여섯째, 정보 보안과 안전을 담당하는 직원들의 사기가 높지 않다. 정보 보안과 안전 담당 부서 직원들이 회사에서 대우 받지 못하기 때문이다. 돈을 벌어다 주기는커녕, 줄곧 돈만 쓰기 때문이다. 건강한 사람에게 의사가 별반 필요가 없듯 회사가 바쁘게 돌아가고 있을 때는 정보보안과 안전 담당 부서는 있는지 없는지도 잘 모른다. 정보 보안과 안전 부서 담당자들은 동료들에게 뭔가 불편을 주고 규정을 제대로 지키라는 소리를 해야 하니 동료들이 싫어하는 경향이 많다. 같은 월급 받고 동료들을 불편하게 하는 일을 좋아 하는 사람들이 어디 있겠는가. 회사가 정보 보안을 잘하고 안전 사고가 없다고 칭찬하고 표창하기도 좀 그렇다. 어쩌면 너무나 당연한 것이어서 새삼스럽게 특별 대우하기도 어렵다. 그래서 담당자들의 사기가 높지 않고 다른 부서로 가고 싶어 하는 일이 많다. 이런 상태에서는 열심히 일할 가능성이 높지 않다.
![[이강태의 IT경영 한수]<29>정보사고와 안전사고의 공통점(2)](https://img.etnews.com/news/article/2014/11/07/article_07170944100518.jpg)
일곱 째, 포스터와 표어만 즐비하다. 전 직원이 관련 있다고 하니 전 직원과 소통하기 위해선 여기저기 게시물을 부착하고 사내 게시판에 정기적으로 띄우는 수밖에 없다. 그러다 보니 정보 보안과 안전 담당 부서가 회사 내에서 무슨 선전 홍보 부서로 착각하는 때가 많다. 정보 보안이나 안전 관련 업무가 임직원들의 의식의 문제라고 하니 무슨 수로 자기들의 끗발로 임직원들의 의식에 영향을 줄 수 있을까. 회사 게시판이든 공사 현장이든 정보 보호나 안전 관련 포스터를 열심히 부착하는 방법이 제일 좋아 보인다. 사내에서 보여주는 이런 노력들은 사고가 생겼을 때 그 책임은 당사자들이 지라는 뜻도 내포하고 있다. 우리들은 사고 나지 않게 조심하라고 얘기를 수차례 했고 해야 할 일을 다했다는 뜻이다.
여덟 째, 사고의 원인은 항상 전 경영진에 있다. 정보 보안이나 안전관련 사고는 최소한 1, 2년 전부터 서서히 진행 된 사례가 많다. 현 경영진과 관련된 사고가 발생하면 회사의 총체적 역량을 모아 대응하기 때문에 사건을 어떻게든 신속히 마무리하려고 노력한다. 하지만 전 경영진이 관련이 있으면 내 문제가 아니니 최선을 다하지 않는 때도 있다. 그래서 사고가 터지고 원인을 찾아가다 보면 항상 전 경영진이 끌려들어오는 일이 많다. 그래서 CEO들은 회사 그만두고 2~3년간은 무척 조심해야 한다. 오래한 경영자들은 이래저래 피하기 어려우니 그때는 담당자의 책임으로 돌릴 수밖에 없다.
아홉째, 예산은 잡아 두는 데 다 쓰지는 않는다. 사회적 문제가 되고 있는데 어느 경영진이 예산을 깎겠는가. 밑에서 올라오면 다 통과 시켜 줄 수밖에 없다. 괜히 깎았다가 나중에 사고 나면 모든 책임 다 뒤집어 써야 하는데 어떻게 줄이라고 하겠는가. 속으로는 꼭 써야 하나 하는 생각이 들어도 어쩔 수 없다. 투자와 비용 지출에 대한 승인은 하지만 밑에서도 그렇고 경영진도 그렇고 예산 쓰는 데 그렇게 열성적이지 못하다. 우선 순위와 투자의 범위를 잡기 어렵기 때문이다. 그래서 정보 보안과 안전은 항상 컨설팅부터 시작한다. 내가 잘 모르니 밖에 있는 전문가들에게 물어봐야 한다. 그런데 컨설팅 결과물을 갖고 그대로 실행하는 회사가 얼마나 되나? 그래서 연말 되면 상당히 많은 정보 보안과 안전 예산들이 남아서 넘어간다. 정보 보안은 통상 25%가 집행되지 않고 넘어간다. 정보 보안과 안전은 제대로 투자하려고 하면 엄청나게 들어가지만, 당분간 안 써도 괜찮을 것 같기 때문에 연말에 쓸까 말까 할 때 그냥 넘어가는 일이 많기 때문이다.
열 번째, 홍보 대책이 중요하다. 정보든 안전이든 사고가 나면 여론의 향방이 매우 중요하다. 같은 정보 유출이 있어도 규모에 따라 다르지만 일반인이 대충 그런가 보다 하는 것도 있고, 정부까지 나서 사회가 떠들썩한 일도 있다. 평소에 언론과의 소통을 잘하고 있던 기업은 사고가 터져도 여기저기 도와주는 사람들도 있고 해서 비교적 잘 마무리한다. 그러나 사회·언론과 담 쌓고 지내거나 내 물건 갖고 내가 장사하는데 누가 뭐라 하느냐 식으로 기업을 운영하다가 사고가 터지면 여기저기서 벌떼처럼 달려들어 집단 린치를 가한다. 대부분 회사에서 사건·사고는 거의 매일, 매시간 터진다. 어떤 것은 크게, 어떤 것은 알려지지 않고 지나간다. 어떤 것은 규모에 비해서 작게, 어떤 것은 규모에 비해 크게 다뤄진다. 그렇기 때문에 평소에 사회적 책임(CSR)에 충실하고 회사 밖과 소통하는 데 노력할 필요가 있다. 일종의 보험이다.
공통점 열 가지 이외에도 정보보호와 안전사고는 반복되는 성격을 갖고 있다. 큰 사고가 나면 난리를 치지만 조금 시간이 지나면 언제 그랬냐는 식으로 다 잊고 지나간다. 일종의 사회적 치매다.
그래서 사고 날 때마다 똑같은 사건을, 똑같은 사이클로, 똑같이 처리하고, 그리고 똑같은 사고가 언제 또 나느냐만 조마조마해 하면서 기다리고 있는 것이다. 어쩌면 정보보안과 안전사고가 가진 가장 큰 공통점은 반복돼 발생한다는 것 아닐까.
CIO포럼 회장 ktlee777@gmail.com