직인 화이트칼라들이 잡힐 줄 알면 그런 위험을 택할 리 없다. 정보를 유출해서 얻는 이득보다 잡히면 인생 끝장이라는 것을 알고 있어야 한다. 문제는 안 잡힐 것 같기 때문에 그렇게들 한다. 뇌물도 괜찮을 것 같으니까 받는 것이지 적발될 가능성이 있다면 어느 누가 그런 위험을 감수하겠는가. 같은 이치다.

넷째, 올바른 기업문화 형성에 주력해야 한다. 보안도 직장문화의 한 부분이다. 회사의 자산, 고객과의 약속을 중시하는 기업문화를 갖고 있으면 정보보안은 절로 된다. 회사에 대한 충성심, 단단한 동료의식, 확실한 직업관, 회사의 발전이 곧 나의 발전이라고 여기는 기업 문화가 정보보안의 기초가 된다.

연초에 여기저기서 정보보안 문제가 연쇄적으로 터질 때 최고경영자들이 우왕좌왕 하는 것을 봤다. 담당자가 마음먹고 빼돌리려 하면 막을 수 없다? 정보유출은 정말 운이다? 다행히 내 임기 전이다? 유출됐어도 고객 피해는 없다? 등등 최고경영자들이 정보보안에서는 스스로 할 일이 없는 것처럼 얘기하는 것을 많이 봤다. 최고 경영자들이 정보보안은 CISO나 CIO가 책임지고 해야지 내가 뭘 어떻게 알아서 하겠는가? 라고 생각하는 순간 정보유출의 가능성이 잉태되는 것이다. 정보보안은 누가 뭐래도 최고경영자의 어젠다다. 그게 당국으로부터 제재를 받고, 여기저기 사과하러 다니고, 언론에 사진 찍히는 문제만이 아니기 때문이다. 고객의 신뢰와 회사의 존폐가 걸린 문제가 최고경영자의 책임이 아니라면 누구의 책임이겠는가.

정보보안은 기본적으로 의식의 문제지 정보기술의 문제가 아니다. 나아가 최고경영자의 정보보안에 대한 의식이 문제지 맷집 좋은 CISO 확보 문제는 더더욱 아니다.

CIO포럼 회장 ktlee777@gmail.com