[이강태의 IT경영 한수]<28>정보사고와 안전사고의 공통점(1)

연초부터 카드회사 정보유출로 떠들썩하더니, 세월호 참사, 윤일병 사건, 판교 통풍구 사고 등 사회적 이슈와 대형사고가 끊임없이 터지고 있다. 사회적으로 큰 파장을 불러온 공통점을 가졌지만, 이들 사고는 크게 정보 유출과 안전사고로 나뉜다. 그런데 이 양쪽에 묘하게도 공통점이 있다. 아니, 공통점이 매우 많다.

첫째, 둘 다 방어적 개념이다 보니 어디부터 손대야 할지 막막하다. 차라리 공격의 개념이면 공격 장소와 시간을 우리가 정할 수 있다. 누가 언제 어디서 정보를 유출할 것인지, 누가 언제 어디서 안전 문제를 경험하게 될 것인지와 같은 맥락이다. 어떻게 보면 정보사고와 안전사고를 수비적 개념으로 인식하는 순간, 걱정만 하고 손놓고 있을 가능성이 많다. 최고경영자가 정보 사고와 안전사고는 막으려야 막을 수 없고 운이 없으면 터진다고 생각한다면 그 순간 대책 수립 보다는 점집을 찾아가 운수가 어떨지 물어 보는 게 낫다. ‘임기 중에 아무 일이 없어야 할 텐데’라고 생각하고 있으면 그때부터 걱정만 하게 되고 그렇다고 마땅히 바로 할 일은 없는 상황이 된다.

둘째, 큰 사고 전에 여러 징후가 보인다. 하인리히 법칙이라는 게 있다. 한 명의 중상자가 발생하면 그 전에 같은 원인으로 29명의 경상자가 있었고, 그 전에 300명이 잠재적 부상을 당할 뻔했다는 통계적 사실이다. 보안 사고도 어느 날 갑자기 날벼락처럼 발생하지만 가만히 들여다보면 그 전에 여러 징후들이 분명 있었다. 한 회사에서 귀중한 자료를 들고 나가도 문제가 없었고, 두 번째 회사에서도 문제가 없었고, 재작년에도 문제가 없었고, 작년에도 문제가 없었다. 그래서 그런 상황에 익숙해져서 조직원들이 별로 이상하게 생각지 않는 것이다. 사고 없이 잘 넘어갔는데 그것을 사고 난 것처럼 부산을 떨 사람은 없다. 그러다 보면 몇 번의 징후가 있었는데 다들 무시해 버린다. 사고 이후에 복기해 보면 얼마든지 막을 수 있었던 것을 설마 하다가 당하는 때가 많다.

셋째, 사고가 나면 책임자들이 줄줄이 옷을 벗는다. 회사에 큰 손해가 발생했으니 누군가가 책임을 지지 않을 수 없다. 내가 직접적 책임자가 아니라 해도 사회적·윤리적 책임에서 피하기 어렵다. 사건의 여파가 클수록 더 높은 사람의 목, 더 큰 회사의 손해 배상이 필요해지게 된다. 막상 옷을 벗는 사람들 입장에서는 정말 재수 없어서 그렇게 되었다고 생각한다. ‘그전 CEO들은 다 임기 잘 마치고 잘 지내고 있는데 나는 어쩌다 이런 험한 꼴을 당하나’ 하면서 한탄한다. 그도 그럴 것이 업무가 크게 바뀐 것도 아니고 자기가 유별나게 뭘 고친 것도 아닌데 그동안 전혀 문제없이 잘 지내던 회사가 갑자기 휘청휘청하게 될 때 ‘내 탓이오!’를 외치는 CEO들은 많지 않을 것이다.

넷째, 어느 개인이나 부서의 문제가 아니다. 정보보안과 안전은 전 직원의 문제며 나아가 기업의 문화와 직결된다. 모든 조직원의 행동, 규범, 의사결정과 관련 있기 때문에 통틀어 문화라고 말할 수밖에 없다. 사고가 나서 책임 규명을 하다 보면 끝이 없다. 직간접으로 전사가 다 관련이 있다. 회사의 기획, 감사, 투자 심의, 준법 감시, 구매, IT, 홍보 등…. 사건 나면 다들 도망가려 하지만 엄밀하게 따지면 평소에 해야 할 업무를 제대로 챙기지 않은 많은 부서들이 있음을 알게 된다. 책임의 범위가 넓고 관련자들이 많다 보니 결국에는 가장 높은 사람이 책임을 지지 않을 수 없다. 정보사고나 안전사고나 막상 터지면 책임질 담당자가 마땅히 없는 때가 많다. 책임이 있다면 모두에게 있고, 없다면 아무에게도 없다는 식이다.

다섯째, 정보보안과 안전은 비용이 많이 든다. 정보 보안과 안전을 위한 대책을 수립하기 위해서는 광범위하게, 장시간 투자해야 하기 때문에 비용이 많이 든다. 마치 보험과 같아서 사고가 터지면 투자나 비용을 잘 썼다고 하지만 사고가 안 터지면 괜히 쓸데없는 곳에 돈을 투자한 느낌이 든다. 그래서 정보 보안과 안전 관련 예산은 투자 순위가 높은 것 같으면서 항상 뒤로 밀린다. 기업에서 투자할 때는 ROI를 주로 본다. ROI 관점에서 중요한 것이 기간 내의 수익률인데, 정보사고나 안전사고는 소소한 것이야 수시로 일어나지만 큰 사고는 발생 주기가 그리 빠르지 않기 때문에 ROI만 보고 결정하기는 쉽지 않다. 물론 기업에서 정보보안과 안전을 매우 중요하게 생각은 하지만 그게 회사의 자원 투입에 항상 우선순위를 가진다는 뜻은 아니다. 다음 편으로 이야기를 이어가겠다.

CIO포럼 회장 ktlee777@gmail.com